Web-application firewalls

Низкая стоимость привлечения и обслуживания клиентов через Интернет и без кризиса привела к тому, что сегодня крупные интернет-порталы могут конкурировать по рекламным сборам с традиционными СМИ, а интернет-ритейлеры не уступают по выручке традиционным магазинам. С наступлением же финансовых трудностей бизнес увидел в сети один из способов снижения издержек – банки один за другим сокращают офисы, переводя обслуживание клиентов на интернет-банкинг. Даже традиционно офлайновый бизнес – например, нефтяные компании – тоже участвует в этой гонке, переводя закупки на электронные закупочные площадки. И государственные структуры переводят оказание государственных услуг в сеть, чтобы сократить количество госслужащих и этим снизить нагрузку на государственный бюджет.

Традиционные средства защиты доступа в корпоративную сеть (межсетевые экраны – firewalls) не в состоянии защитить от большинства угроз, направленных на Web-ресурсы. Причина в том, что атаки на такие ресурсы чаще всего происходят на прикладном уровне, в виде HTTP/HTTPS-запросов к сайту, где у традиционных межсетевых экранов крайне ограниченные возможности для анализа и, как результат, обнаружения атак. У них другие задачи.

Для защиты Web-ресурсов от атак на прикладном уровне существуют специальные средства – WAF (Web-application firewall). Устойчивого русского варианта наименования пока не сформировалось, поэтому далее будем пользоваться англоязычным сокращением. Задача такого средства, как следует из названия, – обнаруживать и блокировать атаки на Web-ресурсы на прикладном уровне. Оно может быть реализовано в виде аппаратного устройства, виртуальной машины или SaaS-сервиса, фильтрующего на основе определенных подходов HTTP/HTTPS запросы к Web-ресурсу.

Обычно в базе такие решения умеют фильтровать классические атаки типа "инъекций" (SQLi) или межсайтового исполнения сценариев (XSS). После настройки WAF под конкретный Web-ресурс можно фильтровать и более специфические для конкретного сайта атаки.

Варианты защиты

Сегодня на рынке присутствует большое количество западных WAF, а также несколько отечественных разработок. При выборе WAF, кроме цены, производительности и возможности для масштабирования, следует обращать внимание на несколько функций.

1. Адаптивность WAF. Web-ресурс – живой организм, он отражает какие-то бизнес-функции компании-владельца, а они меняются со временем под влиянием рыночной среды или требований регулятора. А это значит, что и сайт будет постоянно меняться. К примеру, крупные Web-порталы обновляют функционал несколько раз в день, банковские сайты меняются несколько раз в неделю и так далее. Изменение функциональности может быть совсем незначительное – новая кнопка, новое поле, новая ссылка, новый текст, новая картинка. Но каждое изменение способно содержать уязвимость и требует донастройки фильтров WAF, что выливается в дополнительные затраты на сопровождение. Если этого не сделать – неизбежны ложные срабатывания, т.е. блокировки обращений к Web-ресурсу легитимных пользователей. Чтобы решить эту проблему, некоторые производители WAF встраивают мощные механизмы обучения на трафике, чтобы понимать, как приложение устроено изнутри, и автоматически "тюнить" правила блокировки под каждый защищаемый ресурс. Если еще недавно нужно было принудительно включать процесс обучения, то сейчас некоторые из решений позволяют обновлять правила блокировки непрерывно, не требуя участия специалистов.

2. Возможность для построения процесса безопасности. Так, некоторые производители WAF позволяют интегрировать свои продукты с динамическими сканерами уязвимостей сайта. Такой сканер запускается по расписанию или событию (например, при обнаружении атаки) и тестирует все страницы сайта на уязвимости, моделируя действия хакера. Если атака достигает цели, то найденная опасная последовательность запросов – не что иное, как доказанная возможность эксплуатации уязвимости, – передается на фильтр запросов WAF для блокирования. Такой фильтр иногда называют "виртуальным патчем", по аналогии с программной "заплаткой", закрывающей уязвимость. Подобное решение позволяет блокировать запросы к уязвимой части Web-ресурса и благодаря этому безопасно эксплуатировать сайт до тех пор, пока программисты не выпустят настоящий программный патч. Важный момент: практика показывает, что это чуть ли не единственный вариант защититься в непростой ситуации, когда критическая ошибка обнаруживается в решении сторонних разработчиков, которые не спешат с выпуском обновления или вообще больше не поддерживают свой продукт.

В последнее время появляются производители, которые совмещают технологии WAF и динамического анализа уязвимостей в одном решении. В результате заказчик одновременно получает защищенный сайт и рекомендации по исправлению кода сайта, содержащего уязвимости. Причем WAF в этом случае более точен в оценке степени угрозы атак и понимании, какие из атак направлены на реальные уязвимости. А сканер уязвимостей, в свою очередь, приобретает больше возможностей для поиска критических ошибок, используя подробные данные о структуре и логике работы Web-приложения, полученные в результате обучения на трафике. Такая парная работа позволяет эффективно не только защищать быстро меняющиеся Web-ресурсы в автоматическом режиме, но и укреплять процесс безопасности в компании.

Статический анализ исходного кода

Технологии динамического анализа славятся эффективностью, но не могут обеспечить полноту безопасности – гарантировать, что найдены все уязвимости. Некоторые ветви программы могут быть недоступны сканеру. Поэтому иногда технологии динамического анализа сайта дополняются технологиями статического анализа исходного кода защищаемого сайта, обеспечивающего большую полноту, но меньшую точность анализа. При такой интеграции гипотезы о наличии уязвимости, полученные в ходе статического анализа исходного кода, передаются динамическому сканеру на проверку. Если динамический сканер не смог подтвердить наличие уязвимости, такая гипотеза отсеивается как неэксплуатируемая в конкретной реализации. Если же возможность для эксплуатации уязвимости подтверждена – WAF использует ее для создания "виртуального патча". Таким образом, достигаются оптимальный баланс полноты и точности исследования Web-ресурса и его защищенность, не требующая никакого вмешательства человека при изменении кода сайта.

Интеграция WAF и анти-DDoS-решений

Отдельного внимания заслуживает интересный тренд – это интеграция WAF и анти-DDoS-решений, которая, по мнению экспертов Gartner (Gartner Magic Quandrant for Web Application Firewall 2014), показывает зрелость решения. По большому счету, и WAF, и анти-DDoS-решения представляют собой фильтры HTTP/HTTPS запросов к сайту (только первое отслеживает попытки нарушения доступности, а второе – попытки нарушения конфиденциальности), и их объединение в одном фильтре видится эффективным. Поэтому многие сервисы защиты от DDoS предлагают WAF как дополнительную услугу, и наоборот. Объединение в программных или "железных" решениях пока встречаются довольно редко, но, скорее всего, скоро такая интеграция также станет доступна.

Зашифрованный трафик

Выбирая архитектуру WAF, кроме возможностей интеграции, увеличивающей эффективность его работы, стоит обратить внимание на аспект работы с зашифрованным трафиком. Атаки могут проходить и по зашифрованному протоколу HTTPS, поэтому WAF с точки зрения архитектуры должен быть установлен после того, как терминируется SSL. Другой вариант (кстати, единственный в случае с облачным WAF) – передавать ключи от сертификата продукту/сервису WAF, чтобы он мог дешифровать трафик самостоятельно. Так или иначе, через WAF проходят запросы, которые могут включать логины, пароли, персональные данные пользователей сайта, возможно – номера кредитных карт, CVV и другие чувствительные данные. Желательно, чтобы они не передавались в облако производителя, а обрабатывались, не покидая защищенной зоны. Поэтому, если вы хотите передавать WAF-ключи, то архитектура с установкой ПО или программно-аппаратного комплекса на стороне заказчика предпочтительнее сервиса.

Если говорить о способах лицензирования или получения такого сервиса, то сегодня пользователю доступны все возможные виды сотрудничества. Можно приобрести WAF как сервис, в том числе и с интеграцией с анти-DDoS-решениями, и помесячно или поквартально оплачивать подписку. Этот подход отличается простотой подключения, т.к. для подключения зачастую достаточно изменения записи в DNS, чтобы пропускать запросы к сайту через распределенную сеть фильтрации трафика. Можно купить "железку" и виртуальный сервер с предустановленным и предварительно настроенным ПО (программно-аппаратный комплекс – appliance). Можно, при необходимости, сочетать эти два способа использования. Пользователю, нуждающемуся в защите своих Web-активов, доступны всевозможные решения на любой вкус и кошелек, включая бесплатные WAF по лицензии open-source.

Заключение

Web-ресурсы становятся все более ценными бизнес-инструментами, позволяя и экономить, и больше зарабатывать. Однако агрессивность интернет-среды, связанная как с возможностями монетизации преступной деятельности в сети и уменьшением порога входа в индустрии разработки ПО, так и с геополитическим противостоянием, провоцирующим хактивистов к атакам на Web-ресурсы страны-оппонента, делает эти инструменты более уязвимыми. Если эта статья хотя бы немного приблизила читателя к пониманию необходимости защиты своих ресурсов и доступным вариантам такой защиты, автор может считать свою задачу выполненной.