Company of Informational Security

ул. Даниила Щербаковского 45А, г.Киев, 04111, Украина

Мы предлагаем технологии завтрашнего дня. Будь на шаг впереди!

Безопасность web приложений

Традиционные межсетевые экраны не способны защитить от большинства угроз направленные на Web ресурсы. Причина в том, в том, что такие атаки чаще всего происходят на прикладном уровне, в виде стандартных запросов к Web ресурсу, где возможности межсетевого экрана, крайне ограничены и он не способен выявить данную атаку. Для таких целей применяют специализированные межсетевые экраны, работающие на прикладном уровне и имеющие большое количество сигнатур, направленных на выявление атак на Web приложения. Такие межсетевые экраны называются WAF (Web Application Firewall). Задача такого решения обнаруживать и блокировать атаки на Web ресурсы используя фильтрацию http/https протоколов.

Web Application Firewall может быть реализован в виде аппаратного устройства, виртуальной машине либо в виде SaaS сервиса.
waf-diagram.png

Классическое размещение WAF в сети — в режиме обратного прокси-сервера, перед защищаемыми веб-cерверами. В зависимости от производителя могут поддерживаться и другие режимы работы — например, прозрачный прокси-сервер, мост или даже пассивный режим, когда продукт работает с репликацией трафика. После установки WAF и пуска продуктивного трафика сразу же начинает работу основной компонент защиты — машинное обучение, в ходе которого составляется эталонная модель коммуникации с объектом защиты, и таким образом формируется «белый» список допустимых идентификаторов доступа. На данный момент в веб-приложениях используются три типа идентификатора доступа: HTTP-параметры (в представлениях типа: Raw, XML, JSON), идентификатор ресурса (URL, URN), идентификатор сессии (cookie). Задача WAF состоит в определении допустимых значений идентификаторов для веб-приложения. Из определенных значений впоследствии будет состоять эталонная (позитивная) модель. Включение конкретных значений идентификатора в модель осуществляется на основе применения математико-статистического алгоритма, который с помощью выборки продуктивного трафика оценивает эти значения как допустимые. Когда все ресурсы веб-приложения добавлены в позитивную модель, администратор системы должен убедиться в отсутствии значимого количества ложно-позитивных срабатываний и переключить систему в режим блокировки.

Помимо машинного обучения в набор функций WAF обычно входят следующие типовые механизмы защиты: валидация протокола; сигнатурный анализ; защита от инъекций и XSS (зачастую проприетарная); возможность создания собственных правил защиты; DDoS-защита; интеграция с репутационными и фрод-сервисами; интеграция с прочими устройствами в ландшафте ИБ компании. Приоритетом для производителя WAF является сфокусированность собственных исследовательских центров на генерации обновлений политик безопасности для своих устройств с учетом актуальных угроз веб-приложениям. Так появляются, например, сигнатуры атак, присущие для конкретных веб-фреймворков и систем контроля контента или проприетарные механизмы защиты от XSS и SQL-инъекций.

Наша компания поставляет решения от ведущих производителей в данной области: Imperva, Citrix, Radware, Akamai, Fortinet.

Возврат к списку