Недавно мы включили в свое портфолио PT Cloud Application Firewall – облачный межсетевой экран для защиты веб-приложений. Расскажем о возможностях сервиса и продемонстрируем, как он работает, на вебинаре 11 марта в 11:00. Приходите!
Зачем нужен Cloud WAF?
Число инцидентов ИБ в российских компаниях в 2024 году выросло в 2,5 раза. При этом, по данным Positive Technologies, в 44% случаев точкой входа в корпоративную инфраструктуру становятся веб-приложения. Чаще всего — сайты под управлением CMS «1С-Битрикс» (в 33% инцидентах).
PT Cloud Application Firewall обнаруживает и блокирует нежелательный трафик, включая наиболее распространенные виды атак, эксплуатирующие уязвимости из OWASP Top 10 и WASC Threat Classification v2.0, а также атаки нулевого дня.
Как и другие облачные сервисы, его можно быстро развернуть, не создавая нагрузку на собственную инфраструктуру и подобрав оптимальный тарифный план в соответствии с реальным трафиком компании, легко масштабировать в обе стороны, а настройка и техническая поддержка полностью обеспечиваются командой специалистов провайдера. Достаточно установить агент – программный модуль, который взаимодействует с сервером PT Cloud AF, получая от него параметры для обработки трафика.
Агент может продолжать обработку трафика даже при потере связи с сервером, применяя последнюю загруженную базу политик безопасности. Все инциденты, возникающие в процессе обработки трафика, фиксируются и отображаются в реальном времени на дашборде интерфейса PT Cloud AF.
Как выглядит интерфейс:
Настройка и запуск
Настройка начинается в главном меню PT Cloud Application Firewall, во вкладке «Схема конфигурации». Она содержит следующие разделы:
Подключение веб-приложения.
Шаблоны политик безопасности.
Выбор способа реагирования.
Белый и черный списки.
Пройдемся по каждому из разделов.
Подключение веб-приложения
В разделе «Подключение веб-приложения» нужно:
указать название (как будет отображаться в Cloud WAF),
выбрать шаблон политики безопасности, которая будет применяться,
указать адрес (доменное имя).
Также можно применить защиту для части веб-приложения, указав его расположение.
Политики безопасности
В списке преднастроенных политик безопасности можно выбрать подходящую с учетом особенностей веб-приложения, а также скопировать шаблон для последующей кастомизации. Можно написать и свою политику с нуля. Здесь же выбираются наборы системных правил.
Наборы системных правил – это преднастроенные шаблоны правил фильтрации трафика с учетом используемых веб-приложением компонентов. Каждый набор содержит комбинацию правил фильтрации, которые можно выключить при необходимости.
При клике на каждое правило можно увидеть краткую справку: в каком наборе системных компонентов содержится, какие действия происходят при срабатывании правила, а также информацию о тегах, классификации, типе атаки и уровне критичности.
Сценарии реагирования
Действия – это способы реагирования на атаку. Есть четыре преднастроенных варианта, но можно добавлять и сценарий реагирования.
В зависимости от выбранного действия будут представлены различные настройки. На скрине ниже, в качестве примера, изменение ответа при обращении к веб-приложению.
Глобальные списки (black-, white-list)
Последний элемент меню – это глобальные списки. Возможно добавление, редактирование и скачивание списка адресов. Можно создавать несколько списков для удобства их применения в различных политиках.
На вебинаре 11 марта в 11:00 продемонстрируем, как работает Cloud WAF с уязвимым приложением: ЗАРЕГИСТРИРОВАТЬСЯ
Григорий Филатов, руководитель отдела информационной безопасности Linx Cloud
