Защита веб-приложений: WAF

Руслан Рахметов, Security Vision

Рис. 1 – Web Application Firewall (WAF) – защита веб приложений

В этой статье мы рассмотрим решения класса Web Application Firewall (WAF). Сам термин состоит из двух частей: Web Application (веб приложение, сайт) и Firewall (как мы разбирали ранее, межсетевой экран). Чтобы понять его основное отличие от обычных брандмауэров, стоит разобраться в особенностях веб-приложений.

Самое главное отличие в том, что оно доступно по сети, а значит обеспечивает удобный и постоянный сервис своим пользователям без привязки к операционной системе (как мобильные приложения) и ограничений в мобильности (как standalone-приложения). В то же время это и «удобная» точка входа для злоумышленников. Если в 2014 году, когда Gartner только начал выпускать аналитику по WAF, около 60% атак на компании проходили через веб приложения, то сейчас считается, что решения подобного класса не нужны только тем компаниям, которым не жалко потерять веб-сервисы или их попросту нет.

Другое отличие состоит в многообразии функционала: несмотря на общее обозначение HTTP(S) поверх этого веб-протокола может быть дополнительная надстройка (или несколько), обеспечивающая разнообразие способов взаимодействия и, соответсвенно, многообразие методов атак. Это значит, что самый эффективный WAF, как и решения типа NGFW, должен сочетать в себе сразу несколько модулей защиты, работающих параллельно. Каждая система защиты веб приложений включает в себя модули сигнатурного анализа и защиты от DDoS-атак, которые мы рассматривали в прошлой статье.

Рис. 2 – Технологии внутри WAF

Первая технология, которая приходит на ум при поиске вредоносной активности – сигнатурный анализ. Эта технология давно применяется системами разных классов, начиная с антивирусов на конечных точках и серверных компонентах. В случае с WAF анализ сигнатур дополняет методы анализа HTTP и надстроек сверху в решениях почти каждого вендора. Аналогично специализированным средствам защиты почты, WAF применяет ещё одну технологию – репутационный анализ отдельных элементов в трафике, который основан на глобальной работе решений. Вместе два этих модуля хоть и не позволяют защититься от атак нулевого дня, но благодаря постоянным обновлениям способны эффективно отбросить часть угроз.

Работу WAF поддерживает и комьюнити экспертов каждого вендора: постоянное обновление политик безопасности в данных решениях наиболее эффективно, если их разрабатывает эксперт. Чтобы разобрать неизвестную активность, WAF системы разбирают сеансы работы пользователей с веб-приложением целиком (с анализом URL и cookie-файлов клиента). Так становится возможным обнаруживать мошенническую активность на стороне браузера и подмену форм ввода, защищая не веб-приложение, а самого пользователя. Эксперты, наполняя политики новыми правилами, ориентируются на методологии OWASP и описанные в различных стандартах (например, PCI DSS). Зачастую для помощи экспертам в создании новых политик применяются технологии машинного обучения.

Машинное обучение позволяет также составить профиль клиента и спрогнозировать дальнейшую нагрузку. В идеале с применением балансировщиков можно повысить отказоустойчивость всего комплекса веб-приложений, но для этого необходимо разработать отдельные интеграции. Задачи интегрирования решаются либо при помощи собственной/заказной разработки, либо с применением low-code инструментов, например, в рамках SOAR-платформ. Так, данные из одного модуля WAF могут поступать в IT-системы и СЗИ, запуская целые цепочки действий по предотвращению последствий атаки.

WAF могут включать в себя и модули типов SAST, IAST и DAST. Статический анализ исходного кода позволяет при помощи комьюнити обнаружить уязвимости и получить готовое решение. «Простукивание» сайта безопасными атаками дает возможность обнаружить такие угрозы, которые пока не были описаны в источниках. Также, при динамическом анализе используется уже скомпилированное приложение и нет привязки к языку, на котором написан его код. Совместное применение сканеров именно в рамках WAF позволяет установить виртуальную «заплатку» на защищаемый сервис без отрыва от текущих спринтов разработки.

Рис. 3 – Расположение WAF

Решение обычно разворачивается на границе периметра, между защищаемым сервисом и его пользователями снаружи. Это позволяет повысить защиту именно на уровне приложений, а также обеспечить инспекцию SSL/TLS трафика. Применение модулей anti-DDos и постоянные обновления политик безопасности через облачные сервисы ставят решения WAF в гибридный режим.

Из-за требований к скорости работы наиболее эффективными тут становятся решения, поставляемые как программно-аппаратный комплекс - с железом, на котором скорость работы оптимизирована специально под алгоритмы WAF. С другой стороны, при наличии небольшого запаса по мощности систему можно развернуть на уже имеющихся сервисах, что удобно с точки зрения ИТ-поддержки. Сами модули системы могут находиться как на периметре, в качестве эшелона перед защищаемым сервисом, так и в облаке.

WAF – комплексное решение по защите веб-приложений, которое может включать в себя функциональные возможности, унаследованные от антивирусов и межсетевых экранов других видов (NGFW, UTM или классический брандмауэр). Проникновение технологий SAST/DAST позволяет не только пользоваться экспертизой вендора, но и выпускать виртуальные патчи, защищая приложение от новых угроз.

Тем не менее, в ряде случаев такие технологии, как репутационный анализ сайтов и реализация многопротокольной защиты, чуть более эффективны в решениях типов IPS или NGFW. Располагаясь на границе сети, WAF обеспечивает максимальную глубину анализа пользовательской деятельности, защищая приложение и иногда даже самих клиентов от возможного мошенничества. Постоянное обновление экспертизы через облачные элементы делает ресурс эффективным в рамках подписочной модели лицензирования, а также при использовании в облачном провайдере.