Хакеры страшнее, чем их малюют, или как защитить веб-приложения



    В последние годы правительственные структуры и коммерческие организации стали все больше использовать веб-приложения. Но с ростом количества веб-приложений выросли и киберугрозы, направленные на них. Компании стали уделять все больше внимания информационной безопасности.

    Действительно, хакерские атаки становятся все масштабнее, а следовательно — приносят больше урона. Согласно отчету исследовательской компании Forrester, наиболее уязвимыми являются три отрасли: государственные учреждения, ритейл и технологии.

    Компании, работающие в этих сферах, очень привлекательны для мошенников, потому что оперируют большим количеством данных о персональной информации пользователей.

    На защиту персональных данных направлены крупные международные инициативы. Для всех компаний, которые работают с европейскими пользователями — это, например, GDPR. За нарушение правил, установленных GDPR, назначены существенные штрафы, поэтому компании вдвойне заинтересованы в высокой надежности защиты данных своих клиентов, чтобы избежать издержек.

    Масштабы угроз информационной безопасности


    Немного фактов о ситуации в сфере информационной безопасности:


    Ожидается, что на кибербезопасность к 2021 году во всем мире будут тратить более 1 триллиона долларов в год. Стоимость киберпреступлений к этому времени вырастет до 6 триллионов в год!

    Наверное, многие помнят масштабное распространение Petya и WannaCry, которые шифровывали все файлы на компьютере и требовали выкуп с угрозой уничтожения файлов. Некоторые эксперты пришли к выводу, что конечной целью данных вирусов было не столько получение выкупа, сколько массовый сбой систем, ведь в результате сбоя компания несет потери куда больше, что играет на руку конкурентам.

    Отсутствие единых стандартов в web-программировании приводит к тому, что разработке ПО появляются ошибки и уязвимости, которыми хакер не преминет воспользоваться в корыстных целях. А это, в свою очередь, приводит к издержкам компании: утечке конфиденциальных данных, краже интеллектуальной собственности, задержке бизнес-процессов и репутационным потерям.

    WAF — защита веб-приложений от киберпреступников


    Однако вместе с действием растет и противодействие. Подходить к предотвращению атак необходимо комплексно — на протяжении всего жизненного цикла веб-приложения. Во время разработки стоит уделить особое внимание тестированию и этическому хакерству, что помогает выявить и устранить ключевые уязвимости. Во время эксплуатации на страже безопасности приложения будут стоять специальные средства защиты. И здесь установленный антивирус и брандмауэр не спасет приложения.

    Обычно щитом и мечом приложений являются межсетевой экран нового поколения (NGFW — next generation firewall) для предотвращения вторжений и фильтрация трафика для приложений (WAF — web application firewall). Разница между ними в том, что NGFW контролирует доступ внешних приложений к данным предприятия, а WAF защищает пользовательские приложения на внутренних серверах, анализируя данные, передаваемые по протоколам HTTP и HTTPS. Именно WAF может обеспечить глубинный анализ контента пакетных данных и учет особенностей структуры веб-приложений, что дает постоянную защиту и мониторинг приложений, а также имеет функционал для блокирования как уже известных атак, так и атак нулевого дня.

    Особенности WAF технологии


    • Максимизирует обнаружение и коэффициент обнаружения для известных и неизвестных угроз;
    • Минимизирует ложные оповещения (ложные срабатывания) и адаптируется к постоянно развивающимся веб-приложениям;
    • Отличает автоматизированный трафик от реальных пользователей и применяет соответствующие средства управления для обеих категорий трафика;
    • Обеспечивает более глубокий анализ и внедрение, благодаря простоте использования и минимальному влиянию на производительность;
    • Автоматизирует рабочий процесс реагирования на инциденты, чтобы помочь аналитикам безопасности веб-приложений;
    • Защищает как массово-открытые, так и внутренне используемые веб-приложения и API.

    Сравниваем 7 WAF лидеров магического квадранта Gartner по характеристикам


    Решений WAF на рынке достаточно много и на любой вкус. Чтобы выбрать продукт, который будет идеально подходить именно для вашей компании, следует обратить внимание на функционал — у разных вендоров сервисы немного отличаются. Ниже представлен обзор лидеров рынка WAF программных решений, устройств и облачных служб, определенный Magic Quadrant for Web Application Firewall в 2018 году. Более подробную информацию о них можно получить в сравнительной таблице WAF на ROI4CIO, где можно сравнить 28 WAF по 32 характеристикам.


    А в этом обзоре мы попробуем осветить основные свойства и преимущества 7 самых популярных из них.

    Akamai Kona Web Application Firewall


    Kona Web Application Firewall от Akamai (более дешевая урезанная версия Kona Site Defender) подходит клиентам, которым требуется облачная служба WAF, особенно когда клиенты уже используют Akamai в качестве CDN. Сравнительно дорогой продукт, но разработанный компанией (Кембридж, 7500 человек), команда разработчиков которой занимается исключительно вопросами безопасности веб-приложений.

    Akamai предоставляет управляемый SOC, который может отслеживать инциденты. Производитель применяет автоматическую аналитику и сортировку всего трафика, который он обрабатывает, чтобы клиенты настраивали свои подписи и собирали информацию об угрозах для создания новых средств защиты.

    Так как WAF Akamai доступен только в качестве облачной службы, для организаций, которым просто не нравятся решения для облачной безопасности, или когда оценки потенциальных клиентов определяют, что соблюдение и нормативные ограничения ограничивают его использование, Akamai не подойдет.

    Kona Web Application Firewall от Akamai на сайте вендора



    Barracuda Web Application Firewall


    Barracuda Web Application Firewall – комплексная система, предназначенная для обеспечения безопасности веб-приложений и сайтов для предприятий среднего бизнеса. Barracuda WAF дает мощный отпор злоумышленникам, эксплуатирующим слабые места в протоколах и приложениях для хищения данных, нарушения работы сервисов или дефейса веб-сайтов. Линия WAF выпускается вендором для физических или виртуальных устройств, а также доступна на платформах Microsoft Azure, AWS и Google Cloud Platform (GCP). С выпуском устройства WAF 1060 Barracuda теперь поддерживает пропускную способность до 10 Гбит/с.

    Barracuda остается одним из лучших WAF в Microsoft Azure. Barracuda Cloud WAF как услуга включает защиту от DDoS без дополнительной оплаты. Техническая поддержка получает высокую оценку клиентов.

    Пользовательский интерфейс оценивается клиентами как user-friendly. И здесь хорошая новость для русскоговорящих — решение от Barracuda WAF имеет не только английский, но и русский интерфейс.

    Продукт от Barracuda способен обеспечить защиту от следующих атак: внедрение SQL кода, межсайтовый скриптинг (XSS), подделка сессий и переполнение буфера, а также предотвращает хищение информации за счет мониторинга всех исходящих данных на наличие утечек каких-либо секретных сведений (номеров счетов в банках, личной пользовательской информации, паролей и прочего).

    Системный администратор сможет вовремя детектировать DoS- и DDoS атаки благодаря специальной функции, контролирующей скорость передачи данных. Мощный встроенный антивирус позволяет проверить любые импортируемые в систему данные и файлы на предмет различного вредоносного кода.

    Barracuda Web Application Firewall полностью совместим с большинством распространенных систем для идентификации (Active Directory, eDirectory), которые поддерживают LDAP RADIUS. Кроме того, здесь есть функция двухфакторной идентификации: система поддерживает пользовательские аутентификаторы и токены (RSASecureID), чтобы гарантировать надежную защиту аутентификации клиентов.

    Barracuda Web Application Firewall на сайте вендора

    Калькулятор стоимости Barracuda Web Application Firewall на ROI4CIO



    Cloudflare WAF


    Cloudflare web application firewall (WAF) корпоративного класса в облаке защищает веб-приложения от распространенных уязвимостей, таких как атаки с использованием SQL-инъекций, межсайтовый скриптинг и межсайтовые подделки, без изменений в существующей инфраструктуре. Сравнительно недорогие планы обслуживания удобны для небольших компаний. Есть более дорогие индивидуальные планы для крупных компаний — Enterprise. Модель самообслуживания, используемая компанией, позволяет клиентам быстро и легко настраивать конфигурации с помощью мастеров. Поэтому клиенты высоко оценивают простоту обслуживания.

    Cloudflare (Сан-Франциско, 700 сотрудников) разрабатывает защиты от DDoS и предложения CDN. Cloudflare — провайдер с пропускной способностью 15 Тбит/с и 152 дата-центрами по всему миру. Эта инфраструктура не только поддерживает высокую производительность приложений, но и обеспечивает самые современные средства защиты.

    Недавнее добавление Cloudflare Workers позволяет заказчикам размещать веб-приложения в инфраструктуре Cloudflare, что должно быть привлекательным для небольших организаций. Поставщик также предоставляет легкодоступную кнопку «Я под атакой». Это автоматически включает набор защит и удобно для экстренного реагирования.

    Cloudflare предлагает WAF только в качестве облачного сервиса. Для организаций с ограничениями на облачные сервисы и организаций, для которых требуются локальные физические или виртуальные устройства, продукт не подходит.

    Cloudflare WAF на сайте вендора



    Citrix NetScaler Application Firewall


    Citrix NetScaler AppFirewall — хороший выбор для клиентов Citrix, которые ценят высокопроизводительные устройства WAF. NetScaler Web App Firewall предназначен для государственного сегмента, крупного и среднего бизнеса в виду способности NetScaler масштабировать обращения для крупных организаций. NetScaler Web App Firewall поставляется как в виде виртуальной машины, так и аппаратного комплекса, а также в виде облачного сервиса.

    Возможности расшифровки NetScaler TLS и интеграция с аппаратными модулями безопасности (HSM) Thales и SafeNet часто являются ключевыми отличительными чертами в сравнительном тестировании на перспективу, когда организация планирует дальнейший рост.

    Citrix (CTXS, Санта-Клара, штат Калифорния, более 9600 человек) разрабатывает портфель NetScaler ADC, который включает в себя аппаратное обеспечение (MPX), программное обеспечение (VPX), контейнерные (CPX) и многоэкземплярные (SDX). Все эти варианты АЦП предлагают WAF (NetScaler AppFirewall) и виртуальную частную сеть (VPN) Secure Sockets Layer (SSL) в качестве модулей. WAF также доступен в качестве отдельного продукта.

    Citrix в основном продает AppFirewall в качестве дополнения клиентам, которые в первую очередь заинтересованы в его функциях АЦП или в высокопроизводительных средах. Пропускная способность Citrix Web Application Firewall составляет от 500 Мбит/с до 44 Гбит/с.

    Клиенты высоко оценивают поддержку, которую они получают от системных интеграторов и поставщиков услуг. Они также высоко оценивают улучшения в управляемости через API. Большинство клиентов Citrix используют NetScaler AppFirewall в качестве опции программного обеспечения поверх физического устройства ADC.

    NetScaler Application Firewall от Citrix защищает от атак типа SQL инъекция, XSS, от изменения скрытых параметров формы (read-only(hidden) parameters) и других атак. Имеется функция предотвращения утечек данных, которая обеспечивает профилактику хищения данных кредитных карт и других конфиденциальных данных, фильтрует и блокирует при необходимости передаваемую информацию.

    Citrix NetScaler AppFirewall на сайте вендора



    F5 Networks Silverline Web Application Firewall


    F5 WAF в основном используется как программная опция, Application Security Manager (ASM), которая интегрирована в платформу F5 Big-IP. F5 (Сиэтл, штат Вашингтон, 4300 сотрудников) известна своими линиями продуктов ADC (Big-IP и Viprion). Аппаратная линейка аппаратных устройств Big-IP F5 также может использовать версию полного программного обеспечения с ограниченной (но обновляемой) версией, которая будет действовать как автономное решение для обеспечения безопасности (например, автономный WAF).

    Под брендом Silverline F5 обеспечивает облачную защиту от WAF и DDoS. Доступны два варианта сервиса: Silverline Managed WAF и самообслуживание WAF Express с надстройкой для анализа угроз (Silverline Threat Intelligence). Все сервисы Silverline полагаются на технологию Big-IP.

    Silverline WAF защищает приложения от атак, основанных на внедрении SQL-кода, атак типа zero-day, вложения JSON, OWASP Top Ten и др. Важное преимущество Silverline WAF —функция самообучения в автоматизированном режиме, применяющая технологии iRules и iApps для оперативного переконфигурирования в соответствии со спецификой новых угроз.

    F5 поддерживает AWS, Azure, Google Cloud, OpenStack и VMware Cloud. Поддержка multicloud с унифицированным управлением обращается к организациям, строящим гибридную архитектуру.

    Silverline WAF предлагает поддержку в режиме 24х7 от экспертов в области безопасности. Продукт дает возможность снизить операционные затраты за счет применения специальных ресурсов Центра обеспечения безопасности F5 Networks при управлении политиками WAF. Встроенная функция проактивного мониторинга от F5 Networks задействует внешние специализированные решения для защиты приложений от новых атак. Решение генерирует отчеты о доступе через портал заказчика.

    F5 Networks Silverline Web Application Firewall на сайте вендора



    Fortinet FortiWeb


    Fortinet FortiWeb — брандмауэр для веб-приложений от Fortinet (Саннивейл, штат Калифорния, 5000 сотрудников, около 1000 человек в сфере НИОКР) ориентирован на средний и крупный бизнес, а также интернет-сервис-провайдеров.

    Продукт поставляется в виде аппаратного или виртуального устройства, а также в виде облачного сервиса (начиная с 2017 года). Благодаря сопровождению службы безопасности от FortiGuard Labs, FortiWeb обеспечивает надежный анализ угроз и защиту от новейших уязвимостей приложений, ботов и подозрительных URL-адресов. Кроме того, за счет двух механизмов обнаружения угроз, построенных на технологии машинного обучения на основе AI и статистических вероятностей для обнаружения аномалий и отдельных угроз, веб-приложения защищены от сложных кибер рисков: SQL-инъекция, кросс-сайт-скриптинг, переполнение буфера, вредоносное изменение файлов cookie, источники угроз и атак DoS.

    FortiWeb доступен как физическое или виртуальное (FortiWeb-VM) устройство (восемь моделей, от 25 Мбит/с до 20 Гбит/с), а также FortiWeb Cloud — на платформах AWS и Azure IaaS, что сделало продукт доступным для предприятий среднего бизнеса.

    Подписки FortiWeb включают репутацию IP-адресов, антивирус, обновления безопасности (сигнатуры и модели машинного обучения), защиту от заполнения учетных данных и облачную изолированную программную среду (FortiSandbox). FortiWeb — хороший выбор для защиты сервисов обмена файлами, поскольку он предлагает широкие возможности и интеграцию для обнаружения вредоносных программ, а также может интегрироваться с решениями песочницы Fortinet.

    Полная совместимость всех продуктов Fortinet между собой дает возможность быстро и просто масштабировать систему. Высокая степень автоматизации операций и простота их сопровождения сокращает число ошибок, вызванных человеческим фактором. Кроме того, такая характеристика позволяет сократить число сотрудников отдела ИБ.

    Fortinet FortiWeb на сайте вендора


    Imperva SecureSphere Web Application Firewall


    Imperva WAF решения предназначены для применения в государственном секторе, а также в крупном и среднем бизнесе. SecureSphere может поставляться как физические, так и виртуальные устройства. Он также доступен как облачный сервис и облачный сервис — WAF Incapsula на AWS и Microsoft Azure. Imperva (Редвуд-Шорс, Калифорния) также предлагает управляемые наборы правил для AWS WAF.

    Максимальная поддерживаемая пропускная способность старшей модели достигает 10 Гбит/с. Помимо HTTP/HTTPS, здесь есть поддержка веб-стандартов WebSockets, XMS и JSON. Продукты интересны синхронным применением сразу нескольких технологий киберзащиты: контролем протоколов на аномальное поведение, динамическим профилированием, анализом через сигнатуры, отслеживанием сессий. Для всех продуктов Imperva предоставляется качественная поддержка, оцененная клиентами.

    Брандмауэр для веб-приложений от компании Imperva состоит из двух основных модулей:
    SecureSphere Web Application Firewall – защита веб-приложений от кибератак;
    ThreatRadar – репутационная база данных (ThreatRadar позволяет оперативно блокировать трафик, идущий от подозрительных источников, еще до момента осуществления какого-либо вредного воздействия).

    Imperva предлагает гибкое лицензирование для организаций, использующих как локальные, так и облачные приложения. Это позволяет производителю ориентироваться на более широкий круг вариантов использования и организаций, а также лучше управлять переходом от устройства WAF к облачной службе WAF.

    Клиенты SecureSphere сообщают, что консоль управления остается сложной при использовании более продвинутых возможностей, для развертывания часто требуются профессиональные услуги для эффективного внедрения.

    Для эффективной защиты применяются механизмы на основе сигнатур бесплатной open-source системы предотвращения вторжений Snort, а также собственных SQL-сигнатур, генерируемых исследовательским центром ADC (Application Defense Center). С точки зрения отказоустойчивости, здесь имеется поддержка кластеризации Active-Active и Active-Passive.

    SecureSphere WAF оснащен невстраиваемым снифером, прозрачным прокси-сервером и обратным прокси-сервером, обладает отличной поддержкой SSL. Так продукт обеспечивает пассивную расшифровку SSL, поддержку сессий, установленных на клиентских сертификатах, терминацию и детерминацию (то есть, анализ трафика SSL без терминации). Немаловажно, что разработка содержит аппаратные модули, ускоряющие обработку SSL.

    Для формирования эталонной модели безопасности здесь применен метод классификации правил и применения детальных сигнатур (с использованием правил межсетевого экранирования, создания сигнатур и обработки нарушений протоколов). Для адаптации WAF к изменяемому приложению реализована возможность изменения профиля веб-приложений, созданного в режиме машинного обучения. Вместе с тем, есть настройка профиля веб-приложений в ручном режиме.

    Реализованный в SecureSphere WAF генератор отчетов, предоставляет системным администраторам отчеты в соответствии с требованиями стандартов по ИБ. Также здесь есть возможность генерировать собственные кастомизированные отчеты (в том числе, и по расписанию) и экспортировать в различные форматы.

    Imperva SecureSphere Web Application Firewall на сайте вендора

    Калькулятор стоимости Imperva SecureSphere Web Application Firewall на ROI4CIO



    Выводы


    Существует мнение, что в будущем статистика киберпреступлений будет превышать статистику преступлений вне сети. И уже сейчас пренебрегать защитой от атак не стоит, эти инвестиции окупаются целиком и полностью. Решение WAF — маленький, но важный кирпич в вашей линии обороны от злоумышленников.

    Авторы: Наталья Зорба, Виктория Шолойко, для ROI4CIO
    ROI4CIO
    51,00
    Сервисы для покупателей и продавцов ИТ.
    Поделиться публикацией

    Комментарии 10

      0

      Ох. Пролистал и будто на каком-то пленуме побывал.

        0
        Т.е. телепорт удался? Это не было целью. Хотели сделать максимально информативно по WAF, может вышло как отчет на комсомольском собрании. Но надеемся, что кому-то в помощь.
          0
          а есть мнение о WAF от позитивов?
        0
        — петя — не червь
        — наиболее уязвимы мелкие компании и образование, где денег вообще нет
          0
          Спасибо за комментарий, все учтем.
          Поддерживаем. Уязвимость образования и мелких компаний во всем проявляется. Но, там где есть деньги, не значит, что нет последствий и убытков, связанных с информационной безопасностью. Правда там сильнее защита обычно…
            0
            — петя — не червь

            Поправили, спасибо.
            0
            Отличное подтверждение поговорки «Скупой платит дважды»!
            Сначала за дырявое «веб-приложение»
            Затем за его защиту
              0
              Да, и так бывает:) Конечно, хорошо бы к выбору приложения изначально отнестить с большей требовательностью, но всяко бывает, все не прудусмотришь, да и злоумышленники все изобретательнее. А разработчики специализированного софта для защиты в целом больше «в теме», чем разработчики веб-приложений.
              0
              Отличный обзор средств защиты веб-приложений.
                0
                Спасибо за отзыв! Стараемся быть полезными.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое