Что такое Web Application Firewall, для кого он предназначен и как применить его для защиты одного из самых актуальных векторов угроз корпоративной сети — об этом пойдёт речь в данной статье.
ЧТО ТАКОЕ WEB APPLICATION FIREWALL
Web Application Firewall — это защитный экран, который предназначен для защиты веб-приложений (сайтов, веб-порталов, CRM и ERP-систем с веб-интерфейсом) от атак. В отличие от обычного межсетевого экрана, WAF анализирует HTTP-протокол на уровне приложений (layer 7) и способен защитить сайт от большого количества угроз.
По статистике сервисов проксирования трафика за прошлый год около 50% всех обращений к сайтам идет от ботов, причем примерно 12% запросов — это поиски уязвимостей и атаки на веб-ресурсы.Быстрое распространение информации об уязвимостях в криминальной киберсреде и наличие поисковиков, предоставляющих информацию о всех особенностях опубликованных в Интернете ресурсов, привело к росту нецеленаправленных атак, прежде всего на веб-ресурсы, как на наиболее сложные и уязвимые сервисы.
Наибольший ущерб может причинить взлом веб-приложений, расположенных внутри корпоративных систем и хранящих ценные коммерческие или персональные данные. Отказаться от публикации данных ресурсов в сеть Интернет в современных условиях невозможно: все больше штатных и внештатных сотрудников используют корпоративную веб-почту, внутренние порталы, CRM и ERP-системы удаленно, из сети Интернет. Поэтому актуальной проблемой безопасности является защита корпоративных веб-приложений от действий злоумышленников.
МЕТОДЫ ЗАЩИТЫ
Модуль WAF, интегрированный в Ideco ICS, реализует следующие методы защиты
веб-приложения и полностью соответствует международным требованиям к данного типа межсетевым экранам.
Особенностью реализации фаервола веб-приложений в Ideco ICS является то, что кроме сигнатурного анализа и контентной фильтрации запросов к сайту, Ideco ICS осуществляет предварительную фильтрацию входящего трафика на более низком уровне: блокирует обращения от обновляемой базы IP-адресов злоумышленников IP Reputation и из сети TOR. Это позволяет существенно увеличить производительность решения, избавляя модули глубокого анализа трафика от анализа заведомо нелегитимных запросов, а также противодействует злоумышленникам, ведущим сканирование и сбор информации о веб-приложениях.Результаты сканирования сайта Acunetix Web Vulnerability Scanner без использования модуля WAF
Результаты сканирования сайта Acunetix Web Vulnerability Scanner после включения модуля WAF
Поведенческий анализ запросов также позволяет автоматически блокировать атакующих с помощью межсетевого экрана, что повышает устойчивость сайта к DoS-атакам.Таким образом, наличие модуля WAF в шлюзе безопасности Ideco ICS даёт возможность улучшить защиту серверов и сервисов корпоративной сети. Являясь частью UTM-решения, WAF прост в настройке и уже в базовой конфигурации способен защитить сайт от 70-85% нелегитимных запросов.