SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Защита веб-приложений: WAF

Защита веб-приложений: WAF
07.11.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |    


Руслан Рахметов, Security Vision


Рис. 1 – Web Application Firewall (WAF) – защита веб приложений


В этой статье мы рассмотрим решения класса Web Application Firewall (WAF). Сам термин состоит из двух частей: Web Application (веб приложение, сайт) и Firewall (как мы разбирали ранее, межсетевой экран). Чтобы понять его основное отличие от обычных брандмауэров, стоит разобраться в особенностях веб-приложений.


Самое главное отличие в том, что оно доступно по сети, а значит обеспечивает удобный и постоянный сервис своим пользователям без привязки к операционной системе (как мобильные приложения) и ограничений в мобильности (как standalone-приложения). В то же время это и «удобная» точка входа для злоумышленников. Если в 2014 году, когда Gartner только начал выпускать аналитику по WAF, около 60% атак на компании проходили через веб приложения, то сейчас считается, что решения подобного класса не нужны только тем компаниям, которым не жалко потерять веб-сервисы или их попросту нет.


Другое отличие состоит в многообразии функционала: несмотря на общее обозначение HTTP(S) поверх этого веб-протокола может быть дополнительная надстройка (или несколько), обеспечивающая разнообразие способов взаимодействия и, соответсвенно, многообразие методов атак. Это значит, что самый эффективный WAF, как и решения типа NGFW, должен сочетать в себе сразу несколько модулей защиты, работающих параллельно. Каждая система защиты веб приложений включает в себя модули сигнатурного анализа и защиты от DDoS-атак, которые мы рассматривали в прошлой статье.


Рис. 2 – Технологии внутри WAF


Первая технология, которая приходит на ум при поиске вредоносной активности – сигнатурный анализ. Эта технология давно применяется системами разных классов, начиная с антивирусов на конечных точках и серверных компонентах. В случае с WAF анализ сигнатур дополняет методы анализа HTTP и надстроек сверху в решениях почти каждого вендора. Аналогично специализированным средствам защиты почты, WAF применяет ещё одну технологию – репутационный анализ отдельных элементов в трафике, который основан на глобальной работе решений. Вместе два этих модуля хоть и не позволяют защититься от атак нулевого дня, но благодаря постоянным обновлениям способны эффективно отбросить часть угроз.


Работу WAF поддерживает и комьюнити экспертов каждого вендора: постоянное обновление политик безопасности в данных решениях наиболее эффективно, если их разрабатывает эксперт. Чтобы разобрать неизвестную активность, WAF системы разбирают сеансы работы пользователей с веб-приложением целиком (с анализом URL и cookie-файлов клиента). Так становится возможным обнаруживать мошенническую активность на стороне браузера и подмену форм ввода, защищая не веб-приложение, а самого пользователя. Эксперты, наполняя политики новыми правилами, ориентируются на методологии OWASP и описанные в различных стандартах (например, PCI DSS). Зачастую для помощи экспертам в создании новых политик применяются технологии машинного обучения.


Машинное обучение позволяет также составить профиль клиента и спрогнозировать дальнейшую нагрузку. В идеале с применением балансировщиков можно повысить отказоустойчивость всего комплекса веб-приложений, но для этого необходимо разработать отдельные интеграции. Задачи интегрирования решаются либо при помощи собственной/заказной разработки, либо с применением low-code инструментов, например, в рамках SOAR-платформ. Так, данные из одного модуля WAF могут поступать в IT-системы и СЗИ, запуская целые цепочки действий по предотвращению последствий атаки.


WAF могут включать в себя и модули типов SAST, IAST и DAST. Статический анализ исходного кода позволяет при помощи комьюнити обнаружить уязвимости и получить готовое решение. «Простукивание» сайта безопасными атаками дает возможность обнаружить такие угрозы, которые пока не были описаны в источниках. Также, при динамическом анализе используется уже скомпилированное приложение и нет привязки к языку, на котором написан его код. Совместное применение сканеров именно в рамках WAF позволяет установить виртуальную «заплатку» на защищаемый сервис без отрыва от текущих спринтов разработки.


Рис. 3 – Расположение WAF


Решение обычно разворачивается на границе периметра, между защищаемым сервисом и его пользователями снаружи. Это позволяет повысить защиту именно на уровне приложений, а также обеспечить инспекцию SSL/TLS трафика. Применение модулей anti-DDos и постоянные обновления политик безопасности через облачные сервисы ставят решения WAF в гибридный режим.


Из-за требований к скорости работы наиболее эффективными тут становятся решения, поставляемые как программно-аппаратный комплекс - с железом, на котором скорость работы оптимизирована специально под алгоритмы WAF. С другой стороны, при наличии небольшого запаса по мощности систему можно развернуть на уже имеющихся сервисах, что удобно с точки зрения ИТ-поддержки. Сами модули системы могут находиться как на периметре, в качестве эшелона перед защищаемым сервисом, так и в облаке.


WAF – комплексное решение по защите веб-приложений, которое может включать в себя функциональные возможности, унаследованные от антивирусов и межсетевых экранов других видов (NGFW, UTM или классический брандмауэр). Проникновение технологий SAST/DAST позволяет не только пользоваться экспертизой вендора, но и выпускать виртуальные патчи, защищая приложение от новых угроз.


Тем не менее, в ряде случаев такие технологии, как репутационный анализ сайтов и реализация многопротокольной защиты, чуть более эффективны в решениях типов IPS или NGFW. Располагаясь на границе сети, WAF обеспечивает максимальную глубину анализа пользовательской деятельности, защищая приложение и иногда даже самих клиентов от возможного мошенничества. Постоянное обновление экспертизы через облачные элементы делает ресурс эффективным в рамках подписочной модели лицензирования, а также при использовании в облачном провайдере.


Подкасты ИБ Управление ИБ Управление уязвимостями СЗИ SOAR ИБ для начинающих

Рекомендуем

Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Пентесты
Пентесты
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Конфиденциальная информация
Конфиденциальная информация

Рекомендуем

Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Пентесты
Пентесты
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Конфиденциальная информация
Конфиденциальная информация

Похожие статьи

Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Интернет вещей и безопасность
Интернет вещей и безопасность
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Сертификация ФСТЭК
Сертификация ФСТЭК
Конфиденциальная информация
Конфиденциальная информация

Похожие статьи

Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Интернет вещей и безопасность
Интернет вещей и безопасность
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Сертификация ФСТЭК
Сертификация ФСТЭК
Конфиденциальная информация
Конфиденциальная информация