Хит продаж

Сетевая безопасность

   В данном разделе собраны решения от мировых производителей программного обеспечения и оборудования в области IT-безопасности (Check Point, Palo Alto Networks, Positive TechnologiesF5 Networks).

   Однако хотим более подробно рассказать про безопасность веб-приложений в контексте применения Web Application Firewall (WAF).

   На сегодняшний день высокая стоимость информации, обрабатываемая в процессинге веб-приложений, в совокупности с угрозой взлома увеличивает риски информационной безопасности компаний. В этих условиях встает закономерный вопрос: что предпринять для защиты веб-приложений?

   Применение Web Application Firewall (WAF) традиционно считается наиболее эффективным подходом к защите веб-ресурсов.

   Изначально термин firewall (брандмауэр, экран) обозначал сетевой фильтр, который ставится между доверенной внутренней сетью и внешним Интернетом (отсюда прилагательное «межсетевой»). Этот фильтр был призван блокировать подозрительные сетевые пакеты на основе критериев низких уровней модели OSI: на сетевом и канальном уровнях. Иными словами, фильтр учитывал только IP адреса источника и назначения, флаг фрагментации, номера портов.

   В дальнейшем возможности расширились до шлюзов сеансового уровня, или фильтров контроля состояния канала (stateful firewall). Эти межсетевые экраны второго поколения повысили качество и производительность фильтрации за счет контроля принадлежности пакетов к активным TCP-сессиям.

   К сожалению, подобная система защиты практически бесполезна против современных кибер-угроз, где более 80% атак используют уязвимости приложений, а не уязвимости сетевой архитектуры и сервисов.

   Следующим поколением защитных экранов стали системы обнаружения и предотвращения вторжений (IDS/IPS). Они способны изучать в TCP-пакетах поле данных и осуществлять инспекцию на уровне приложения по определённым сигнатурам. Системы IDS приспособлены к тому, чтобы выявлять атаки не только снаружи, но и внутри сети за счет прослушивания SPAN-порта коммутатора.

   Для совершенствования защитных механизмов в IDS/IPS стали применяться декодеры (разбор полей TCP-пакета) и препроцессоры (разбор частей протокола уровня приложения, например, HTTP). Применение препроцессоров в IPS Snort позволило существенно улучшить функциональность периметровой защиты в сравнении с пакетным фильтром, даже если последний проверяет пакеты на уровне приложений (iptables с модулем layer7).

   Однако при этом сохранился основной недостаток пакетного фильтра: проверка осуществляется попакетно, без учета сессий, cookies и всей остальной логики работы приложения.

   Параллельно для борьбы с распространением вирусов появляются прокси-серверы, а для решения задач балансировки нагрузки — обратные прокси-серверы. Они отличаются технически, но главное, что и те, и другие полноценно работают на уровне приложения: открывается два TCP соединения от прокси к клиенту и от прокси к серверу, анализ трафика ведётся исключительно на уровне приложения.

   Следующим шагом эволюции систем обнаружения вторжений стало появление устройств класса UTM (unified threat management, система единого управления угрозами) и NGFW (next generation firewall, экраны нового поколения).

   Системы UTM отличаются от NGFW лишь маркетингом, при этом их функционал практически совпадает. Оба класса программных продуктов явились попыткой объединить функции различных продуктов (антивирус, IDS/IPS, пакетный фильтр, VPN-шлюз, маршрутизатор, балансировщик и др.) в одном устройстве. В тоже время, обнаружение атак в устройствах UTM/NGFW нередко осуществляется на старой технологической базе, при помощи упомянутых выше препроцессоров.

   Но разница в технологической платформе — не единственное, что отличает защиту веб-приложений.

   Если говорить совсем просто, то веб-приложения отличаются от обычных приложений двумя вещами: огромным разнообразием и значительной интерактивностью. Это создаёт целый ряд новых угроз, с которыми традиционные межсетевые экраны не справляются.

   Именно здесь вступает в дело Web Application Firewall (WAF), защитный экран для приложений, осуществляющих передачу данных через HTTP и HTTPS.

Вот какие функции отличают WAF от защитных систем предыдущих поколений:

  WAF IPS NGFW/UTM
Multiprotocol security - + +
IP Reputation +/- +/- +/-
Сигнатуры атак + +/- +/-
Автоматическое обучение, поведенческий анализ + - -
Защита пользователей + - -
Сканер уязвимостей + - -
Виртуальный патчинг + - -
Корреляции, цепочки атак + - -

 

   Понятно, что решения разных вендоров WAF всегда будут отличаться набором функций. Поэтому перечислим здесь лишь наиболее известные дополнительные особенности современных защитных экранов уровня приложений:

  • Работа с SSL-трафиком как дополнительный уровень защиты. Возможность проверки зашифрованного трафика является одним из важнейших отличий WAF от обычных межсетевых экранов и IPS.
  • Службы проверки подлинности: WAF является единой точкой входа для веб-приложений или действует в качестве брокера проверки подлинности для устаревших приложений, механизм аутентификации которых нарушен.
  • Поддержка политики безопасности контента (Content Security Policy, CSP) для защиты от XSS и других атак.

   Вырезка из статьи: https://habrahabr.ru/company/pt/blog/269165/ 

   Напоследок стоит заметить, что вышеуказанный текст посвящен только технологическим особенностям WAF. Но на практике стоит учитывать и организационные — например, соответствие стандартам безопасности или возможность интеграции WAF с другими средствами безопасности (антивирусы, DLP и др.). Модели развёртывания также могут быть различными: это может быть аппаратное, программное или виртуальное решение, либо облачный сервис в моделях SaaS, VAS и MSS.

   Тем самым грамотный подбор средства защиты является решающим моментом, ведь от того, насколько хорошо подходит средство для конкретной инфраструктуры, зависит его конечная эффективность.

Остались вопросы - обращайтесь!

Выберите подкатегорию

Показывать по:
Сортировать по:
цена по запросу
Check Point
Check Point обеспечивает комплексную защиту, начиная с крупных компаний и облачных сред и заканчивая личными устройствами ваших сотрудников
цена по запросу
Deep Security
Всесторонняя защита физических, виртуальных, облачных и гибридных сред
цена по запросу
SandBlast
Надежная защита от угроз (как известных, так и неизвестных)  
цена по запросу
Palo Alto Networks
Межсетевые экраны Palo Alto — это устройства безопасности нового поколения, специально разработанные для фильтрации приложений и контента, обеспечивающие полноценный контроль доступа пользователей и обладающие развитым сетевым функционалом.
цена по запросу
MaxPatrol 8
MaxPatrol - система контроля защищенности, аудита и соответствия стандартам
цена по запросу
PT Application Firewall
PT Application Firewall - самообучающийся защитный экран уровня приложений
цена по запросу
MaxPatrol SIEM
MaxPatrol SIEM - cистема выявления инцидентов ИБ в режиме реального времени
цена по запросу
F5 Networks
F5 улучшает работу служб безопасности, производительность приложений, серверов и ЦОД