Connect with us

Кибербезопасность

Анализ рынка брандмауэров веб-приложений

mm
Published
Updated

Является ли использование брандмауэра веб-приложения (WAF) обязательным стандартом для защиты веб-ресурсов, или это важный, но необязательный уровень защиты? Как выбрать и реализовать WAF? Что ждет этот рынок в будущем? Продолжайте читать, чтобы получить ответы.

Что делает брандмауэр веб-приложения?

Трудно представить себе современную компанию, которая не нуждается в WAF. Этот инструмент избыточен только в том случае, если нет цифровых активов, которые необходимо защитить. Он помогает защитить веб-ресурсы, если они являются основой бизнес-деятельности, если они используются для хранения критически важных данных сотрудников и клиентов, или если они связаны с инфраструктурой организации и могут стать точкой входа для злоумышленников.

Брандмауэр веб-приложения также защищает индивидуальные решения, используемые компаниями. Эти системы часто содержат уязвимый код и могут представлять угрозу для безопасности предприятия. WAF обеспечивает защиту на уровне 7 модели OSI. Он анализирует запросы, которые не могут контролировать традиционные брандмауэры или брандмауэры следующего поколения (NGFW). Помимо защиты корпоративного веб-сайта, он защищает серверы веб-приложений, контролирует интеграцию с третьими сервисами и обрабатывает угрозы, не связанные с уязвимостями, такие как атаки DDoS.

Существует два основных различия между WAF и другими брандмауэрами: функциональные и архитектурные. Функциональные особенности включают возможность парсинга специализированных форматов внутри HTTP (например, JSON), что является чем-то, что NGFW и другие системы не могут делать. Архитектурные характеристики связаны с тем, как он реализуется в сети. Брандмауэр веб-приложения работает в основном как обратный прокси, занимаясь только внутренними приложениями.

Фигурально говоря, WAF – это продукт, который предотвращает взлом уязвимого веб-сайта. В плане местоположения NGFW устанавливается на шлюзе, а WAF – там, где находится веб-сайт.

NGFW, обычный брандмауэр и классическая система предотвращения вторжений (IPS) – это многопротокольные устройства, а WAF ограничен протоколами веб-приложений, которые используют HTTP в качестве транспорта. Такое решение показывает большую эффективность в определенной нише благодаря более глубокому анализу специализированных протоколов. Важно отметить, что WAF «знает» точно, какие приложения он защищает. Он может применять разные политики безопасности в зависимости от того, какой объект направлен трафик.

Возможно ли использовать аутсорсинговое решение в этой области? Это жизнеспособный подход, но его очень трудно реализовать на практике. В этом случае компания по сути становится разработчиком своего собственного решения и должна заниматься не только его разработкой, но и полным техническим поддержкой.

Другим важным аспектом является выбор между вариантом реализации на месте и облачным сервисом. Это в основном вопрос доверия к облачному провайдеру. Рынок безопасности веб-приложений активно мигрирует в облако, что означает, что все больше и больше клиентов находят риски таких услуг приемлемыми.

Также стоит упомянуть плюсы и минусы готовых программных и аппаратных наборов WAF по сравнению с их аналогами, основанными только на программном обеспечении. Решения, настроенные на конкретное оборудование, могут работать более эффективно, чем универсальные системы, которые запускаются на любом оборудовании. Другая сторона медали заключается в желании клиента работать с определенной аппаратной платформой, уже используемой им.

Проблема также имеет организационные и бюрократические аспекты. Иногда для департамента информационной безопасности проще купить готовый аппаратно-программный комплекс, чем оправдать два отдельных бюджетных пункта.

Функции WAF

Каждый WAF имеет набор модулей защиты, через которые проходит весь трафик. Безопасность обычно начинается с базовых уровней – защиты от DDoS и анализа сигнатуры. Возможность разработки собственных политик безопасности и математической подсистемы обучения – это один уровень выше. Блок интеграции с третьими системами обычно появляется на одном из последних этапов развертывания.

Другим важным компонентом WAF является пассивный или активный сканер, который может обнаруживать уязвимости на основе ответов сервера и опросов конечных точек. Некоторые брандмауэры могут обнаруживать злонамеренную активность на стороне браузера.

Что касается технологий обнаружения атак, существует две фундаментально разные задачи: проверка (проверка данных в конкретных запросах) и поведенческий анализ. Каждая из этих моделей использует свой набор алгоритмов.

Если мы посмотрим на работу WAF с точки зрения стадий обработки запросов, существует серия парсеров, модулей декодирования (не путать с расшифровкой), и набор правил блокировки, ответственных за окончательный вердикт. Другой слой охватывает политики безопасности, разработанные людьми или на основе алгоритмов машинного обучения.

Что касается взаимодействия брандмауэра веб-приложения с контейнерами, единственное различие может заключаться в особенностях развертывания, но основные принципы всегда остаются одинаковыми. В контейнеризированной среде WAF может действовать как IP-шлюз, фильтруя все запросы, которые текут в экосистему виртуализации. Кроме того, он может работать как контейнер и интегрироваться с шиной данных.

Возможно ли предоставить WAF на основе программного обеспечения как услугу (SaaS)? По сути, принцип SaaS предоставляет полный доступ к приложению и его администрированию в облаке. Этот подход не дает никаких существенных преимуществ, но это первый шаг к переносу ИТ-инфраструктуры в облако. Если компания также делегирует контроль над системой третьей стороне, это больше напоминает парадигму управляемого провайдера безопасности (MSSP), который может предоставить некоторые существенные преимущества.

Пентест, который клиент может провести на этапе пилотного проекта, поможет оценить, насколько эффективен WAF. Кроме того, поставщики и системные интеграторы могут предоставить клиенту регулярные отчеты о производительности брандмауэра, отражающие результаты анализа трафика.

Как развернуть брандмауэр веб-приложения

Основные этапы развертывания WAF следующие:

  •       Создание пилотного проекта.
  •       Выбор поставщика.
  •       Определение архитектуры решения.
  •       Указание методов резервного копирования.
  •       Развертывание программно-аппаратного комплекса.
  •       Обучение и мотивация персонала к использованию WAF.

В идеальном мире на интеграцию службы мониторинга WAF в одно приложение уходит всего несколько минут. Однако настройка правил для блокировки угроз потребует дополнительного времени. Существуют также дополнительные аспекты реализации, включая утверждения, обучение персонала и другие технические детали. Срок развертывания также зависит от метода, а также от конкретного приложения и типов трафика, которые необходимо контролировать.

Хорошо организованный процесс развертывания поможет минимизировать ложные положительные результаты. Обширное тестирование на предпроизводственном этапе и после запуска системы должно решить эту задачу. Важной частью этой рутины является «обучение» решения: специалист по безопасности может исправить некоторые его вердикты во время тестов. Команды информационной безопасности должны изучить статистику, сгенерированную WAF, в течение первого месяца работы, чтобы увидеть, блокирует ли система легитимный трафик. В то же время эксперты подчеркивают, что все инструменты WAF имеют определенный уровень ложных положительных результатов.

Когда речь идет об интеграции WAF с другими механизмами безопасности, основными областями этой деятельности являются:

  •       Системы управления информацией и событиями безопасности (SIEM) (WAF действует как поставщик данных).
  •       Различные виды песочниц.
  •       Ядра антивирусов.
  •       Системы предотвращения утечки данных (DLP).
  •       Сканеры уязвимостей.
  •       Безопасностные инструменты внутри платформы Kubernetes.
  •       NGFW.

Тенденции и прогнозы рынка WAF

Популярность различных открытых веб-API растет, и аналитики прогнозируют сдвиг фокуса решений безопасности на эти фреймворки. Gartner даже имеет определение для такого продукта – Защита веб-приложений и API (WAAP).

Пандемия привела к тому, что зависимость от онлайн-мира возросла драматически. Следовательно, важность WAF увеличится, и он может стать одним из основных предпосылок для обеспечения безопасности любого веб-ресурса. Он, скорее всего, станет еще «ближе» к веб-приложениям и будет интегрирован в процесс разработки.

Что касается технологических тенденций эволюции WAF, эксперты прогнозируют более активное участие искусственного интеллекта и многоуровневых систем машинного обучения. Это повысит возможности обнаружения различных угроз на новый уровень, и использование предварительно сгенерированных моделей, созданных внутри компании, станет нормой. Кроме того, аналитики отмечают растущую реализацию механизмов фильтрации на основе поведенческих факторов.

На стороне развертывания интеграция WAF с облачными сервисами будет продолжена. Тенденция к использованию открытых систем безопасности также повлияет на эту отрасль. И клиенты, и поставщики выиграют от этого естественного ответа на текущие рыночные требования.

Выводы

Брандмауэр веб-приложения является ключевым элементом современной веб-безопасности. Растущее количество критически важных задач, выполняемых через веб-интерфейсы и открытые API, является мощным стимулом в этой области. Клиент может выбрать между развертыванием WAF внутри своей инфраструктуры, интеграцией готовых аппаратно-программных систем или использованием облачных сервисов.

Другой важный тренд – интеграция WAF с другими системами информационной безопасности и процессами разработки веб-сайтов. Это делает его неотъемлемой частью эффективного процесса DevSecOps.

Related Topics:
mm

Дэвид Балабан - исследователь компьютерной безопасности с более чем 17-летним опытом в области анализа вредоносного ПО и оценки антивирусного программного обеспечения. Дэвид управляет проектами MacSecurity.net и Privacy-PC.com, которые представляют собой экспертные мнения по современным вопросам информационной безопасности, включая социальную инженерию, вредоносное ПО, тестирование на проникновение, интеллект угроз, онлайн-приватность и белую хакерскую атаку. Дэвид имеет сильный опыт в решении проблем с вредоносным ПО, с недавним акцентом на противодействии программам-вымогателям.