Брандмауэр веб-приложений - Web application firewall

Часть серии о
Информационная безопасность
Связанные категории безопасности
Компьютерная безопасность Автомобильная безопасность Киберпреступность Киберсекс трафик Компьютерное мошенничество Кибергедон Кибертерроризм Кибервойна Электронная война Информационная война Интернет-безопасность Мобильная безопасность Сетевая безопасность Защита от копирования Управление цифровыми правами
Угрозы
Рекламное ПО Постоянная угроза повышенной сложности Выполнение произвольного кода Бэкдоры Аппаратные бэкдоры Внедрение кода Преступное ПО Межсайтовый скриптинг Вредоносные программы для криптоджекинга Ботнеты Данные нарушения Попутная загрузка вспомогательные объекты браузера Компьютерное преступление Вирусы Парсинг данных Отказ в обслуживании Подслушивание Электронное мошенничество Подмена электронной почты Эксплойты Клавиатурные шпионы Логические бомбы Бомбы замедленного действия Вилочные бомбы Zip бомбы Мошеннические дозвонщики Вредоносное ПО Полезная нагрузка Фишинг Полиморфный движок Повышение привилегий Программы-вымогатели Руткиты Буткиты Пугающее ПО Шеллкод Рассылка спама Социальная инженерия (безопасность) Соскабливание экрана Шпионское ПО Программные ошибки троянские кони Аппаратные трояны Трояны удаленного доступа Уязвимость Веб-оболочки щетка стеклоочистителя черви SQL-инъекция Незаконное программное обеспечение безопасности Живой мертвец
Защиты
Безопасность приложений Безопасное кодирование Безопасность по умолчанию Безопасность благодаря дизайну Случай неправильного использования Контроль доступа к компьютеру Аутентификация Многофакторная аутентификация Авторизация Программное обеспечение компьютерной безопасности Антивирусная программа Операционная система, ориентированная на безопасность Безопасность, ориентированная на данные Обфускация кода Маскировка данных Шифрование Межсетевой экран Система обнаружения вторжений Хост-система обнаружения вторжений (HIDS) Обнаружение аномалий Информация о безопасности и управление событиями (SIEM) Мобильный безопасный шлюз Самозащита рабочего приложения
v т е

Брандмауэр веб - приложений (WAF) является специфической формой применения брандмауэра , что фильтры, мониторы, а также блокирует HTTP - трафика в и из веб - службы . Проверяя HTTP-трафик, он может предотвратить атаки, использующие известные уязвимости веб-приложения, такие как внедрение SQL , межсайтовый скриптинг (XSS), включение файлов и неправильная конфигурация системы.

История

Выделенные брандмауэры веб-приложений появились на рынке в конце 1990-х годов, когда атаки на веб-серверы становились все более распространенными.

Ранняя версия WAF была разработана Perfecto Technologies с ее продуктом AppShield , ориентированным на рынок электронной коммерции и защищенным от незаконного ввода символов веб-страниц. В 2002 году был сформирован проект ModSecurity с открытым исходным кодом , чтобы сделать технологию WAF более доступной. Они завершили разработку основного набора правил для защиты веб-приложений, основанного на работе Технического комитета по безопасности веб-приложений OASIS (WAS TC), посвященной уязвимостям. В 2003 году они расширили и стандартизировали правила, включив в список 10 лучших проектов Open Web Application Security Project (OWASP), ежегодный рейтинг уязвимостей веб-безопасности. Этот список станет отраслевым стандартом для соответствия требованиям безопасности веб-приложений.

С тех пор рынок продолжал расти и развиваться, уделяя особое внимание предотвращению мошенничества с кредитными картами . С разработкой стандарта безопасности данных индустрии платежных карт (PCI DSS), который представляет собой стандартизацию контроля над данными держателей карт, безопасность в этом секторе стала более регулируемой. По данным журнала CISO Magazine, к 2022 году рынок WAF вырастет до 5,48 млрд долларов.

Описание

Брандмауэр веб-приложений - это особый тип брандмауэра приложений, который применяется конкретно к веб-приложениям. Он развертывается перед веб-приложениями и анализирует двунаправленный веб-трафик (HTTP), обнаруживая и блокируя все вредоносное. OWASP дает широкое техническое определение WAF как «решение безопасности на уровне веб-приложения, которое с технической точки зрения не зависит от самого приложения». Согласно Информационному дополнению PCI DSS к требованию 6.6, WAF определяется как «точка применения политики безопасности, расположенная между веб-приложением и конечной точкой клиента. Эта функциональность может быть реализована в программном или аппаратном обеспечении, запущена на устройстве или на типичном сервере, работающем под общей операционной системой. Это может быть автономное устройство или интегрированное в другие сетевые компоненты ». Другими словами, WAF может быть виртуальным или физическим устройством, которое предотвращает использование уязвимостей в веб-приложениях внешними угрозами. Эти уязвимости могут быть связаны с тем, что само приложение является устаревшим, или оно было недостаточно продумано. WAF устраняет эти недостатки кода с помощью специальных конфигураций наборов правил, также известных как политики.

Ранее неизвестные уязвимости могут быть обнаружены путем тестирования на проникновение или с помощью сканера уязвимостей. Сканер уязвимостей веб - приложений , также известный как сканер безопасности веб - приложений, определяется в SAMATE NIST 500-269 как «автоматизированной программы , которая исследует веб - приложений для потенциальных уязвимостей. Помимо поиска уязвимостей, связанных с конкретными веб-приложениями, эти инструменты также ищут ошибки программного кода ». Устранение уязвимостей обычно называют исправлением. В приложении можно внести исправления в код, но обычно требуется более быстрый ответ. В этих ситуациях может потребоваться применение настраиваемой политики для уникальной уязвимости веб-приложения, чтобы предоставить временное, но немедленное исправление (известное как виртуальный патч).

WAF не являются окончательным решением безопасности, скорее они предназначены для использования в сочетании с другими решениями безопасности периметра сети, такими как сетевые брандмауэры и системы предотвращения вторжений, чтобы обеспечить целостную стратегию защиты.

WAF обычно следуют модели позитивной безопасности, негативной безопасности или их комбинации, как указано в SANS Institute . WAF используют комбинацию логики на основе правил, синтаксического анализа и сигнатур для обнаружения и предотвращения атак, таких как межсайтовые сценарии и SQL-инъекции. OWASP составляет список из десяти основных недостатков безопасности веб-приложений. Все коммерческие предложения WAF покрывают как минимум десять этих недостатков. Есть и некоммерческие варианты. Как упоминалось ранее, хорошо известный механизм WAF с открытым исходным кодом под названием ModSecurity является одним из таких вариантов. Одного механизма WAF недостаточно для обеспечения адекватной защиты, поэтому OWASP вместе с Trustwave Spiderlabs помогают организовать и поддерживать набор основных правил через GitHub для использования с механизмом ModSecurity WAF.

Варианты развертывания

Хотя названия рабочих режимов могут отличаться, WAF в основном развертываются в оперативном режиме тремя разными способами. Согласно NSS Labs, вариантами развертывания являются прозрачный мост , прозрачный обратный прокси и обратный прокси . «Прозрачный» относится к тому факту, что HTTP-трафик отправляется прямо в веб-приложение, поэтому WAF прозрачен для клиента и сервера. В этом отличие от обратного прокси, где WAF действует как прокси, а клиентский трафик направляется непосредственно в WAF. Затем WAF отдельно отправляет отфильтрованный трафик в веб-приложения. Это может обеспечить дополнительные преимущества, такие как маскирование IP, но может привести к недостаткам, таким как задержка производительности.

Смотрите также

• Брандмауэр приложений
• Стандарт безопасности данных индустрии платежных карт (PCI DSS)
• веб приложение
• Программное обеспечение как услуга (SaaS)
• Компьютерная безопасность
• Сетевая безопасность
• Безопасность приложений
• Безопасность веб-приложений

использованная литература