Брандмауэр веб-приложений

Специальная система сетевой безопасности HTTP

Брандмауэр веб-приложений ( WAF ) — это особая форма брандмауэра приложений , которая фильтрует, отслеживает и блокирует HTTP- трафик, входящий и исходящий от веб-службы . Проверяя HTTP-трафик, он может предотвратить атаки, использующие известные уязвимости веб-приложения, такие как внедрение SQL , межсайтовый скриптинг (XSS), включение файлов и неправильная конфигурация системы. ^[1] Большинство крупных финансовых учреждений используют WAF для устранения уязвимостей «нулевого дня» веб-приложений, ^{[ требуется цитирование ]} , а также для устранения ошибок или слабых мест с помощью пользовательских строк сигнатур атак. ^[2]

История

Выделенные межсетевые экраны для веб-приложений появились на рынке в конце 1990-х годов, когда атаки на веб-серверы становились все более распространенными.

Ранняя версия WAF была разработана компанией Perfecto Technologies с ее продуктом AppShield ^[3] , который был ориентирован на рынок электронной коммерции и защищал от нелегального ввода символов на веб-страницах. В то же время на рынке были доступны и другие ранние продукты WAF, разработанные технологиями Kavado и Gilian, которые пытались противостоять растущему количеству атак на веб-приложения в конце 90-х годов. В 2002 году был создан проект с открытым исходным кодом ModSecurity ^[4] с целью сделать технологию WAF более доступной. Они завершили работу над основным набором правил для защиты веб-приложений на основе результатов работы Технического комитета по безопасности веб-приложений OASIS (WAS TC) по уязвимостям. В 2003 году они расширили и стандартизировали правила, включив их в список 10 лучших проектов Open Web Application Security Project (OWASP) — ежегодный рейтинг уязвимостей веб-безопасности. Этот список станет отраслевым стандартом соответствия требованиям безопасности веб-приложений. ^{[5] [6]}

С тех пор рынок продолжает расти и развиваться, уделяя особое внимание предотвращению мошенничества с кредитными картами . С развитием стандарта безопасности данных индустрии платежных карт (PCI DSS), стандартизации контроля над данными держателей карт, безопасность в этом секторе стала более регламентированной. По данным журнала CISO Magazine, ожидается, что к 2022 году рынок WAF вырастет до 5,48 миллиарда долларов. ^{[7] [8]}

Описание

Брандмауэр веб-приложений — это особый тип брандмауэра приложений, который применяется специально для веб-приложений. Он развертывается перед веб-приложениями и анализирует двунаправленный веб-трафик (HTTP), обнаруживая и блокируя все вредоносное ПО. OWASP дает широкое техническое определение WAF как «решения безопасности на уровне веб-приложения, которое — с технической точки зрения — не зависит от самого приложения». ^[9] Согласно Информационному дополнению PCI DSS к требованию 6.6, WAF определяется как «точка применения политики безопасности, расположенная между веб-приложением и конечной точкой клиента». Эта функциональность может быть реализована программно или аппаратно, на устройстве или на обычном сервере под управлением общей операционной системы. Это может быть автономное устройство или интегрированное в другие сетевые компоненты». ^[10] Другими словами, WAF может быть виртуальным или физическим устройством, которое предотвращает использование уязвимостей в веб-приложениях внешними угрозами. Эти уязвимости могут быть связаны с тем, что само приложение является устаревшим или оно было недостаточно запрограммировано. WAF устраняет эти недостатки кода с помощью специальных конфигураций наборов правил, также известных как политики.

Ранее неизвестные уязвимости можно обнаружить с помощью тестирования на проникновение или с помощью сканера уязвимостей. Сканер уязвимостей веб-приложений , также известный как сканер безопасности веб-приложений, определен в SAMATE NIST 500-269 как «автоматизированная программа, которая проверяет веб-приложения на наличие потенциальных уязвимостей безопасности». Помимо поиска уязвимостей, специфичных для веб-приложений, эти инструменты также ищут ошибки в программном коде». ^[11] Устранение уязвимостей обычно называют исправлением. Исправления в код можно внести в приложении, но обычно требуется более быстрый ответ. В таких ситуациях может потребоваться применение специальной политики для уникальной уязвимости веб-приложения, обеспечивающей временное, но немедленное исправление (известное как виртуальное исправление).

WAF не являются окончательным решением безопасности, скорее они предназначены для использования в сочетании с другими решениями по обеспечению безопасности периметра сети, такими как сетевые межсетевые экраны и системы предотвращения вторжений, для обеспечения целостной стратегии защиты.

WAF обычно следуют модели позитивной безопасности, негативной безопасности или их комбинации, как указано Институтом SANS . ^[12] WAF используют комбинацию логики, основанной на правилах, синтаксического анализа и сигнатур для обнаружения и предотвращения атак, таких как межсайтовый скриптинг и внедрение SQL. Как правило, для обхода WAF используются такие функции, как эмуляция браузера, обфускация и виртуализация, а также IP-обфускация. ^[13] OWASP составляет список десяти основных недостатков безопасности веб-приложений. Все коммерческие предложения WAF охватывают как минимум эти десять недостатков. Есть и некоммерческие варианты. Как упоминалось ранее, одним из таких вариантов является известный движок WAF с открытым исходным кодом под названием ModSecurity. Одного механизма WAF недостаточно для обеспечения адекватной защиты, поэтому OWASP вместе с Spiderlabs компании Trustwave помогают организовать и поддерживать набор основных правил через GitHub ^[14] для использования с движком ModSecurity WAF. ^[15]

Варианты развертывания

Хотя названия рабочих режимов могут различаться, WAF в основном развертываются тремя разными способами. По данным NSS Labs, варианты развертывания — прозрачный мост , прозрачный обратный прокси-сервер и обратный прокси-сервер . ^[16] «Прозрачный» означает тот факт, что HTTP-трафик отправляется прямо в веб-приложение, поэтому WAF прозрачен между клиентом и сервером. В этом отличие от обратного прокси-сервера, где WAF действует как прокси-сервер, а трафик клиента отправляется непосредственно в WAF. Затем WAF отдельно отправляет отфильтрованный трафик веб-приложениям. Это может обеспечить дополнительные преимущества, такие как маскирование IP-адресов, но может привести к недостаткам, таким как задержка производительности.

Смотрите также

• Брандмауэр приложений
• Стандарт безопасности данных индустрии платежных карт (PCI DSS)
• веб приложение
• Программное обеспечение как услуга (SaaS)
• Компьютерная безопасность
• Сетевая безопасность
• Безопасность приложений
• Безопасность веб-приложений

Рекомендации

1. «Брандмауэр веб-приложений». ТехТаржет . Проверено 10 апреля 2018 г. .
2. Обнаружение нулевых дней до нулевого дня
3. «Perfecto Technologies предлагает AppShield для электронного бизнеса - InternetNews» . www.internetnews.com . 27 августа 1999 года . Проверено 20 сентября 2016 г.
4. "Домашняя страница ModSecurity" . МодСекьюрити .
5. ДюПоль, Нил (25 апреля 2012 г.). «Что такое OWASP? Руководство по 10 лучшим безопасности приложений OWASP». Веракод . Проверено 10 апреля 2018 г. .
6. Свартман, Дэниел (12 марта 2018 г.). «Десять крупнейших OWASP и сегодняшний ландшафт угроз». ИТПроПортол . Проверено 10 апреля 2018 г. .
7. Суровый (26 декабря 2021 г.). «Средний темп роста рынка брандмауэров веб-приложений (WAF) в 2021 году составит 19,2%» . Администрация брандмауэра . Проверено 26 декабря 2021 г.
8. «Рынок брандмауэров веб-приложений к 2022 году будет стоить 5,48 миллиарда долларов» . Журнал ЦИСО. 5 октября 2017 года. Архивировано из оригинала 11 апреля 2018 года . Проверено 10 апреля 2018 г. .
9. Максимиллан Дерманн; Мирко Дзядзка; Борис Хемкемайер; Александр Мейзель; Маттиас Рор; Томас Шрайбер (7 июля 2008 г.). «Лучшие практики OWASP: использование брандмауэров веб-приложений версии 1.0.5». ОВАСП . ОВАСП.
10. Совет по стандартам безопасности данных PCI (октябрь 2008 г.). «Информационное дополнение: обзоры приложений и уточненные брандмауэры веб-приложений, версия 1.2» (PDF) . PCI DSS . PCI DSS.
11. Пол Э. Блэк; Элизабет Фонг; Вадим Окунь; Ромен Гоше (январь 2008 г.). «Специальная публикация NIST 500-269 Инструменты Software Assurance: Функциональная спецификация сканера безопасности веб-приложений, версия 1.0» (PDF) . САМАТЭ НИСТ . САМАТЭ НИСТ.
12. Джейсон Пубал (13 марта 2015 г.). «Брандмауэры веб-приложений — корпоративные методы» (PDF) . Институт САНС . Читальный зал Инфобезопасности Института SANS.
13. ИПМ (29 июля 2022 г.). «Обратное проектирование того, как WAF, такие как Cloudflare, идентифицируют ботов». Корпорация ИПМ . Корпорация ИПМ.
14. "Репозиторий проектов набора основных правил" . Гитхаб . 30 сентября 2022 г.
15. «Проект основного набора правил OWASP ModSecurity» . ОВАСП .
16. «МЕТОДОЛОГИЯ ТЕСТИРОВАНИЯ Брандмауэр веб-приложений 6.2» . Лаборатории НСС . Лаборатории НСС. Архивировано из оригинала 5 сентября 2022 г. Проверено 3 мая 2018 г.