SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Защита веб-приложений: WAF

Защита веб-приложений: WAF
07.11.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |    


Руслан Рахметов, Security Vision


Рис. 1 – Web Application Firewall (WAF) – защита веб приложений


В этой статье мы рассмотрим решения класса Web Application Firewall (WAF). Сам термин состоит из двух частей: Web Application (веб приложение, сайт) и Firewall (как мы разбирали ранее, межсетевой экран). Чтобы понять его основное отличие от обычных брандмауэров, стоит разобраться в особенностях веб-приложений.


Самое главное отличие в том, что оно доступно по сети, а значит обеспечивает удобный и постоянный сервис своим пользователям без привязки к операционной системе (как мобильные приложения) и ограничений в мобильности (как standalone-приложения). В то же время это и «удобная» точка входа для злоумышленников. Если в 2014 году, когда Gartner только начал выпускать аналитику по WAF, около 60% атак на компании проходили через веб приложения, то сейчас считается, что решения подобного класса не нужны только тем компаниям, которым не жалко потерять веб-сервисы или их попросту нет.


Другое отличие состоит в многообразии функционала: несмотря на общее обозначение HTTP(S) поверх этого веб-протокола может быть дополнительная надстройка (или несколько), обеспечивающая разнообразие способов взаимодействия и, соответсвенно, многообразие методов атак. Это значит, что самый эффективный WAF, как и решения типа NGFW, должен сочетать в себе сразу несколько модулей защиты, работающих параллельно. Каждая система защиты веб приложений включает в себя модули сигнатурного анализа и защиты от DDoS-атак, которые мы рассматривали в прошлой статье.


Рис. 2 – Технологии внутри WAF


Первая технология, которая приходит на ум при поиске вредоносной активности – сигнатурный анализ. Эта технология давно применяется системами разных классов, начиная с антивирусов на конечных точках и серверных компонентах. В случае с WAF анализ сигнатур дополняет методы анализа HTTP и надстроек сверху в решениях почти каждого вендора. Аналогично специализированным средствам защиты почты, WAF применяет ещё одну технологию – репутационный анализ отдельных элементов в трафике, который основан на глобальной работе решений. Вместе два этих модуля хоть и не позволяют защититься от атак нулевого дня, но благодаря постоянным обновлениям способны эффективно отбросить часть угроз.


Работу WAF поддерживает и комьюнити экспертов каждого вендора: постоянное обновление политик безопасности в данных решениях наиболее эффективно, если их разрабатывает эксперт. Чтобы разобрать неизвестную активность, WAF системы разбирают сеансы работы пользователей с веб-приложением целиком (с анализом URL и cookie-файлов клиента). Так становится возможным обнаруживать мошенническую активность на стороне браузера и подмену форм ввода, защищая не веб-приложение, а самого пользователя. Эксперты, наполняя политики новыми правилами, ориентируются на методологии OWASP и описанные в различных стандартах (например, PCI DSS). Зачастую для помощи экспертам в создании новых политик применяются технологии машинного обучения.


Машинное обучение позволяет также составить профиль клиента и спрогнозировать дальнейшую нагрузку. В идеале с применением балансировщиков можно повысить отказоустойчивость всего комплекса веб-приложений, но для этого необходимо разработать отдельные интеграции. Задачи интегрирования решаются либо при помощи собственной/заказной разработки, либо с применением low-code инструментов, например, в рамках SOAR-платформ. Так, данные из одного модуля WAF могут поступать в IT-системы и СЗИ, запуская целые цепочки действий по предотвращению последствий атаки.


WAF могут включать в себя и модули типов SAST, IAST и DAST. Статический анализ исходного кода позволяет при помощи комьюнити обнаружить уязвимости и получить готовое решение. «Простукивание» сайта безопасными атаками дает возможность обнаружить такие угрозы, которые пока не были описаны в источниках. Также, при динамическом анализе используется уже скомпилированное приложение и нет привязки к языку, на котором написан его код. Совместное применение сканеров именно в рамках WAF позволяет установить виртуальную «заплатку» на защищаемый сервис без отрыва от текущих спринтов разработки.


Рис. 3 – Расположение WAF


Решение обычно разворачивается на границе периметра, между защищаемым сервисом и его пользователями снаружи. Это позволяет повысить защиту именно на уровне приложений, а также обеспечить инспекцию SSL/TLS трафика. Применение модулей anti-DDos и постоянные обновления политик безопасности через облачные сервисы ставят решения WAF в гибридный режим.


Из-за требований к скорости работы наиболее эффективными тут становятся решения, поставляемые как программно-аппаратный комплекс - с железом, на котором скорость работы оптимизирована специально под алгоритмы WAF. С другой стороны, при наличии небольшого запаса по мощности систему можно развернуть на уже имеющихся сервисах, что удобно с точки зрения ИТ-поддержки. Сами модули системы могут находиться как на периметре, в качестве эшелона перед защищаемым сервисом, так и в облаке.


WAF – комплексное решение по защите веб-приложений, которое может включать в себя функциональные возможности, унаследованные от антивирусов и межсетевых экранов других видов (NGFW, UTM или классический брандмауэр). Проникновение технологий SAST/DAST позволяет не только пользоваться экспертизой вендора, но и выпускать виртуальные патчи, защищая приложение от новых угроз.


Тем не менее, в ряде случаев такие технологии, как репутационный анализ сайтов и реализация многопротокольной защиты, чуть более эффективны в решениях типов IPS или NGFW. Располагаясь на границе сети, WAF обеспечивает максимальную глубину анализа пользовательской деятельности, защищая приложение и иногда даже самих клиентов от возможного мошенничества. Постоянное обновление экспертизы через облачные элементы делает ресурс эффективным в рамках подписочной модели лицензирования, а также при использовании в облачном провайдере.


Подкасты ИБ Управление ИБ Управление уязвимостями СЗИ SOAR ИБ для начинающих

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют