WAF и IPS: межсетевой экран веб-приложений и система предотвращения вторжений

Веб-приложения любых компаний могут подвергаться атакам со стороны хакеров, поэтому стоит позаботиться о защите от актуальных угроз. Необходимые инструменты для обеспечения информационной безопасности: Web Application Firewall (WAF) и Intrusion Detection System (IPS), которые распознают и блокируют вредоносную активность. В статье расскажем о принципах работы этих эффективных решений, основных функциях и пользе для бизнеса.

Что такое WAF и IPS

WAF — межсетевые экраны, ориентированные на защиту веб-приложений от киберугроз. Они фильтруют трафик на прикладном уровне (уровне приложений, L7), в то время, как традиционные брандмауэры работают на сетевом и транспортном (L3, L4). Файрволы уровня приложений размещаются перед защищаемыми ресурсами, и через них проходят все входящие запросы. Легитимные — пропускаются, вредоносные — блокируются.

IPS — системы предотвращения вторжений, распознающие вредоносную активность по сигнатурам атак или аномалиям сетевого трафика. Некоторые решения применяют специальные правила и считают подозрительным весь несоответствующий им трафик.

WAF и IPS — не взаимозаменяемые решения. Межсетевой экран прикладного уровня становится главным инструментом защиты веб-приложений, система предотвращения вторжений — вспомогательным.

Принципы работы WAF

Специализированные системы WAF для защиты веб-приложений и API в реальном времени анализируют веб-трафик, расшифровывают пакеты данных и инспектируют содержимое, а также производят фильтрацию, за счет чего удается распознавать и блокировать угрозы.

WAF способны обнаруживать больше видов атак, чем IPS. Они эффективно работают против таких угроз, как:

• DDoS-атаки уровня приложений (L7).
• Атаки OWASP Top 10 (SQL и другие виды инъекций, межсайтовый скриптинг, подделка запросов и др).
• Активность вредоносных ботов (парсеров, сканеров, спам-ботов).
• Атаки на SMS-сервисы.
• Атаки на 1-DAY-уязвимости.
• BruteForce (подбор паролей от пользовательских аккаунтов) и BruteForce типа Card Cracking (подбор недостающих чисел в номерах банковских карт) и др.

Также в WAF реализованы инструменты для сканирования подконтрольного ресурса на наличие уязвимостей. Они позволяют обнаруживать слабые места веб-приложения и устранять их до того, как о них узнают злоумышленники. Именно уязвимости зачастую и становятся причиной атак — хакеры ищут их с помощью специальных сканеров и эксплуатируют в преступных схемах.

Резюмируем — межсетевые экраны прикладного уровня обеспечивают многоступенчатую защиту веб-ресурсов, обнаруживают ботнет-активность и попытки взлома пользовательских аккаунтов, а также позволяют обнаружить слабые места приложений.

Как работают системы IPS

Такие решения состоят из двух компонентов: инструментов обнаружения вторжений и предотвращения, поэтому иногда их называют двойной аббревиатурой — IDS/IPS. В отличие от WAF с многоступенчатой защитой, IPS-системы разделяются на разновидности в зависимости от принципа обнаружения угроз. Решения могут быть:

• Сигнатурными. Такие IPS-системы сопоставляют запросы с базой сигнатур — признаков известных атак. Это позволяет определять подозрительный трафик и идентифицировать характер угрозы.
• Основанными на правилах. Такие решения анализируют трафик с применением механизмов логических выводов. Если активность в приложении не соответствует заранее заданным характеристикам, запросы к ресурсу блокируются.
• Основанными на аномалиях. Такие системы при анализе руководствуются показателями с прошлых периодов. Если наблюдаются серьезные отклонения, IPS предполагает атаку. Примеры аномалий: резкий скачок трафика, использование нестандартных портов и протоколов, нетипичные пути передачи данных и др. Чтобы система могла выявлять такие случаи, ее необходимо предварительно обучить.

Что делает IPS-система, когда отмечает подозрительную активность? Как и WAF, она блокирует запросы, отсеивает сомнительные пакеты данных. В некоторых случаях возможен разрыв соединения с атакующим источником.

WAF и IPS: в чем разница

Если глубоко не погружаться в специфику работы систем, можно подумать, что WAF, IPS (IDS) работают примерно одинаково. Действительно, оба решения направлены на обнаружение угроз, поиск атак на основе баз сигнатур, повышение уровня безопасности веб-приложений.

Первое и ключевое различие WAF и IPS — межсетевой экран прикладного уровня умеет вскрывать пакеты данных и проверять их содержимое. IPS не расшифровывает трафик, поэтому не увидит такие атаки, как инъекции, межсайтовый скриптинг. Системы обнаружения вторжений больше направлены на выявление атак с эксплуатацией конкретных уязвимостей ПО, DDoS-атак.

Второе отличие WAF и IPS — разные уровни анализа. Решения первого класса умеют анализировать логику запросов, второго — проверять трафик на соответствие аномалиям и сигнатурам атак.

Третье различие решений в том, что WAF являются более узконаправленными системами, чем IPS. Межсетевые экраны прикладного уровня ориентированы на анализ HTTP/HTTPS-трафика, а средства предотвращения вторжений — на выявление сетевых атак на различных уровнях модели OSI.

Понимание различий между WAF и IPS помогает выбрать правильное решение для конкретных потребностей бизнеса. Многие находят целесообразным комбинировать системы, чтобы в «командной работе» сильнее раскрылись преимущества и нивелировались недостатки. В качестве WAF может выступать сервис от Solar, который подключается по подписке.

Преимущества Solar WAF

Решение от Solar будет оптимальным вариантом, если нет возможности развернуть WAF и IPS на своих мощностях. Продукт используется в рамках сервисной модели, то есть все заботы по подключению и настройке берут на себя эксперты ГК «Солар». Заказчику не придется закупать дорогостоящее оборудование и программное обеспечение, искать в штат специалистов по ИБ.

Какие еще преимущества использования Solar WAF можно выделить:

• Многоступенчатые модули защиты, благодаря которым система эффективно работает против различных атак: из топ Owast 10, переборных, автоматизированных, таргетированных.
• Применение уникальных правил от специалистов ГК «Солар» для более точного выявления угроз.
• Выявление уязвимостей подконтрольного веб-приложения.
• Реальный круглосуточный мониторинг и мгновенная блокировка обнаруженных угроз за счет 5 филиалов в разных часовых поясах России.
• Экспертная поддержка и выделенный сервис-менеджер для быстрого решения вопросов
• Адаптивные тарифы, которые можно подбирать в зависимости от количества трафика и пиковых сезонов.
• Подключение и ввод в эксплуатацию всего за 3-5 дней.
• Возможность настроить индивидуальный профиль защиты, предварительно обучив сервис на трафике клиента, что позволяет сократить количество ложных срабатываний системы.

Сервис WAF от Solar MSS предлагает комплексную защиту, соответствующую современным требованиям безопасности. При этом заказчики могут экономить на установке оборудования и содержании штата экспертов, что делает решение доступным и для малого бизнеса.