Брандмауэр веб-приложений

Брандмауэр веб-приложений ( WAF ) — это особая форма брандмауэра приложений , которая фильтрует, отслеживает и блокирует HTTP- трафик , входящий и исходящий от веб-службы . Проверяя HTTP-трафик, он может предотвратить атаки, использующие известные уязвимости веб-приложения, такие как внедрение SQL , межсайтовый скриптинг (XSS), включение файлов и неправильная конфигурация системы. ^[1] Они могут привести к снижению производительности без надлежащей настройки и настройки со стороны специалиста по кибербезопасности. ^[2] Однако большинство крупных финансовых учреждений используют WAF для устранения уязвимостей «нулевого дня» веб-приложений, а также для устранения ошибок или слабых мест с помощью пользовательских строк сигнатур атак. ^[3]

История [ править ]

Выделенные межсетевые экраны для веб-приложений появились на рынке в конце 1990-х годов, когда на веб-серверы атаки становились все более распространенными.

Ранняя версия WAF была разработана компанией Perfecto Technologies с ее AppShield . продуктом ^[4] который ориентирован на рынок электронной коммерции и защищает от нелегального ввода символов на веб-страницы. В то же время на рынке были доступны и другие ранние продукты WAF, разработанные технологиями Kavado и Gilian, которые пытались противостоять растущему количеству атак на веб-приложения в конце 90-х годов. В 2002 году проект с открытым исходным кодом ModSecurity. ^[5] была создана с целью сделать технологию WAF более доступной. Они завершили работу над основным набором правил для защиты веб-приложений на основе результатов работы Технического комитета по безопасности веб-приложений OASIS (WAS TC) по уязвимостям. В 2003 году они расширили и стандартизировали правила, включив их в список 10 лучших проектов Open Web Application Security Project (OWASP) — ежегодный рейтинг уязвимостей веб-безопасности. Этот список станет отраслевым стандартом соответствия требованиям безопасности веб-приложений. ^[6]^[7]

С тех пор рынок продолжает расти и развиваться, уделяя особое внимание предотвращению мошенничества с кредитными картами . С развитием стандарта безопасности данных индустрии платежных карт (PCI DSS), стандартизации контроля над данными держателей карт, безопасность в этом секторе стала более регламентированной. По данным журнала CISO Magazine, ожидается, что к 2022 году рынок WAF вырастет до 5,48 миллиарда долларов. ^[8]^[9]

Описание [ править ]

Брандмауэр веб-приложений — это особый тип брандмауэра приложений, который применяется специально для веб-приложений. Он развертывается перед веб-приложениями и анализирует двунаправленный веб-трафик (HTTP), обнаруживая и блокируя все вредоносное ПО. OWASP дает широкое техническое определение WAF как «решения безопасности на уровне веб-приложения, которое — с технической точки зрения — не зависит от самого приложения». ^[10] Согласно информационному дополнению PCI DSS к требованию 6.6, WAF определяется как «точка применения политики безопасности, расположенная между веб-приложением и конечной точкой клиента». Эта функциональность может быть реализована программно или аппаратно, на устройстве или на обычном сервере под управлением общей операционной системы. Это может быть автономное устройство или интегрированное в другие сетевые компоненты». ^[11] Другими словами, WAF может быть виртуальным или физическим устройством, которое предотвращает использование уязвимостей в веб-приложениях внешними угрозами. Эти уязвимости могут быть связаны с тем, что само приложение является устаревшим или оно было недостаточно запрограммировано. WAF устраняет эти недостатки кода с помощью специальных конфигураций наборов правил, также известных как политики.

Ранее неизвестные уязвимости можно обнаружить с помощью тестирования на проникновение или с помощью сканера уязвимостей. Сканер уязвимостей веб-приложений , также известный как сканер безопасности веб-приложений, определен в SAMATE NIST 500-269 как «автоматизированная программа, которая проверяет веб-приложения на наличие потенциальных уязвимостей безопасности». Помимо поиска уязвимостей, специфичных для веб-приложений, эти инструменты также ищут ошибки в программном коде». ^[12] Устранение уязвимостей обычно называют исправлением. Исправления в код можно внести в приложении, но обычно требуется более быстрый ответ. В таких ситуациях может потребоваться применение специальной политики для уникальной уязвимости веб-приложения, обеспечивающей временное, но немедленное исправление (известное как виртуальное исправление).

WAF не являются окончательным решением безопасности, скорее они предназначены для использования в сочетании с другими решениями по обеспечению безопасности периметра сети, такими как сетевые межсетевые экраны и системы предотвращения вторжений, для обеспечения целостной стратегии защиты.

WAF обычно следуют модели позитивной безопасности, негативной безопасности или их комбинации, как указано Институтом SANS . ^[13] WAF используют комбинацию логики на основе правил, синтаксического анализа и сигнатур для обнаружения и предотвращения атак, таких как межсайтовый скриптинг и внедрение SQL. Как правило, для обхода WAF используются такие функции, как эмуляция браузера, обфускация и виртуализация, а также IP-обфускация. ^[14] OWASP составляет список десяти основных недостатков безопасности веб-приложений. Все коммерческие предложения WAF охватывают как минимум эти десять недостатков. Есть и некоммерческие варианты. Как упоминалось ранее, одним из таких вариантов является известный движок WAF с открытым исходным кодом под названием ModSecurity. Одного механизма WAF недостаточно для обеспечения адекватной защиты, поэтому OWASP вместе с Spiderlabs Trustwave помогают организовать и поддерживать набор основных правил через GitHub. ^[15] для использования с движком ModSecurity WAF. ^[16]

Варианты развертывания [ править ]

Хотя названия рабочих режимов могут различаться, WAF в основном развертываются тремя разными способами. По данным NSS Labs, варианты развертывания — прозрачный мост , прозрачный обратный прокси-сервер и обратный прокси-сервер . ^[17] «Прозрачный» означает, что HTTP-трафик отправляется прямо в веб-приложение, поэтому WAF прозрачен между клиентом и сервером. В этом отличие от обратного прокси-сервера, где WAF действует как прокси-сервер, а трафик клиента отправляется непосредственно в WAF. Затем WAF отдельно отправляет отфильтрованный трафик веб-приложениям. Это может обеспечить дополнительные преимущества, такие как маскирование IP-адресов, но может привести к недостаткам, таким как задержка производительности.

См. также [ править ]

Ссылки [ править ]

^ «Брандмауэр веб-приложений» . ТехТаржет . Проверено 10 апреля 2018 г.
^ Прекратите развертывание брандмауэров веб-приложений.
^ Обнаружение нулевых дней до нулевого дня
^ «Perfecto Technologies представляет AppShield для электронного бизнеса – InternetNews» . www.internetnews.com . 27 августа 1999 года . Проверено 20 сентября 2016 г.
^ «Домашняя страница ModSecurity» . МодСекьюрити .
^ ДюПоль, Нил (25 апреля 2012 г.). «Что такое OWASP? Руководство по 10 лучшим вопросам безопасности приложений OWASP» . Веракод . Проверено 10 апреля 2018 г.
^ Свартман, Дэниел (12 марта 2018 г.). «Десять крупнейших угроз OWASP и сегодняшний ландшафт угроз» . ИТПроПортол . Проверено 10 апреля 2018 г.
^ Суровый (26 декабря 2021 г.). «Средний темп роста рынка брандмауэров веб-приложений (WAF) в 2021 году составит 19,2%» . Администрация брандмауэра . Проверено 26 декабря 2021 г.
^ «Рынок брандмауэров веб-приложений к 2022 году будет стоить 5,48 миллиарда долларов» . Журнал ЦИСО. 5 октября 2017 года. Архивировано из оригинала 11 апреля 2018 года . Проверено 10 апреля 2018 г.
^ Максимиллан Дерманн; Мирко Дзядзка; Борис Хемкемайер; Александр Мейзель; Маттиас Рор; Томас Шрайбер (7 июля 2008 г.). «Лучшие практики OWASP: использование брандмауэров веб-приложений версии 1.0.5» . ОВАСП . ОВАСП.
^ Совет по стандартам безопасности данных PCI (октябрь 2008 г.). «Информационное дополнение: обзоры приложений и уточненные брандмауэры веб-приложений, версия 1.2» (PDF) . PCI DSS . PCI DSS.
^ Пол Э. Блэк; Элизабет Фонг; Вадим Окунь; Ромен Гоше (январь 2008 г.). «Специальная публикация NIST 500-269 Инструменты Software Assurance: Функциональная спецификация сканера безопасности веб-приложений, версия 1.0» (PDF) . САМАТЭ НИСТ . САМАТЭ НИСТ.
^ Джейсон Пубал (13 марта 2015 г.). «Брандмауэры веб-приложений — корпоративные методы» (PDF) . Институт САНС . Читальный зал Инфобезопасности Института SANS.
^ ИПМ (29 июля 2022 г.). «Обратное проектирование того, как WAF, такие как Cloudflare, идентифицируют ботов» . Корпорация ИПМ . Корпорация ИПМ.
^ «Репозиторий проектов набора основных правил» . Гитхаб . 30 сентября 2022 г.
^ «Проект основного набора правил OWASP ModSecurity» . ОВАСП .
^ «МЕТОДОЛОГИЯ ТЕСТИРОВАНИЯ Брандмауэра веб-приложений 6.2» . Лаборатории НСС . Лаборатории НСС. Архивировано из оригинала 5 сентября 2022 г. Проверено 3 мая 2018 г.

[1] «Брандмауэр веб-приложений» . ТехТаржет . Проверено 10 апреля 2018 г.

[2] Прекратите развертывание брандмауэров веб-приложений.

[3] Обнаружение нулевых дней до нулевого дня

[4] «Perfecto Technologies представляет AppShield для электронного бизнеса – InternetNews» . www.internetnews.com . 27 августа 1999 года . Проверено 20 сентября 2016 г.

[5] «Домашняя страница ModSecurity» . МодСекьюрити .

[6] ДюПоль, Нил (25 апреля 2012 г.). «Что такое OWASP? Руководство по 10 лучшим вопросам безопасности приложений OWASP» . Веракод . Проверено 10 апреля 2018 г.

[7] Свартман, Дэниел (12 марта 2018 г.). «Десять крупнейших угроз OWASP и сегодняшний ландшафт угроз» . ИТПроПортол . Проверено 10 апреля 2018 г.

[8] Суровый (26 декабря 2021 г.). «Средний темп роста рынка брандмауэров веб-приложений (WAF) в 2021 году составит 19,2%» . Администрация брандмауэра . Проверено 26 декабря 2021 г.

[9] «Рынок брандмауэров веб-приложений к 2022 году будет стоить 5,48 миллиарда долларов» . Журнал ЦИСО. 5 октября 2017 года. Архивировано из оригинала 11 апреля 2018 года . Проверено 10 апреля 2018 г.

[10] Максимиллан Дерманн; Мирко Дзядзка; Борис Хемкемайер; Александр Мейзель; Маттиас Рор; Томас Шрайбер (7 июля 2008 г.). «Лучшие практики OWASP: использование брандмауэров веб-приложений версии 1.0.5» . ОВАСП . ОВАСП.

[11] Совет по стандартам безопасности данных PCI (октябрь 2008 г.). «Информационное дополнение: обзоры приложений и уточненные брандмауэры веб-приложений, версия 1.2» (PDF) . PCI DSS . PCI DSS.

[12] Пол Э. Блэк; Элизабет Фонг; Вадим Окунь; Ромен Гоше (январь 2008 г.). «Специальная публикация NIST 500-269 Инструменты Software Assurance: Функциональная спецификация сканера безопасности веб-приложений, версия 1.0» (PDF) . САМАТЭ НИСТ . САМАТЭ НИСТ.

[13] Джейсон Пубал (13 марта 2015 г.). «Брандмауэры веб-приложений — корпоративные методы» (PDF) . Институт САНС . Читальный зал Инфобезопасности Института SANS.

[14] ИПМ (29 июля 2022 г.). «Обратное проектирование того, как WAF, такие как Cloudflare, идентифицируют ботов» . Корпорация ИПМ . Корпорация ИПМ.

[15] «Репозиторий проектов набора основных правил» . Гитхаб . 30 сентября 2022 г.

[16] «Проект основного набора правил OWASP ModSecurity» . ОВАСП .

[17] «МЕТОДОЛОГИЯ ТЕСТИРОВАНИЯ Брандмауэра веб-приложений 6.2» . Лаборатории НСС . Лаборатории НСС. Архивировано из оригинала 5 сентября 2022 г. Проверено 3 мая 2018 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

v т и Информационная безопасность
Связанные категории безопасности	Компьютерная безопасность Автомобильная безопасность Киберпреступность Киберсекс-торговля Компьютерное мошенничество Кибергеддон Кибертерроризм Кибервойна Электромагнитная война Информационная война Интернет-безопасность Мобильная безопасность Сетевая безопасность Защита от копирования Управление цифровыми правами	vectorial version
Угрозы	Рекламное ПО Расширенная постоянная угроза Выполнение произвольного кода Бэкдоры Аппаратные бэкдоры Внедрение кода Криминальное ПО Межсайтовый скриптинг Межсайтовые утечки Затирание DOM Обнюхивание истории криптоджекинг Ботнеты Утечка данных Загрузка для проезда Вспомогательные объекты браузера Вирусы Парсинг данных Атака типа «отказ в обслуживании» Подслушивание Мошенничество по электронной почте Подмена электронной почты Эксплойты Хактивизм Небезопасная прямая ссылка на объект Регистраторы нажатий клавиш Логические бомбы Бомбы замедленного действия Вилочные бомбы Зип-бомбы Мошеннические дозвонщики Вредоносное ПО Полезная нагрузка Фишинг Голос Полиморфный движок Повышение привилегий программы-вымогатели Руткиты пугающие программы Шеллкод Спам Социальная инженерия Шпионское ПО Программные ошибки Троянские кони Аппаратные трояны Трояны удаленного доступа Уязвимость Веб-оболочки Стеклоочиститель Черви SQL-инъекция Мошенническое программное обеспечение безопасности Зомби
Защита	Безопасность приложений Безопасное кодирование Безопасно по умолчанию Безопасность благодаря дизайну Случай неправильного использования Контроль доступа к компьютеру Аутентификация Многофакторная аутентификация Авторизация Программное обеспечение компьютерной безопасности Антивирусное программное обеспечение Операционная система, ориентированная на безопасность Безопасность, ориентированная на данные Обфускация (программное обеспечение) Маскирование данных Шифрование Брандмауэр Система обнаружения вторжений Хост-система обнаружения вторжений (HIDS) Обнаружение аномалий Управление информацией о безопасности и событиями (SIEM) Мобильный безопасный шлюз Самозащита приложений во время выполнения Изоляция сайта