Вместе с приходом HTML 5 активное распространение получили веб-приложения, так как у них более расширенный функционал в сравнении с традиционным HTML-кодом, множество вариаций дизайнерского исполнения, а вместе с этим — нет необходимости в установке на ПК или смартфон клиента. И они являются кроссплатформенными, то есть какая у пользователя ОС — не имеет значения. Но вместе с этим хакеры получили сотни вариантов для осуществления сетевых атак. И если верить статистике, то только в 2019 году в РФ порядка 68% серверов с установленными на них веб-приложениями были атакованы извне. И сейчас единственный способ защититься от вероятного взлома — это Web Application Firewall (WAF).

Что такое WAF и чем он отличается от Firewall

С момента создания локальных и интернет-сетей появилась необходимость в защите пользовательских ПК и серверов от возможного взлома. Изначально это был Firewall — сетевой экран, отсеивающий «подозрительный» трафик (с «серых» IP-адресов). Такая защита примитивная и совсем не подходит для веб-приложений, где взлом может осуществляться даже через «белый» IP. На смену сетевым экранам в дальнейшем пришли:

  1. Пакетные фильтры. Сканировали входящий трафик и при обнаружении подозрительного набора пакетов — закрывали соединение.
  2. IDS/IPS. Ключевое отличие данной технологии — это одновременная защита через пакетные фильтры и с «прослушиванием» TCP-портов. И в IDS/IPS отслеживается активность не только извне, но и внутри локальной сети. Главный недостаток: большое количество ложных срабатываний, особенно когда интернет-сессия между пользователем и сервером задействует множество портов TCP.
  3. UTM. Условно считается модификацией IDS/IPS, но с добавлением дополнительного сетевого экрана (используется как антивирус, прокси, балансировщик и так далее). В сравнении с IDS/IPS — сортирует TCP-порты по сессиям.

Но и UTM оказалось недостаточно. Простой пример: если пользователь одновременно в браузере откроет веб-приложение банка и вкладку с java-скриптом, направленным на инициализацию отправки денег на определенную банковскую карту, то данный процесс не будет предотвращен ни антивирусом, ни самим браузером, ни сетевым экраном, так как весь трафик будет сымитирован как обычные действия пользователя.

А Web Application Firewall полностью анализирует трафик и защищает веб-приложения от «несанкционированных» действий и подозрительных атак. Ключевые отличия WAF:

  • применяется машинное самообучение (на основе пользовательских действий);
  • интегрированный сканер потенциальных уязвимостей;
  • поддержка корреляции сетевых атак (даже если задействуется одновременно несколько портов на разных протоколах), что существенно упрощает дальнейший анализ журналов.

Возможности WAF

  • защиты веб-приложений, связанных с PCI DSS Requirements (в среде обработки банковских платежей);
  • осуществления автоматизированной реакции на распространенные варианты сетевых атак (можно задать четкий алгоритм);
  • полного сканирования HTTP/HTTPS-трафика, его проверки на потенциальные угрозы и исполнение заданных активных правил защиты;
  • соблюдения положительной и отрицательной модели безопасности в работе сервера;
  • анализа web-уведомлений (SOAP, XML, RPC);
  • сканирования SSL и TSL-трафика (WAF полностью совместим с HTTPS, то есть «умеет» работать с шифрованным трафиком).

И все это дополняется механизмом самообучения. То есть WAF в процессе работы создаёт «белый алгоритм» взаимодействия пользователя с веб-приложением на основе передаваемого/принимаемого трафика. И практика показала, что такой механизм позволяет отсеивать свыше 98% всевозможных атак, с которыми UTM, IDS/IPS и обычные прокси не справляются.

Также WAF поддерживает виртуальный патчинг, что позволит снизить риск взлома ещё «непубличными» (неизвестными для разработчиков ПО) методами взлома. Для этого применяется анализ исходного кода приложения.

Виды Web Application Firewall и их применение

WAF может быть интегрирован двумя способами:

  1. Программный. То есть когда для предотвращения сетевых атак на веб-приложение используется специальное ПО. Это может быть даже облачный сервер, что существенно упрощает установку, настройку и дистанционное управление файрволлом.
  2. Программно-аппаратный. Речь идет об установке отдельного сервера, выступающего как прокси для анализа трафика. Считается более надежным способом, но и в то же время на порядок дороже.

Варианты использования WAF:

  • в банковских веб-приложениях (через них работают в большинстве случаев мобильные приложения для Android, iOS);
  • выпуск бета-версии веб-приложения (когда система безопасности ещё находится на этапе разработки и тестирования);
  • защита корпоративной сети, для удаленного доступа к которой используется веб-приложение (чтобы удаленные сотрудники могли войти на сервер).

А есть ли реальная потребность в использовании WAF? По данным PTSecurity, в 2021 году на кибербезопасность мировыми компаниями было потрачено порядка 1 триллионов долларов. При этом ущерб, полученный от хакерских атак (многие из которых как раз осуществлялись через веб-приложения), составляет около 6 миллиардов долларов. В основном — это финансовый, корпоративный сектор, а также ИТ-сервисы. Атаки осуществляются примерно каждые 39 секунд, масштабность DDoS за последние 3 года увеличилась на 500%.

Рассмотренные виды Web Application Firewall и их применение на практике позволяет отразить попытки взлома. Например, популярный вариант атаки на сервер через веб-приложение — это использование бэкенда Asterisk A2Billing Softswitch. Срабатывает в 90% случаев, если по групповой политике отключена блокировка по IP. Но перед осуществлением атаки хакеру потребуется проверить наличие данной уязвимости, для чего отправляется «поврежденный» запрос на сервер. WAF — проигнорирует его (то есть ответа не будет), но сразу после этого IP, с которого была попытка несанкционированного доступа сразу попадет в черный список. Обычный firewall таким образом не работает.

ИКС от А-Реал Консалтинг для защиты веб-приложений

Система ИКС от А-Реал Консалтинг — это одновременно и файрвол веб-приложений, и WAF, и прокси. Является как программным продуктом, запускаемым через виртуальный сервер (работает на FreeBSD, что дополнительно минимизирует риск несанкционированного доступа), так и поставляться в составе аппаратного решения.

Тестируйте ИКС бесплатно 14 дней

Основные возможности:

  • Полный контроль доступа к серверу (подробный журнал с результатами машинного анализа);
  • Применение в качестве прокси-сервера;
  • Применение как файлового сервера;
  • Детальный учет трафика (входящий, исходящий, с разделением по HTTP/HTTPS);
  • Почта и jabber (можно использовать для обустройства защищенного канала корпоративной связи);
  • Собственный модуль IP-телефонии;
  • Система централизованного управление (с поддержкой удаленного интерфейса).

То есть ИКС — это комплексное решение для сетевой защиты веб-приложений и локальной сети. И убедиться в его функциональности можно за счет бесплатного пробного режима (ограничения по возможностям ПО не предусмотрено, то есть это будет именно полноценная версия ИКС).

Итого, WAF на сегодня — самый совершенный вариант защиты от взлома веб-приложения. Его основное отличие от других систем защиты — это поддержка самообучающегося алгоритма, дополняющего работу UTM.