Positive technologies application firewall это
Обновлено: 06.07.2024
PT Application Firewall — межсетевой экран уровня веб-приложений (Web Application Firewall) компании Positive Technologies. Предназначен для защиты веб-ресурсов организации от известных и неизвестных атак, включая OWASP Top 10, автоматизированных атак, атак на стороне клиента и атак нулевого дня. Решение основано на передовых технологиях и регулярных исследованиях экспертов, чтобы обеспечить высочайший уровень безопасности и непрерывность бизнес-процессов организации.
Ключевые возможности
Автоматическое блокирование атак нулевого дня – PT Application Firewall анализирует сетевой трафик, системные журналы и действия пользователей для создания актуальной статистической модели функционирования приложения. Такой подход позволяет перейти от сигнатурного анализа к интеллектуальному, при котором выявляются аномальные запросы и поведение. В сочетании с другими защитными механизмами это позволяет блокировать атаки нулевого дня без дополнительной настройки профиля безопасности.
P-Code: мгновенная целевая защита. Технология виртуального патчинга позволяет защитить приложение до исправления небезопасного кода. Однако в большинстве WAF создание патчей происходит вручную. Уникальный анализатор исходного кода с функцией генерации эксплойтов (P-Code) позволяет автоматически выявлять уязвимости и создавать виртуальные патчи для PT Application Firewall, а также обеспечивает разработчиков точной информацией об уязвимостях, значительно сокращая расходы на исправление и тестирование.
Расширенная защита от DDoS-атак уровня приложений. С помощью алгоритмов машинного обучения продукт автоматически выполняет непрерывное профилирование поведения пользователей. В результате можно отслеживать активности, отличающиеся от нормального пользовательского поведения, включая попытки совершить DDoS-атаки уровня приложений. Информация о подозрительных активностях поступает заблаговременно, чтобы специалисты по безопасности могли принять меры по защите и предотвратить сбои в работе приложения. Расширенные возможности PT AF устраняют необходимость использования сторонних средств мониторинга DDoS-атак уровня приложений.
Защита от программ-роботов (bot mitigation). Автоматическое профилирование поведения пользователей также позволяет оперативно обнаруживать автоматизированные атаки, осуществляемые с целью кражи уникального контента или размещения несанкционированного контента на защищаемом сайте. При этом PT AF не блокирует поисковые боты, тем самым не нарушая индексацию сайта.
Маскирование данных. Администратор может создавать правила определения чувствительных данных, к примеру паспортных данных или номеров банковских карт. Эти правила можно применять для маскировки такой информации от третьих лиц или даже от администраторов PT Application Firewall. Это позволяет добиваться максимального уровня конфиденциальности данных конечных пользователей.
Помощь в выполнении требований PCI DSS и других международных, государственных и корпоративных стандартов безопасности.
Основные преимущества
Простота внедрения. Чтобы легко встроиться в любую инфраструктуру, PT AF может поставляться как серверы и виртуальные машины, размещаться в Microsoft Azure или в выделенной виртуальной инфраструктуре и имеет несколько режимов внедрения, в том числе прозрачный прокси-сервер для мгновенного старта. Простая настройка и готовые политики безопасности обеспечивают быстрый запуск продукта.
Гибкость и адаптивность. Предустановленные шаблоны политик безопасности можно адаптировать к специфике приложений, настраивая их по уровню безопасности, в том числе для нескольких приложений или их отдельных частей. Гибкость и высокий уровень автоматизации позволяют надежно защищать приложения любого типа — даже при непрерывном их обновлении — с высоким уровнем отказоустойчивости.
Высокая точность детектирования угроз. Комбинация позитивной и негативной моделей безопасности, непрерывный анализ поведения пользователей, а также использование машинного обучения позволяют свести число ложных срабатываний к минимуму и мгновенно выявлять реальные угрозы, в том числе попытки DDoS- и автоматизированных атак, а также ранее неизвестные атаки (атаки нулевого дня).
Автоматическая приоритизация угроз. Уникальный для WAF механизм корреляции выстраивает цепочки атак, позволяет выявлять APT и автоматически приоритизировать обнаруженные угрозы по уровню риска. Это помогает мгновенно увидеть серьезные угрозы и принять меры противодействия. Корреляции и способность PT AF обнаруживать уязвимости посредством SAST и DAST существенно упрощают расследования инцидентов.
Защита 360⁰. Посредством интеграции с PT Application Inspector и встроенных сканеров безопасности PT AF защищает от атак на уязвимости в коде приложения и на ошибки в конфигурации веб-серверов и CMS. Модуль WAF.js, маскирование данных и тонкая настройка доступа защищают пользователей. Интеграция с другими системами, в частности с
Максимальная производительность. Благодаря применению современных технологий обработки трафика, алгоритмов сжатия, кэширования и агрегации данных PT AF гарантирует эффективность в использовании ресурсов виртуальной инфраструктуры. Возможность использования кластерного решения PT AF позволяет обеспечивать безопасность при любом потоке трафика.
Сравнение популярных на российском рынке фаерволов для защиты веб-сайтов, чаще именуемых Web Application Firewall (WAF), поможет корпоративным заказчикам выбрать наиболее подходящее для них решение. В сравнении участвуют: Positive Technologies, Barracuda, Citrix, F5, Imperva и Wallarm. Сравнение проведено по 120 критериям, среди которых: режимы работы, отказоустойчивость, производительность, реализация механизмов защиты (блокировка атак, сигнатурный, поведенческий и репутационный анализ, машинное обучение) и т. д.
Введение
На фоне роста популярности интернет-сервисов растет и потребность в защите веб-сайтов от взлома и несанкционированного доступа. Для решения этой задачи на рынке информационной безопасности рекомендуется использовать специальные фаерволы для веб-приложений (Web Application Firewall, WAF). Они способны в автоматическом режиме обнаруживать и блокировать атаки на веб-приложения.
Мы уже не раз рассматривали проблемы защиты веб-приложений и применение WAF, например, в статьях Коробочная безопасность веб-приложений. Внутренности Web Application Firewall и WAF и анализ исходного кода: объединение способов защиты веб-приложений. Кроме того, мы делали подробный Обзор рынка защиты веб-приложений (WAF) в России и в мире, где проанализировали мировой и российский рынки и рассмотрели основных игроков.
В рамках данного исследования мы постарались сравнить функциональные возможности WAF, наиболее распространенных на отечественном рынке. Надеемся, это поможет потенциальным потребителям определиться с выбором подходящего для них решения.
Методология сравнения WAF
Как мы уже не раз отмечали в наших сравнениях, в основе методологии лежит совокупность критериев сравнения. Качество и полнота выбранных критериев всегда определяют глубину анализа продуктов и позволяют отразить особенности продукта на фоне остальных.
При формировании критериев мы старались не просто выбрать те, которые характеризуют функциональность продуктов, но и предоставить их в формате, ориентированном на конечного пользователя. Для удобства мы разделили критерии сравнения на следующие логические группы:
Для сравнения мы остановили свой выбор на наиболее популярных на российском рынке отечественных и зарубежных WAF. В итоге было отобрано шесть продуктов:
- Российские продукты:
- 1.1. PT Application Firewall (Positive Technologies)
- 1.2. Wallarm (доступен также в составе InfoWatch Attack Killer и услуг Qrator Labs)
- Зарубежные продукты:
- 2.1. Barracuda Web Application Firewall
- 2.2. Citrix NetScaler AppFirewall
- 2.3. F5 BIG-IP Application Security Manager
- 2.4. Imperva SecureSphere Web Application Firewall
Хотелось бы отметить, что представители всех указанных производителей принимали непосредственное участие в формировании перечня критериев, в сборе сведений о продуктах и подготовке данного материала.
Готовя это сравнение, мы не ставили целью назвать лучших, мы констатировали факты о продуктах в соответствии с критериями сравнения. А соответствующие выводы о выборе наиболее подходящего под потребности и возможности конечного потребителя может сделать только сам потребитель.
Сравнение WAF
Общие сведения
Сертификат ФСТЭК №3455 (27.10.2015 — 27.10.2018)
Сертификат МО РФ №2619 от 21 июля 2017
Сертификат соответствия Республики Беларусь №0064400
Курсы вендора.
Курсы в ТНЦ "Учебный центр"
Образовательная програма для ВУЗов "Positive education" (более 130 ВУЗов)Архитектура (инфраструктурные требования)
Режимы работы
Вид поставки
Поддержка SSL
Отказоустойчивость
Производительность
Для виртуальной машины:
до 100 Mbps — Модель V1000Для Amazon Web Services:
до 100 Mbps — Модель AV1000Для блейдового шасси VIPRION:
40/18 Gbps (L4/L7) — Модель VIPRION 2150/2100 BladeДля виртуальной машины:
до 1 Gbps — Модель V4500Для Amazon Web Services:
до 500 Mbps — Модель AV2500Для блейдового шасси VIPRION:
140 Gbps (L4/L7) — Модель VIPRION 4450 BladeДля блейдового шасси VIPRION (SSL транзакций в секунду):
10000TPS — Модель VIPRION 2150/2100 Blade135000RPS — для узла на базе Intel Xeon E5-2687W v4 3.0Ghz (36 CPU Cores, 32 Gbyte RAM, 2x10Gbit/sec NIC)
10500RPS — для узла на базе AWS m4.xlarge (4vCPU, 16 Gbyte RAM)
Для блейдового шасси VIPRION (SSL транзакций в секунду):
160000TPS — Модель VIPRION 4450 Blade135000RPS — для узла на базе Intel Xeon E5-2687W v4 3.0Ghz (36 CPU Cores, 32 Gbyte RAM, 2x10Gbit/sec NIC)
10500RPS — для узла на базе AWS m4.xlarge (4vCPU, 16 Gbyte RAM)
Прочие
Реализация механизмов защиты
Блокировка атак
Сигнатурный анализ
Поведенческий и репутационный анализ
Формирование эталонной (позитивной) модели безопасности (машинное обучение)
Защита идентификаторов сессий
Специальные механизмы защиты (не сигнатурные)
Защита от DDoS на уровне приложения on premise
Формирование правил пользователями (пользовательские правила)
XML Firewall
Интеграция
Webroot BrightCloud IP Reputation Service
Обслуживание системы
Политика безопасности
Оперативный мониторинг
Журнал событий безопасности
Уведомления
В приведенном сравнении фаерволов для веб-приложений мы не делали их итогового ранжирования, надеясь, что, ознакомившись с представленными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какой из рассмотренных продуктоы наиболее подходит для его целей. Ведь в каждом конкретном случае заказчик сам определяет требования к функциональным возможностям WAF, а значит, сможет сделать из сравнения правильный именно для него вывод.
Эльдар Бейбутов, консультант, Positive Technologies
Денис Колегов, руководитель группы исследований технологий защиты приложений, Positive Technologies
Суховей Андрей Анатольевич, независимый эксперт по информационной безопасности
Бубнов Михаил, директор по развитию продуктов, Attack Killer
Денис Куликов, директор по развитию бизнеса, Wallarm
Илья Четвертнев, заместитель технического директора, Информзащита
Анатолий Ромашев, руководитель отдела безопасности прикладных систем, Информзащита
Сергей Халяпин, главный инженер представительства Citrix в России и странах СНГ
PT Application Firewall - это инновационная система защиты, которая точно обнаруживает и блокирует атаки, включая атаки из списка OWASP Top 10 и классификации WASC, L7 DDoS и атаки нулевого дня.
PT AF обеспечивает непрерывную защиту приложений, пользователей и инфраструктуры и помогает соответствовать стандартам безопасности.
Физический сервер PT AF устанавливается на стороне клиента. Доступны следующие режимы развертывания: работа в разрыв (модели: прозрачный прокси-сервер, обратный прокси-сервер, сетевой мост L2), режим мониторинга и автономный режим.
Виртуальные машины PT AF разворачиваются в выделенной виртуальной инфраструктуре клиента (например, в среде VMware vSphere). Доступны те же режимы развертывания, что и для программно-аппаратного комплекса.
В приватном, публичном (Microsoft Azure) или гибридном облаке
Доступны те же режимы развертывания, что и для программно-аппаратного комплекса. При этом развертывание виртуальной машины PT AF в публичном облаке Microsoft Azure происходит буквально в один клик из Azure Marketplace.
PT AF как сервис (SaaS) с управлением на стороне Positive Technologies или на стороне клиента
Если у вас нет возможности устанавливать на своей стороне высоконагруженные системы или Вам нужно более гибкое ценообразование, например, плата только за проанализированный трафик или за определенные часы использования продукта, PT AF может быть внедрен по модели SaaS. Система размещается в инфраструктуре Positive Technologies и выполняет анализ трафика, создание отчетов, обработку и хранение данных об инцидентах безопасности. Вы просто отправляете трафик нам и после обработки получаете его обратно через интернет. Positive Technologies Application Firewall — это больше, чем защита веб-приложений WAF. Передовые технологии и ряд уникальных интеграций, среди которых интеграция с анализатором кода PT Application Inspector, позволяют обеспечить всестороннюю и непрерывную безопасность приложений, в том числе постоянно обновляемых, а также защиту пользователей и инфраструктуры.![]()
Сценарии использования
Профилирование приложения с использованием поведенческого анализа не только обеспечивает защиту, но и позволяет прогнозировать развитие атаки
Комбинация техник, основанных на алгоритмах машинного обучения, для выявления аномалий и автоматической защиты от неизвестных атак
Встроенные сканеры безопасности и интеграция с PT Application Inspector для обнаружения уязвимостей в исходном коде приложения и блокировки атак на них Модуль WAF.js, работающий на стороне клиента, маскирование данных и тонкая настройка доступа для всесторонней защиты пользователей приложений
Анализ поведения пользователей для точного обнаружения программ-роботов и защиты от автоматизированных атак без влияния на легитимный трафик Анализ данных в форматах JSON и XML, а также интеграция с решением Approov для защиты от атак на API веб- и мобильных приложений
Преимущества
Чтобы легко встроиться в любую инфраструктуру, PT AF может поставляться как серверы и виртуальные машины, размещаться в Microsoft Azure или в выделенной виртуальной инфраструктуре, имеет несколько режимов внедрения, в том числе, прозрачный прокси-сервер для мгновенного старта.
Простая настройка и готовые политики безопасности обеспечивают быстрый запуск продукта.
Предустановленные шаблоны политик безопасности можно адаптировать к специфике приложений, настраивая их по уровню безопасности, в том числе, для нескольких приложений или их отдельных частей.
Гибкость и высокий уровень автоматизации позволяют надежно защищать приложения любого типа — даже при непрерывном их обновлении — с высоким уровнем отказоустойчивости.
Комбинация позитивной и негативной моделей безопасности, непрерывный анализ поведения пользователей, а также использование машинного обучения позволяют свести число ложных срабатываний к минимуму и мгновенно выявлять реальные угрозы.
В том числе попытки DDoS- и автоматизированных атак, а также ранее неизвестные атаки (атаки нулевого дня).
Уникальный для WAF механизм корреляции выстраивает цепочки атак, позволяет выявлять APT и автоматически приоритизировать обнаруженные угрозы по уровню риска. Это помогает мгновенно увидеть серьезные угрозы и принять меры противодействия.
Корреляции и способность PT AF обнаруживать уязвимости посредством SAST и DAST существенно упрощают расследования инцидентов.
![Обзор решений WAF и DAM/DBF]()
В современном мире использование в компаниях решений класса WAF и DAM/DBF стало неотъемлемой частью комплекса мер по обеспечению информационной безопасности.
Давайте разберёмся, что представляют из себя эти решения и почему их использование так необходимо.
Web Application Firewall (WAF) – сетевой экран, предназначенный для автоматического обнаружения и блокировки атак на веб-приложения компании. WAF обеспечивает безопасность веб-приложений на прикладном и сетевом уровнях.
Но разве для этих целей недостаточно сетевых экранов нового поколения (NGFW)? Он точно так же, как и WAF, способен работать на прикладном уровне, анализировать обращения к веб-приложениям, разбирать шифрованный веб-трафик и автоматически блокировать атаки. Так зачем же тогда нужен WAF?
Пожалуй, главное преимущество WAF перед NGFW – это нацеленность на работу с веб-трафиком в рамках конкретных веб-приложений. Благодаря тонкой настройке под каждое конкретное веб-приложение WAF позволяет максимально сузить спектр возможностей для проведения атак.
Веб-приложения довольно тесно связаны с СУБД, атаки на которые могут быть весьма критичны. Поэтому в комплексе с WAF необходимо использовать специализированные средства по защите БД.
Database firewall (DBF) / Database Activity Мonitoring (DAM) – комплекс технических и/или программных средств, предназначенных для мониторинга, аудита и контроля доступа к информации, обрабатываемой в базах данных, а также защиты от целевых атак на них.
Как и в случае с WAF, для защиты баз данных от современных угроз недостаточно использовать сигнатурные средства, предоставляемые NGFW и IPS. Требуется узкоспециализированный подход, нацеленный на специфику работы c БД.
В качестве основного функционала средств DAM/DBF следует отметить:
На сегодняшний день существует довольно большой выбор решений средств WAF и DAM/DBF.
Так что же выбрать? Чтобы ответить на этот вопрос, рассмотрим тройку лидеров по каждому из решений среди представленных на отечественном рынке продуктов и проведём функциональное сравнение.
Для удобства сведём сравнение в таблицы, представленные ниже.
Сравнение функциональных возможностей популярных средств WAF
Сравнение функциональных возможностей популярных средств DAM/DBF
Среди представленных решений нет явных лидеров и аутсайдеров. Каждый из продуктов, помимо обеспечения основного функционала, имеет свои уникальные возможности и характерные особенности.
Поэтому в конечном счёте выбор того или иного решения остается за вами, в зависимости от предпочтений и требований, предъявляемых к реализации целей и задач.
Спасибо за прочтение! Здоровья и терпения в это непростое время!
Читайте также:
