Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 19
Есть актуальная статистика по взломам веб-приложений?
Посмотрел на Nemesida WAF: «Не требует установки дополнительного ПО и оборудования».
Я правильно понимаю, что подключение производится через замену записи в DNS, после чего трафик идёт сначала на хосты Nemesida, а оттуда уже к реальному веб-сайту? Причём раскрытие SSL присиходит уже на стороне WAF, потому что иначе анализ был бы невозможен? Насколько я понимаю, такая схема подключения несовместима с PCI DSS.
Я правильно понимаю, что подключение производится через замену записи в DNS, после чего трафик идёт сначала на хосты Nemesida, а оттуда уже к реальному веб-сайту? Причём раскрытие SSL присиходит уже на стороне WAF, потому что иначе анализ был бы невозможен? Насколько я понимаю, такая схема подключения несовместима с PCI DSS.
Nemesida WAF — это межсетевой экран прикладного уровня
Вспоминаются слова Шнура из «День выборов»: да я собственно ради этой строчки…
Какие-то банальные вещи про то, какие бывают угрозы (типичный реферат студента) а потом последней строчкой про свой продукт. Ну-ну. Если уж хотели попиарить продукт — то лучше бы написали бы сравнение с аналогами.
Мы не знаем насколько это будет корректно.
Что за категоричность? Разве автор утверждает, что это решение единственное на рынке и предлагает 100% гаранатию от взломов? Да и не одно «средство защиты» по нашей обывательской жизни 100% гарантироватий не дает.
На мой взгляд, здесь важен процент такой защищенности, а автор позиционирует свой результат как близкий к 100%, то бишь более 90%.
Дальше, про целевую аудиторию. Интересно Вы один за всех решили кому она интересна, а кому нет. Начало зацепило, значит и Вам было интересно. Читаете дальше — банальная для Вас инфа, так не насилуйте себя. А про сравнительную статью, ребята корректно себя ведут по отношению к конкурентам, чтож в этом плохого? Скорее похвально, чем лить «всякое» в открытом эфире. А вот про уникальность стоило бы раскрыть тему ИМХО, и каждый сделает выводы. Ну чтож, будем надеяться, что автор статьи предложит нам развернуый ответ.
На мой взгляд, здесь важен процент такой защищенности, а автор позиционирует свой результат как близкий к 100%, то бишь более 90%.
Дальше, про целевую аудиторию. Интересно Вы один за всех решили кому она интересна, а кому нет. Начало зацепило, значит и Вам было интересно. Читаете дальше — банальная для Вас инфа, так не насилуйте себя. А про сравнительную статью, ребята корректно себя ведут по отношению к конкурентам, чтож в этом плохого? Скорее похвально, чем лить «всякое» в открытом эфире. А вот про уникальность стоило бы раскрыть тему ИМХО, и каждый сделает выводы. Ну чтож, будем надеяться, что автор статьи предложит нам развернуый ответ.
Что для вас будет являться показателем защищенности, в таком случае? А показатель ложных запросов каким образом может отразить успешную работу функционала и качество отражения угрозы?
WAF не панацея, а одна из мер снижения рисков, для веб-приложения она наиболее эффективна.
Интеграция WAF с защищаемой системой проходит во взаимодействии с техническим персоналом, при 3-5% ложных срабатываний (это очень большой процент) — будут отказы, которые будут проанализированы и добавлены в виде новых правил «белого списка».
довольно безотносительный вывод. На чём он основан?
Внезапно обнаруживается, что у WAP 3-5% ложных срабатываний (читать — отсеченных клиентов с деньгами)
Интеграция WAF с защищаемой системой проходит во взаимодействии с техническим персоналом, при 3-5% ложных срабатываний (это очень большой процент) — будут отказы, которые будут проанализированы и добавлены в виде новых правил «белого списка».
полная деградация системы на пиковых нагрузках в дни распродаж
довольно безотносительный вывод. На чём он основан?
В ближайшее время опубликую статью со сравнительным анализом защитных систем.
это межсетевой экран прикладного уровня (Web Application Firewall), позволяющий эффективно защищать сайты от хакерских атак даже в случае наличия на сайте уязвимости «нулевого дня».
Вспоминая, например, про уязвимости ffmpeg, заявление выглядит глупым маркетингом, не имеющим под собой даже теоретических предпосылок.
Пример с ffmpeg не слишком корректный — эта уязвимость by desing, и относится к бэкенду. В любом случае, с помощью белых списков, контроля внешних обращений (а ffmpeg делает обратный GET-запрос на сторонний сервер) можно заблокировать и эту уязвимость.
WAF — не панацея, а одно из средств защиты, направленное на обеспечение комплексных мер безопасности. Никакой WAF не поможет, если владельцы сайта будут «терять» пароли, оставлять служебные скрипты и т.д.
WAF — не панацея, а одно из средств защиты, направленное на обеспечение комплексных мер безопасности. Никакой WAF не поможет, если владельцы сайта будут «терять» пароли, оставлять служебные скрипты и т.д.
Пример как по мне весьма таки корректный — чтобы «заблокировать и эту уязвимость», о ней нужно уже знать, и ваш продукт никак не мог от неё защитить до того, как о ней узнали. Подавляющее большинство уязвимостей «нулевого дня» относятся к таким же — не говоря уже о локальных, уникальных дырах созданных неверной (небезопасной) конфигурацией или неопытными программистами, написавшими единичный код.
Впрочем, вы вряд ли сможете рассказать о том, как вы пытаетесь бороться с такими уязвимостями, поскольку раскрытие механизмов работы приведёт к снижению её эффективности. Подобно тому, как сайт «вирустотал» понижает начальную детектируемость новых вирусов и фактически сводя эффективность эвристики к нулю.
Впрочем, вы вряд ли сможете рассказать о том, как вы пытаетесь бороться с такими уязвимостями, поскольку раскрытие механизмов работы приведёт к снижению её эффективности. Подобно тому, как сайт «вирустотал» понижает начальную детектируемость новых вирусов и фактически сводя эффективность эвристики к нулю.
Можно заложить паттерны уязвимостей для детекта, которые не позволят провести атаку.
Кроме этого, у нас есть уникальная среда для сбора данных и составления паттернов, которую я отметил в статье:
Кроме этого, у нас есть уникальная среда для сбора данных и составления паттернов, которую я отметил в статье:
Одним из источников, позволяющих выявлять новые сценарии и реализацию атак на веб-приложения, являются «Лаборатории тестирования на проникновение», имитирующие реальную инфраструктуру современных компаний. В лабораториях принимают участие около 9000 специалистов по информационной безопасности со всего мира, с разным уровнем подготовки, навыков и инструментария. Анализ атак, направленных на объекты лаборатории, позволяют составить модели нарушителя и реализации векторов атаки.
это может работать если используются алгоритмы поддерживающие PFS?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Защита сайта от хакерских атак