Межсетевые экраны приложений WAF

WAF - тип брандмауэра, применяемый непосредственно к веб-приложениям. Он анализирует входящий и исходящий трафики (HTTP и HTTPS) веб-приложения, обнаруживая и блокируя вредоносный код. Также WAF может быть и виртуальным устройством, которое не позволяет использовать уязвимости в веб-приложениях внешними угрозами. Такие уязвимости могут возникать из-за того, что само приложение устаревшее либо недостаточно закодировано в соответствии с проектом. WAF способен устранить такие недостатки кода при помощи специальных политик межсетевых экранов.

Чтобы обнаружить ранее неизвестные уязвимости обычно проводят тестирование на проникновение или используют сканер уязвимостей. Обнаруженные уязвимости устраняют, внося необходимые исправления в код приложения. Но, как правило, необходимо более оперативное реагирование. В таком случае может потребоваться применение настраиваемой политики для уникальной уязвимости веб-приложения для обеспечения немедленного исправления (виртуальное исправление).

При всех своих преимуществах, WAF не является полноценным решением проблем безопасности. В общем случае рекомендовано использовать их в комплексе с другими решениями, такими как сетевые брандмауэры и системы предотвращения вторжений, для обеспечения целостной стратегии защиты.

При фактически равных базовых возможностях имеющихся WAF-решений можно выделить следующие характеристики, которые остаются специфичными для отдельных продуктов и могут иметь ключевое влияние на их выбор в зависимости от требований к процессу защиты:

• гранулярность предустановленных сигнатур/правил;
• схема обновления сигнатур, предлагаемая производителем (а также ее стоимость);
• алгоритмы обнаружения повторяющихся (автоматизированных) активностей, в том числе вероятностного (fuzzy) подбора параметров вектора атаки;
• принцип работы алгоритмов построения поведенческого профиля защищаемого приложения, в том числе схема обучения модели;
• схема применения обученной модели к продуктивной среде;
• возможности (гранулярность, оперативность) внесения корректив в примененную модель с целью отключения ложных срабатываний, выявленных на продуктивной среде;
• своевременность выпуска критичных обновлений продукта в случае обнаружения способов обхода фильтрации;
• возможность обновления компонентов решения с минимальным временем простоя продуктивной среды;
• схема подключения к инспектируемому потоку, в том числе схема обмена информацией (обнаружение корреляций между воздействиями) в случае защиты приложений с балансировкой сетевой нагрузки;
• возможность интеграции с внешними сервисами, в том числе антивирусными решениями;
• системами противодействия утечкам информации (DLP);
• репутационными сервисами;
• системами управления событиями информационной безопасности (SIEM)

Решения разных вендоров WAF как правило отличаются набором функций.
Наиболее интересные отличительные особенности современных межсетевых экранов приложений:

• Контроль SSL-трафика. Возможность проверки зашифрованного трафика - одно из ключевых отличий WAF от обычных межсетевых экранов и IPS.
• Службы проверки подлинности: WAF является единой точкой входа для веб-приложений или проверяет подлинность устаревших приложений, аутентификация которых нарушена.
• Поддержка политики безопасности контента (Content Security Policy, CSP) для защиты от XSS и других атак

Многими экспертами в сфере информационной безопасности прогнозируется ряд интересных направлений развития WAF:

• Новые алгоритмы поведенческого анализа, которые позволят лучше идентифицировать пользователей и выявлять ботов и злоумышленников (UBA).
• Защита приложений, построенных на базе HTML5, протоколов на базе XML, с использованием нереляционных БД (NoSQL).
• WAF, ориентированные на более узкие сегменты: банковские (ДБО), системы ERP, масс-медиа и др.