Блог Айдеко
Новые версии Ideco UTM

WEB APPLICATION FIREWALL В IDECO ICS 6.7

С версии 6.7 шлюз безопасности Ideco ICS стал первым российским UTM-решением со встроенным Web Application Firewall.

Что такое Web Application Firewall, для кого он предназначен и как применить его для защиты одного из самых актуальных векторов угроз корпоративной сети — об этом пойдёт речь в данной статье.

ЧТО ТАКОЕ WEB APPLICATION FIREWALL


Web Application Firewall — это защитный экран, который предназначен для защиты веб-приложений (сайтов, веб-порталов, CRM и ERP-систем с веб-интерфейсом) от атак. В отличие от обычного межсетевого экрана, WAF анализирует HTTP-протокол на уровне приложений (layer 7) и способен защитить сайт от большого количества угроз.


По статистике сервисов проксирования трафика за прошлый год около 50% всех обращений к сайтам идет от ботов, причем примерно 12% запросов — это поиски уязвимостей и атаки на веб-ресурсы.Быстрое распространение информации об уязвимостях в криминальной киберсреде и наличие поисковиков, предоставляющих информацию о всех особенностях опубликованных в Интернете ресурсов, привело к росту нецеленаправленных атак, прежде всего на веб-ресурсы, как на наиболее сложные и уязвимые сервисы.

Наибольший ущерб может причинить взлом веб-приложений, расположенных внутри корпоративных систем и хранящих ценные коммерческие или персональные данные. Отказаться от публикации данных ресурсов в сеть Интернет в современных условиях невозможно: все больше штатных и внештатных сотрудников используют корпоративную веб-почту, внутренние порталы, CRM и ERP-системы удаленно, из сети Интернет. Поэтому актуальной проблемой безопасности является защита корпоративных веб-приложений от действий злоумышленников.

МЕТОДЫ ЗАЩИТЫ


Модуль WAF, интегрированный в Ideco ICS, реализует следующие методы защиты

веб-приложения и полностью соответствует международным требованиям к данного типа межсетевым экранам.

Особенностью реализации фаервола веб-приложений в Ideco ICS является то, что кроме сигнатурного анализа и контентной фильтрации запросов к сайту, Ideco ICS осуществляет предварительную фильтрацию входящего трафика на более низком уровне: блокирует обращения от обновляемой базы IP-адресов злоумышленников IP Reputation и из сети TOR. Это позволяет существенно увеличить производительность решения, избавляя модули глубокого анализа трафика от анализа заведомо нелегитимных запросов, а также противодействует злоумышленникам, ведущим сканирование и сбор информации о веб-приложениях.


Результаты сканирования сайта Acunetix Web Vulnerability Scanner без использования модуля WAF

Результаты сканирования сайта Acunetix Web Vulnerability Scanner после включения модуля WAF

Поведенческий анализ запросов также позволяет автоматически блокировать атакующих с помощью межсетевого экрана, что повышает устойчивость сайта к DoS-атакам.
Таким образом, наличие модуля WAF в шлюзе безопасности Ideco ICS даёт возможность улучшить защиту серверов и сервисов корпоративной сети. Являясь частью UTM-решения, WAF прост в настройке и уже в базовой конфигурации способен защитить сайт от 70-85% нелегитимных запросов.