Что такое WAF в информационной безопасности

Насколько веб-приложения важны для бизнеса и его клиентов, настолько же привлекательны для хакеров — количество кибератак на сервисы растет из года в год. Ресурс любой компании может оказаться под угрозой, независимо от специфики работы и сферы деятельности. Чтобы защитить сайт и бизнес в целом, необходимо как можно раньше подумать о внедрении специальных инструментов, таких, как Web Application Firewall (WAF). Рассказываем, почему WAF критически важны для обеспечения безопасности ресурсов, какие функциональности заложены в этих решениях, против каких угроз они эффективны.

Что такое WAF в информационной безопасности

WAF — межсетевые экраны, которые работают на прикладном уровне (L7) модели OSI. Это своеобразные фильтры, устанавливаемые перед защищаемыми ресурсами и анализирующие все передаваемые к ним запросы с целью обнаружения вредоносной активности. Ключевые задачи таких решений: фильтрация веб-трафика, обнаружение источников подозрительных действий и блокировка угроз.

Чем технология WAF для безопасности веб-приложений отличается от традиционных межсетевых экранов, которые считаются базовым средством защиты? Традиционные брандмауэры программного или аппаратного типов эффективно выполняют свои функции на сетевом и транспортном уровнях (L3-L4) 0SI, а Web Application Firewall ориентированы именно на прикладной, поэтому могут защищать приложения даже от сложных таргетированных атак.

WAF являются неотъемлемой частью системы безопасности веб-приложений. Такие решения подходят для бизнеса любых масштабов и разных типов ресурсов.

Как обеспечивается безопасность с помощью WAF? Межсетевые экраны прикладного уровня осуществляют глубокий анализ трафика, выявляя признаки атак (сигнатуры), которые могли быть пропущены другими средствами защиты. Некоторые решения могут автоматически обнаруживать уязвимости веб-сервисов и противодействовать ботнет-активности.

Чтобы обеспечить безопасность веб-приложений с помощью Web Application Firewall, не обязательно разворачивать решение на своей стороне — можно прибегнуть к сервисной модели. Именно так подключается WAF от ГК «Солар», который уже доказал свою эффективность и способность отражать атаки любой сложности.

Сервис защиты веб-приложений (WAF) от Solar MSS может адаптироваться под трафик приложения заказчика. При подключении решения эксперты до 40 дней обучают сервис и настраивают индивидуальный профиль защиты.

Атаки, от которых защищает WAF

Межсетевой экран прикладного уровня сервиса WAF Solar MSS защищает от всех уязвимостей из списка OWASP TOP 10 (межсайтового скриптинга, переборных атак, межсайтовой подделки запросов и др). Также он способен отразить атаки с использованием ботов и сложные целевые атаки, например:

• Таргетированные DDoS-атаки. Боты выбирают «тяжелую» функцию приложения, подразумевающую загрузку большого количества компонентов интернет-ресурса и кликают ее. В результате даже низкочастотные роботы создают чрезмерную нагрузку. Чтобы обеспечить безопасность, в профиле защиты на контроль ставятся определенные функции веб-приложения и выбираются небольшие пороги запросов.
• BruteForce с помощью ботов — подбор паролей в личные кабинеты пользователей с целью кражи персональной информации, оформления услуг на владельцев личных кабинетов, перевода денежных средств и других злоумышленных действий. Защита веб-приложений (WAF) блокирует вредоносную активность на малом пороге срабатывания бота, если тот подбирает по порядку цифры или буквы по алфавиту (в любую сторону). На большом пороге срабатывания выводится капча, либо возможность продолжать подбор приостанавливается на X минут.
• Атаки на смс-сервисы, которые приводят к увеличению расходов владельца приложения и снижению прибыли. Защита работает также, как и в случае с DDoS-атаками, то есть можно настроить количество допустимых попыток в целом или за определенную единицу времени. Если отклонение интервала между запросами к СМС-сервису будет отличаться от среднеарифметического значения, сервис выведет капчу, выполнит отдачу скоринга на X минут или блокировку. Также силами экспертов Solar MSS могут быть настроены другие кастомные правила более подходящие для защиты конкретной бизнес-логики защищаемого приложения.
• Активность поисковых (Googlebot, Bingbot и т.д), нейтральных (Ahrefs), пользовательских ботов, ботов-парсеров, накрутчиков или сканеров. Сервис обнаруживает вредоносных гостей ресурса проверяя их по списку user-agent и сравнивая пользовательские действия с базой данных известных ботов.
• Скликивание рекламы — ситуации, когда бот кликает одну и ту же рекламу много раз, из-за чего она становится недоступна для реальных пользователей. В результате компания зря сливает рекламный бюджет и не получает новых клиентов. Solar WAF выполняет анализ клиентских соединений и исследует поведение пользователей, определяет вредоносных ботов и на старте блокирует их активность.
• Спам: фейковые комментарии на сайте, большое количество анкет и заявок, сгенерированных ботами. Solar WAF отмечает аномальную активность, проводит поведенческий анализ и в целях безопасности блокирует ботов.
• Peak Traffic Spikes. Например, если нагрузка за X минут выросла на Y%, то после этого идет блокирование запросов с IP-адресов, попавших под подозрение, с целью сохранения нагрузки на веб-приложение на уровне X*(1+Y%).

Также WAF будет фиксировать комбинации IP и куки, чтобы блокировать пользователей в случае, если IP поменялся, а куки остались прежними (это значит, что их «угнали»).

Преимущества использования сервиса WAF Solar MSS для безопасности веб-приложений

Что дает бизнесу подключение WAF в формате сервисной модели:

• Высокий уровень безопасности благодаря современным решениям, используемым в Solar MSS.
• Надежную защиту ресурса за счет технологии глубокого сигнатурного анализа и применения уникальных правил безопасности, адаптированных под конкретные приложения.
• Экономию на инфраструктуре — не нужно покупать оборудование и дорогостоящее программное обеспечение.
• Поддержка опытных ИБ-экспертов, что дает возможность не нанимать специалистов в штат.
• Реальный круглосуточный мониторинг и оперативное реагирование на угрозы за счет филиалов во всех часовых поясах России.
• Адаптивные тарифы, которые можно менять в зависимости от объемов трафика, например, выбирать более продвинутые на сезон распродаж или под запуск рекламы. Стоимость использования сервиса складывается из количества защищаемых ресурсов, количества запросов в секунду и объема веб-трафика. В любой тариф включены техническая поддержка и мониторинг работоспособности приложения.

И, наконец, WAF Solar MSS – это удобно. Не нужно ничего устанавливать и организовывать самостоятельно. Эксперты Solar MSS полностью возьмут на себя заботу о безопасности веб-приложения, а бизнес сможет сосредоточиться на развитии и продвижении.