waf что это значит
Эволюция Web Application Firewall: от сетевых экранов до облачных систем защиты с машинным обучением
В нашем прошлом материале по облачной тематике мы рассказывали, как защитить ИТ-ресурсы в публичном облаке и почему традиционные антивирусы не совсем подходят для этих целей. В этом посте мы продолжим тему облачной безопасности и поговорим об эволюции WAF и о том, что лучше выбрать: железо, ПО или облако.
Что такое WAF
Более 75% атак хакеров направлены на уязвимости веб-приложений и сайтов: такие атаки, как правило, незаметны для ИБ-инфраструктуры и ИБ-служб. Уязвимости веб-приложений несут в себе, в свою очередь, риски компрометации и фрода учетных записей и персональных данных пользователей, паролей, номеров кредитных карт. Кроме того, уязвимости в веб-сайте служат точкой входа злоумышленников в корпоративную сеть.
Web Application Firewall (WAF) представляет собой защитный экран, который блокирует атаки на веб-приложения: SQL-инъекции, межсайтовый скриптинг, удаленное выполнение кода, брутфорс и обход авторизации (auth bypass). В том числе атаки, использующие zero-day уязвимости. Файрволы приложений обеспечивают защиту, выполняя мониторинг содержимого веб-страниц, включая HTML, DHTML и CSS, и фильтруя потенциально вредоносные запросы по HTTP/HTTPS.
Какими были первые решения?
Первые попытки создать Web Application Firewall предпринимались еще в начале 90-х годов. Известно как минимум о трех инженерах, работавших в этой области. Первый — профессор компьютерных наук Джин Спаффорд из Университета Пердью. Он описал архитектуру файрвола приложений с прокси и в 1991 году опубликовал её в книге «Безопасность UNIX на практике».
Вторым и третьим — были ИБ-специалисты Уильям Чесвик и Маркус Ранум из Bell Labs. Они разработали один из первых прототипов файрволов приложений. Его распространением занималась компания DEC — продукт выпустили под названием SEAL (Secure External Access Link).
Но SEAL не являлся полноценным WAF-решением. Он представлял собой классический сетевой файрвол с расширенной функциональностью — возможностью блокировать атаки на FTP и RSH. По этой причине первым WAF-решением сегодня считается продукт компании Perfecto Technologies (позже Sanctum). В 1999 году она представила систему AppShield. В то время Perfecto Technologies занимались разработкой ИБ-решений для e-commerce, и целевой аудиторией их нового продукта стали онлайн-магазины. AppShield умел анализировать HTTP-запросы и блокировал атаки на основе динамических ИБ-политик.
Примерно в одно время с AppShield (в 2002 году) появился первый WAF с открытым исходным кодом. Им стал ModSecurity. Он создавался с целью популяризации WAF-технологий и поддерживается IT-сообществом до сих пор (вот его репозиторий на GitHub). ModSecurity блокирует атаки на приложения, основываясь на стандартном наборе регулярных выражений (сигнатур) — инструментов для проверки запросов по шаблону — OWASP Core Rule Set.
В итоге разработчикам удалось добиться своей цели — на рынке начали появляться новые WAF-решения, в том числе построенные на базе ModSecurity.
Три поколения — уже история
Принято выделять три поколения WAF-систем, эволюционировавших по мере развития технологий.
Первое поколение. Работает с регулярными выражениями (или грамматиками). К нему относится ModSecurity. Поставщик системы изучает типы атак на приложения и формирует паттерны, которые описывают легитимные и потенциально вредоносные запросы. WAF сверяется с этими списками и решает, что делать в конкретной ситуации, — блокировать трафик или нет.
Примером обнаружения на основе регулярных выражений является уже упомянутый проект Core Rule Set с открытым исходным кодом. Еще пример — Naxsi, который также является опенсорсным. Системы с регулярными выражениями имеют ряд недостатков, в частности, при обнаружении новой уязвимости администратору приходится создавать дополнительные правила вручную. В случае с масштабной IT-инфраструктурой правил может быть несколько тысяч. Управлять таким количеством регулярных выражений довольно сложно, не говоря о том, что их проверка может снижать производительность сети.
Также регулярные выражения имеют довольно высокий уровень ложных срабатываний. Знаменитый лингвист Ноам Хомский предложил классификацию грамматик, в которой разделил их на четыре условных уровня сложности. Согласно этой классификации, регулярными выражениями можно описать только правила файрвола, которые не предполагают отклонений от шаблона. Это означает, что злоумышленники могут легко «обмануть» WAF первого поколения. Один из методов борьбы с этим — добавить в запросы к приложениям специальные символы, которые не влияют на логику вредоносных данных, но нарушают сигнатурное правило.
Второе поколение. Чтобы обойти проблемы, связанные с производительностью и точностью WAF, были разработаны файрволы приложений второго поколения. В них появились парсеры, которые отвечают за выявление строго определенных типов атак (на HTML, JS и т. д.). Эти парсеры работают со специальными токенами, описывающими запросы (например, variable, string, unknown, number). Потенциально вредоносные последовательности токенов выносятся в отдельный список, с которым регулярно сверяется WAF-система. Впервые этот подход показали на конференции Black Hat 2012 в виде C/C++ библиотеки libinjection, которая позволяет выявлять SQL-инъекции.
По сравнению с WAF первого поколения, специализированные парсеры могут работать быстрее. Однако они не решили трудности, связанные с ручной настройкой системы при появлении новых вредоносных атак.
Третье поколение. Эволюция в логике обнаружения третьего поколения заключается в применении методов машинного обучения, позволяющих максимально приблизить грамматику обнаружения к реальной грамматике SQL/HTML/JS защищаемых систем. Данная логика обнаружения в состоянии адаптировать машину Тьюринга для охвата рекурсивно перечисляемых грамматик. Причем ранее задача создания адаптируемой машины Тьюринга была неразрешимой, пока не были опубликованы первые исследования нейронных машин Тьюринга.
Машинное обучение предоставляет уникальную возможность адаптировать любую грамматику для охвата любого типа атак без создания списков сигнатур вручную, как это требовалось при обнаружении первого поколения, и без разработки новых токенизаторов/парсеров для новых типов атак, таких как внедрения Memcached, Redis, Cassandra, SSRF, как того требовала методология второго поколения.
Объединяя все три поколения логики обнаружения, мы можем нарисовать новую диаграмму, на которой красным контуром представлено третье поколение обнаружения (рис. 3). К этому поколению относится одно из решений, которое мы реализуем в облаке совместно с «Онсек», разработчиком платформы адаптивной защиты веб-приложений и API Валарм.
Теперь в логике обнаружения используется обратная связь от приложения для самонастройки. В рамках машинного обучения этот цикл обратной связи называется «подкрепление». Как правило, существует один или несколько типов такого подкрепления:
Далее рассмотрим технологические возможности различных вариантов реализации WAF.
Железо, ПО или облако — что выбрать?
Один из вариантов реализации файрволов приложений — «железное» решение. Такие системы представляют собой специализированные вычислительные устройства, которые компания устанавливает локально в своем дата-центре. Но в этом случае приходится закупать собственное оборудование и платить деньги интеграторам за его настройку и отладку (если у компании нет собственного ИТ-отдела). При этом любое оборудование устаревает и приходит в негодность, поэтому заказчики вынуждены закладывать бюджет для обновления аппаратного обеспечения.
Другой вариант развертывания WAF — программная реализация. Решение устанавливается в качестве дополнения для какого-либо ПО (например, ModSecurity настраивается поверх Apache) и работает на одном сервере с ним. Как правило, подобные решения можно развернуть как на физическом сервере, так и в облаке. Их минус — это ограниченные возможности масштабируемости и поддержки со стороны вендора.
Третий вариант — настройка WAF из облака. Такие решения предоставляются облачными провайдерами в качестве сервиса по подписке. Компании не нужно приобретать и настраивать специализированное железо, эти задачи ложатся на плечи поставщика услуги. Важный момент — современный облачный WAF не подразумевает миграцию ресурсов на платформу провайдера. Сайт может быть развернут в любом месте, даже on-premise.
Почему сейчас все чаще смотрят в сторону облачного WAF, расскажем далее.
Что может WAF в облаке
С точки зрения технологических возможностей:
Теперь немного об особенностях облачных WAF с точки зрения организационных моментов и управления:
Текст подготовил Александр Карпузиков, менеджер по развитию продуктов ИБ облачного провайдера #CloudMTS.
Чем защищают сайты, или Зачем нужен WAF?
В этом году компанию Positive Technologies назвали «визионером» в рейтинге Gartner Magic Quadrant for Web Application Firewalls. Это вызвало ряд вопросов о том, за какие достижения мы туда попали и что такое WAF вообще. Вопросы вполне правомерные, ведь Gartner выпускает своё исследование WAF лишь с прошлого года (для примера: «квадранты» по SIEM стали выходить на пять лет раньше, в 2009 году). Кроме того, некоторые до сих пор путаются с терминологией, не отличая «экран для защиты веб-приложений» (WAF) от обычного «межсетевого экрана» (network firewall) или «системы предотвращения вторжений» (IPS).
В этой статье мы попробуем отделить мух от котлет — и рассказать, как идёт эволюция периметровой защиты по мере роста изощрённости атак.
1. В начале времён: пакетные фильтры
Изначально термин firewall (брандмауэр, экран) обозначал сетевой фильтр, который ставится между доверенной внутренней сетью и внешним Интернетом (отсюда прилагательное «межсетевой»). Этот фильтр был призван блокировать подозрительные сетевые пакеты на основе критериев низких уровней модели OSI: на сетевом и канальном уровнях. Иными словами, фильтр учитывал только IP адреса источника и назначения, флаг фрагментации, номера портов.
В дальнейшем возможности расширились до шлюзов сеансового уровня, или фильтров контроля состояния канала (stateful firewall). Эти межсетевые экраны второго поколения повысили качество и производительность фильтрации за счет контроля принадлежности пакетов к активным TCP-сессиям.
К сожалению, подобная система защиты практически бесполезна против современных кибер-угроз, где более 80% атак используют уязвимости приложений, а не уязвимости сетевой архитектуры и сервисов. Хуже того: блокирование определенных портов, адресов или протоколов (основной способ работы межсетевых экранов) может вырубить вполне легитимные приложения. Это значит, что защитная система должна проводить более глубокий анализ содержания пакетов — то есть лучше «понимать» работу приложений.
2. Системы обнаружения/предотвращения вторжений (IDS/IPS)
Следующим поколением защитных экранов стали системы обнаружения и предотвращения вторжений (IDS/IPS). Они способны изучать в TCP-пакетах поле данных и осуществлять инспекцию на уровне приложения по определённым сигнатурам. Системы IDS приспособлены к тому, чтобы выявлять атаки не только снаружи, но и внутри сети за счет прослушивания SPAN-порта коммутатора.
Для совершенствования защитных механизмов в IDS/IPS стали применяться декодеры (разбор полей TCP-пакета) и препроцессоры (разбор частей протокола уровня приложения, например, HTTP). Применение препроцессоров в IPS Snort позволило существенно улучшить функциональность периметровой защиты в сравнении с пакетным фильтром, даже если последний проверяет пакеты на уровне приложений (iptables с модулем layer7).
Однако при этом сохранился основной недостаток пакетного фильтра: проверка осуществляется попакетно, без учета сессий, cookies и всей остальной логики работы приложения.
Параллельно для борьбы с распространением вирусов появляются прокси-серверы, а для решения задач балансировки нагрузки — обратные прокси-серверы. Они отличаются технически, но главное, что и те, и другие полноценно работают на уровне приложения: открывается два TCP соединения от прокси к клиенту и от прокси к серверу, анализ трафика ведётся исключительно на уровне приложения.
3. Всё в кучу: NGFW/UTM
Следующим шагом эволюции систем обнаружения вторжений стало появление устройств класса UTM (unified threat management, система единого управления угрозами) и NGFW (next generation firewall, экраны нового поколения).
Системы UTM отличаются от NGFW лишь маркетингом, при этом их функционал практически совпадает. Оба класса программных продуктов явились попыткой объединить функции различных продуктов (антивирус, IDS/IPS, пакетный фильтр, VPN-шлюз, маршрутизатор, балансировщик и др.) в одном устройстве. В тоже время, обнаружение атак в устройствах UTM/NGFW нередко осуществляется на старой технологической базе, при помощи упомянутых выше препроцессоров.
Специфика веб-приложений предполагает, что за один сеанс работы пользователя с веб-сервером может осуществляться большое количество различных TCP-соединений, которые открываются с различных адресов, но имеют один (возможно динамический) идентификатор сессии. Это приводит к тому, что для аккуратной защиты веб-трафика необходима платформа на основе полнофункционального реверс-прокси-сервера.
Но разница в технологической платформе — не единственное, что отличает защиту веб-приложений.
4. Защита Веба: что должен уметь WAF
Если говорить совсем просто, то веб-приложения отличаются от обычных приложений двумя вещами: огромным разнообразием и значительной интерактивностью. Это создаёт целый ряд новых угроз, с которыми традиционные межсетевые экраны не справляются: по нашим оценкам, в 2014 году 60% атак на корпоративные сети осуществлялись через веб-приложения, невзирая на наличие традиционных защитных средств.
Именно здесь вступает в дело Web Application Firewall (WAF), защитный экран для приложений, осуществляющих передачу данных через HTTP и HTTPS. Вот какие функции отличают WAF от защитных систем предыдущих поколений:
| WAF | IPS | NGFW/UTM | |
|---|---|---|---|
| Multiprotocol Security | — | + | + |
| IP Reputation | ± | ± | ± |
| Сигнатуры атак | + | ± | ± |
| Автоматическое обучение, поведенческий анализ | + | — | — |
| Защита пользователей | + | — | — |
| Сканер уязвимостей | + | — | — |
| Виртуальный патчинг | + | — | — |
| Корреляции, цепочки атак | + | — | — |
Теперь подробнее о том, что означают все эти пункты:
Multiprotocol Security
Будучи узкоспециализированным средством, WAF не защищает от проблем протоколов, отличных от HTTP/HTTPS. Но у любой медали две стороны. Многообразие способов обмена данными поверх протокола HTTP настолько велико, что ориентироваться в нём может только специализированное средство. Лишь для примера: где-то переменные и значения передаются в формате example.com/animals?dogs=32&cats=23, где-то в формате example.com/animals/dogs/32/cats/23, где-то передача параметров приложения осуществляется в Cookie, а где-то — в параметрах заголовка HTTP.
Кроме того, продвинутые модели WAF могут анализировать XML, JSON и другие протоколы современных порталов и мобильных приложений. В частности, это позволяет противодействовать большинству методов обхода защитного экрана (HPC, HPP, Verb Tampering и др).
IP Reputation
Технология IP-Reputation опирается на внешние чёрные и белые списки ресурсов, и одинаково доступна любым периметровым средствам защиты. Но ценность этого метода несколько преувеличена. Так, в практике наших специалистов случались ситуации, когда крупные новостные агентства в силу своих уязвимостей месяцами раздавали malware пользователям, и при этом не попадали в чёрные списки. К сожалению, вектора проникновения вредоносного ПО очень разнообразны, и в наши дни источником заражения для пользователей могут быть даже сайты органов государственной власти. А возможна и обратная проблема, когда по IP блокируются «невиновные» ресурсы.
Сигнатуры атак
Сигнатурный подход к обнаружению атак применяется повсюду, но только грамотный препроцессинг трафика, доступный для WAF, может обеспечить адекватное применение сигнатур. Недостатки препроцессинга приводят к излишней «монструозности» сигнатур атак: администраторы не могут разобраться в сложнейших регулярных выражениях, весь смысл которых в том, что их авторы, например, всего лишь пытались учитывать возможность передачи параметра как открытым текстом, так и в форме шестнадцатеричного кода с процентом.
Автоматическое обучение и поведенческий анализ
Для атак на веб-приложения злоумышленники активно используют уязвимости нулевого дня (0-day), что делает бесполезными сигнатурные методы анализа. Вместо этого нужно анализировать сетевой трафик и системные журналы для создания модели нормального функционирования приложения, и на основе этой модели выявлять аномальное поведение системы. WAF в силу своей архитектуры может разобрать весь сеанс связи пользователя, и потому способен на более углубленный поведенческий анализ, чем NGFW. В частности, это позволяет выявлять атаки с использованием автоматических средств (сканирование, подбор паролей, DDoS, фрод, вовлечение в ботнеты).
Однако в большинстве случаев обучение поведенческой модели состоит в том, что операторы откуда-то берут «белый трафик» и «скармливают» его средству защиты. Но после сдачи в эксплуатацию поведение пользователей может меняться: программисты дописывают интерфейс по скорректированному техническому заданию, дизайнеры «добавляют красоты», рекламные кампании меняют направление внимания. Нельзя раз и навсегда составить схему поведения «правильного» посетителя. При этом обучаться на реальном, «сером» трафике могут только единицы программных продуктов — и это только WAF’ы.
Защита пользователей
Периметровое оборудование, обсуждаемое в настоящей статье, предназначено для защиты серверов с веб-приложениями. Однако существует класс атак (например, CSRF) направленных на клиента веб-приложения. Поскольку трафик атаки не проходит через защитный периметр, на первый взгляд защитить пользователя оказывается невозможно.
Рассмотрим следующий сценарий атаки: пользователь заходит на сайт банка, проходит там аутентификацию, и после этого в другой вкладке браузера открывает зараженный ресурс. JavaScript, загрузившийся в другом окне, может сделать запрос на перевод денег втайне от пользователя, а браузер при этом подставит все необходимые аутентификационные параметры для осуществления финансовой транзакции, так как сеанс связи пользователя с банком ещё не окончился. В описанной ситуации налицо слабости в алгоритме аутентификации в банковском ПО. Если бы для каждой формы, содержащейся на странице сайта, генерировался уникальный токен, проблемы бы не было.
К сожалению, разработчики ПО практически никогда так не делают. Однако некоторые WAF могут самостоятельно внедрять подобную защиту в веб-формы и защищать, таким образом, клиента – а вернее, его запросы, данные, URL и cookie-файлы.
Взаимодействие со сканерами уязвимостей
На периметровое оборудование возлагается не только задача защиты веб-приложений, но и задача мониторинга атак. При этом грамотный мониторинг основан на понимании слабостей защищаемого ПО, что позволяет отсеять неактуальные попытки атак и выделить только те, которые касаются реальных уязвимостей, имеющихся в системе.
Лучшие образцы WAF имеют в своем распоряжении интегрированные сканеры уязвимостей, работающие в режиме чёрного ящика, или динамического анализа (DAST). Такой сканер может использоваться в режиме реального времени для быстрой проверки тех уязвимостей, которые «прощупывают» злоумышленники.
Виртуальный патчинг
Даже известные уязвимости невозможно устранить сразу: исправление кода требует средств и времени, а зачастую и остановки важных бизнес-процессов; иногда в случае использования стороннего ПО исправление невозможно вообще. Для парирования таких «частных» угроз в системах IDS/IPS, а по наследству в UTM/NGFW, применяются пользовательские сигнатуры. Но проблема в том, что написание такой сигнатуры требует от пользователя глубокого понимания механизма атаки. В противном случае пользовательская сигнатура может не только «пропустить» угрозу, но и породить большое количество ложных срабатываний.
В наиболее современных WAF используется автоматизированный подход к виртуальному патчингу. Для этого используется анализатор исходных кодов приложения (SAST, IAST), который не просто показывает в отчёте строки уязвимого кода, но тут же генерирует эксплойт, то есть вызов с конкретными значениями для эксплуатации обнаруженной уязвимости. Эти эксплойты передаются в WAF для автоматического создания виртуальных патчей, которые обеспечивают немедленное «закрытие бреши» ещё до исправления кода.
Корреляции и цепочки атак
Традиционный межсетевой экран дает тысячи срабатываний на подозрительные события, в которых необходимо разбираться вручную, чтобы выявить реальную угрозу. Как отмечает Gartner, вендоры систем IPS вообще предпочитают отключить большинство сигнатур веб-приложений, чтобы снизить риск возникновения таких проблем.
Современный WAF может группировать сходные срабатывания и выявлять цепочку развития атаки — от разведки до кражи важных данных или установки закладок. В результате вместо списка из тысяч подозрительных событий ИБ-специалисты получают несколько десятков действительно важных сообщений.
Что дальше?
Понятно, что решения разных вендоров WAF всегда будут отличаться набором функций. Поэтому перечислим здесь лишь наиболее известные дополнительные фичи современных защитных экранов уровня приложений:
Web Application Firewall — специализированная защита веб-приложений
В недавнем отчете, посвященном глобальным угрозам интернет-безопасности, компания Symantec указала, что злоумышленники при атаках на веб-сайты используют уязвимости серверных веб-приложений, либо уязвимости самой операционной системы, на которой работают такие приложения.
Основной целью киберпреступников обычно являются различные финансовые организации: банки, страховые компании, онлайн-площадки e-commerce. При этом главной точкой «входа» для хакера нередко становится именно веб-приложение, притом сам веб-ресурс может быть любой направленности. Попытаться взломать систему защиты сегодня может даже пользователь, не особо осведомленный в этой области — ведь описание технологии хакинга и все нужные для этого средства доступны в интернете, а значит их можно найти с помощью обычных поисковиков.
Почему именно WAF?
В подавляющем большинстве атак на веб-сайты злоумышленники эксплуатируют уязвимости не сетевой инфраструктуры, а приложений. Притом даже если в компании установлены антивирус и брандмауэр, эти средства не очень результативны в предотвращении подобных угроз.
Для качественной защиты лучше прибегнуть к иному методу, предусматривающему глубинный анализ контента пакетных данных и учет особенностей структуры веб-приложений, и таким средством является Web Application Firewall (WAF) — специализированный файрвол, предназначенный для анализа данных, передаваемых по протоколам HTTP и HTTPS. 
Чтобы детектировать кибератаку, межсетевой экран для веб-приложений использует два ключевых подхода: сигнатурный и поведенческий. Именно работа этих двух технологий в комплексе способна обеспечить высокий уровень защиты, ведь в атаках на веб-сайты хакеры могут задействовать так называемые уязвимости нулевого дня (zero-day), которые делают совершенно неэффективным сигнатурный подход. Вместе с тем, поведенческий метод постоянно анализирует, как работает приложение, путем детального анализа сетевого трафика и системных журналов. Если наблюдаются существенные отклонения — срабатывает система предупреждения и защиты.
Кстати, гигантский объем ложных реакций на различные подозрительные события относят к одному из минусов обычного файрвола. Ведь из-за этого очень непросто понять реальную степень угрозы — во множестве уведомлений приходится «копаться»» вручную. В то же время Web Application Firewall в автоматическом режиме анализирует десятки и даже сотни событий, после чего выводит данные о развитии атаки — от начала и до конца.
Следует отметить, что многие Web Application Firewall поддерживают контроль шифрованного трафика SSL, передаваемого по протоколам HTTP и HTTPS.
Критерии выбора продукта
Сегодня системы защиты веб-приложений пользуются спросом в компаниях различного размера, поэтому большинство именитых мировых производителей уже вывели на рынок свои версии продуктов. Среди наиболее известных игроков на рынке — Barracuda Networks Citrix, F5, Fortinet и Imperva. Ниже представлен обзор популярных на рынке решений. Более подробную информацию о них можно получить в сравнительной таблице, где можно сравнить все продукты по каждой отдельной характеристике. 
А в нашем обзоре мы попробуем осветить их основные свойства и преимущества.
Barracuda Web Application Firewall
Barracuda Web Application Firewall — эффективная комплексная система, предназначенная для обеспечения безопасности веб-приложений и сайтов. Продукт дает мощный отпор злоумышленникам, эксплуатирующим слабые места в протоколах или приложениях для хищения данных, нарушения работы сервисов или дефейса веб-сайтов. Примечательно, что решение от Barracuda WAF имеет не только английский, но и русский интерфейс.
Продукт от Barracuda способен обеспечить защиту от таких атак, как внедрение SQL кода, межсайтовый скриптинг (XSS), взлом сессий и переполнение буфера. Кроме того, Barracuda WAF предотвращает хищение информации за счет мониторинга всех исходящих данных на наличие утечек каких-либо секретных сведений: номеров счетов в банках, личной пользовательской информации, паролей и прочего.
Системный администратор сможет вовремя детектировать DoS- и DDoS атаки благодаря специальной функции, контролирующей скорость передачи данных. Мощный встроенный антивирус позволяет проверить любые импортируемые в систему данные и файлы на предмет различного вредоносного кода.
Barracuda Web Application Firewall полностью совместим с большинством распространенных систем для идентификации (Active Directory, eDirectory), которые поддерживают LDAP RADIUS. Кроме того, здесь есть функция двухфакторной идентификации: система поддерживает пользовательские аутентификаторы и токены (RSASecureID), чтобы гарантировать надежную защиту аутентификации клиентов.
Citrix NetScaler Application Firewall
NetScaler Web App Firewall от компании Citrix, входящий в состав комплексного решения Citrix NetScaler, является одним из лучших в своей категории файрволом веб-приложений (WAF), защищающим как сайты, так и приложения от различных атак, включая угрозы на прикладном уровне и уязвимости нулевого дня.
Продукт предназначен для государственного сегмента, крупного и среднего бизнеса. NetScaler Web App Firewall поставляется как в виде виртуальной машины, так и аппаратного комплекса, а также в виде облачного сервиса.
NetScaler Application Firewall от Citrix защищает от атак типа SQL инъекция, XSS, от изменения скрытых параметров формы (read-only(hidden) parameters) и других атак. Имеется функция предотвращения утечек данных, которая обеспечивает профилактику хищения данных кредитных карт и других конфиденциальных сведений, фильтрует и блокирует при необходимости передаваемую информацию.
Для адаптации NetScaler WAF к изменяемому приложению создается профиль защиты веб-приложений, который по умолчанию отражает все наиболее распространенные и опасные угрозы. Со временем этот профиль постепенно корректируется и наполняется информацией.
Пропускная способность Citrix Web Application Firewall составляет от 500 Мбит/с до 44 Гбит/с. Citrix WAF предлагается как отдельное решение или же интегрируется с платформой Citrix ADC. По данным NSS Labs, именно Citrix Web Application Firewall является одним из лидеров по соотношению цена/производительность среди файрволов веб-приложений.
Для компаний, которые намерены перенести свои приложения и данные в облако, хорошую службу сослужит сервис Citrix Web App Firewall Security Service. Этот продукт более прост в конфигурировании, кроме того, при его покупке используется модель «плати по мере роста». Это позволяет тратить ровно столько денег, сколько нужно для актуальных задач, но по мере необходимости масштабировать этот продукт.
F5 Networks Silverline Web Application Firewall
Несколько лет назад F5 Networks вывела на рынок cloud-сервис Silverline Web Application Firewall (WAF), цель которого — отражать атаки на веб-приложения. Этот продукт предлагается по модели подписки.
Silverline WAF предлагает поддержку в режиме 24×7 от экспертов в области безопасности. Подобная поддержка, во-первых, дает возможность компаниям защитить данные и веб-приложения, во-вторых, обеспечить соответствие индустриальным стандартам безопасности, таким как PCI DSS.
Silverline WAF защищает приложения от атак, основанных на внедрении SQL-кода, атак типа zero-day, вложения JSON, OWASP Top Ten и др. Важное преимущество Silverline WAF —функция самообучения в автоматизированном режиме, применяющая технологии iRules и iApps для оперативного переконфигурирования в соответствии со спецификой новых угроз.
Продукт дает возможность снизить операционные затраты за счет применения специальных ресурсов Центра обеспечения безопасности F5 Networks при управлении политиками WAF. Встроенная функция проактивного мониторинга от F5 Networks задействует внешние специализированные решения для защиты приложений от новых атак. Решение генерирует отчеты о доступе через портал заказчика.
Fortinet FortiWeb
Брандмауэр для веб-приложений FortiWeb от компании Fortinet ориентирован на средний и крупный бизнес, а также интернет-сервис-провайдеров. Продукт поставляется в виде аппаратного или виртуального устройства, а также в виде облачного сервиса. Благодаря сопровождению службы безопасности от FortiGuard Labs, FortiWeb обеспечивает защиту от новейших уязвимостей приложений, ботов и подозрительных URL-адресов. Кроме того, за счет двух механизмов обнаружения угроз, построенных на технологии машинного обучения, веб-приложения защищены от таких сложных кибер рисков, как SQL-инъекция, кросс-сайт-скриптинг, переполнение буфера, вредоносное изменение файлов cookie, источники угроз и атак DoS.
Функция нахождения угроз, путем поведенческого анализа, в FortiWeb использует два уровня машинного обучения на основе AI и статистических вероятностей для обнаружения аномалий и отдельных угроз. Благодаря машинному обучению FortiWeb может обеспечить почти 100%-ную точность детектирования угроз для приложений, практически не потребляя ресурсов. За счет искусственного интеллекта FortiWeb представляет собой практически WAF «из коробки», который работает по принципу «установить и забыть», но при этом не в ущерб точности и надежности.
Fortinet перманентно ведет работу по детектированию новых угроз в собственном аналитическом центре FortiGuard Security Center. За счет такого подхода обновления сигнатур, черных списков сайтов и баз репутаций происходит несколько раз в день.
FortiWeb способен обеспечить временный патчинг приложений до тех пор, пока команды разработчиков не развернут перманентные заплаты для уязвимостей. Обычно рекомендуется перманентно исправлять известную уязвимость, однако есть много ситуаций, когда это невозможно или непрактично, например, когда речь идет об унаследованных или старых приложениях, которые будут вскоре удалены.
Полная совместимость всех продуктов Fortinet между собой дает возможность быстро и просто масштабировать систему. Высокая степень автоматизации операций и простота их сопровождения сокращает число ошибок, вызванных человеческим фактором. Кроме того, такая характеристика позволяет сократить число сотрудников отдела ИБ.
Imperva SecureSphere Web Application Firewall
Решения от компании Imperva предназначены для применения в государственном секторе, а также в крупном и среднем бизнесе. Продукты интересны синхронным применением сразу нескольких технологий киберзащиты: контролем протоколов на аномальное поведение, динамическим профилированием, анализом через сигнатуры, отслеживанием сессий. Для всех продуктов Imperva предоставляется качественная поддержка. Кроме того, это семейство продуктов известно несложной процедурой инсталляции и настройки.
Для эффективной защиты применяются механизмы на основе сигнатур бесплатной open-source системы предотвращения вторжений Snort, а также собственных SQL-сигнатур, генерируемых исследовательским центром ADC (Application Defense Center). С точки зрения отказоустойчивости, здесь имеется поддержка кластеризации Active-Active и Active-Passive.
SecureSphere WAF оснащен невстраиваемым снифером, прозрачным прокси-сервером и обратным прокси-сервером, обладает отличной поддержкой SSL. Так продукт обеспечивает пассивную расшифровку SSL, поддержку сессий, установленных на клиентских сертификатах, терминацию и детерминацию (то есть, анализ трафика SSL без терминации). Немаловажно, что разработка содержит аппаратные модули, ускоряющие обработку SSL.
Для формирования эталонной модели безопасности здесь применен метод классификации правил и применения детальных сигнатур (с использованием правил межсетевого экранирования, создания сигнатур и обработки нарушений протоколов). Для адаптации WAF к изменяемому приложению реализована возможность изменения профиля веб-приложений, созданного в режиме машинного обучения. Вместе с тем, есть настройка профиля веб-приложений в ручном режиме.Продукт может поставляться в виде виртуальной машины, аппаратного комплекса, а также в виде облачного сервиса. Максимальная поддерживаемая пропускная способность старшей модели достигает 10 Гбит/с. Помимо HTTP/HTTPS, здесь есть поддержка веб-стандартов WebSockets, XMS и JSON.
Реализованный в SecureSphere WAF генератор отчетов, предоставляет системным администраторам отчеты в соответствии с требованиями стандартов по ИБ. Также здесь есть возможность генерировать собственные кастомизированные отчеты (в том числе, и по расписанию) и экспортировать в различные форматы.
Еще одно немаловажное позитивное качество устройств SecureSphere WAF — наличие сервиса ThreatRadar, обеспечивающего практически мгновенную защиту от атак. ThreatRadar позволяет оперативно блокировать трафик, идущий от подозрительных источников, еще до момента осуществления какого-либо вредного воздействия. 
Резюме
Все продукты, описанные выше, являются лидерами на рынке и обеспечивают защиту высокого качества. Но, чтобы убедиться в правильности конфигурирования, после окончания процесса построения защитной системы, эксперты рекомендуют провести так называемый Penetration test — испытание на проникновение. С его помощью можно проверить реальную защищенность информационной системы через имитации направленных атак различного типа.