Що таке WAF наступного покоління?
Що таке WAF наступного покоління?
WAF (Web Application Firewall) наступного покоління — це найновіша та більш потужна форма міжмережного екрану для вебзастосунків.
02.11.2022
WAF значно розвинулися за останні два десятиліття. Найновіші та найбільш потужні з них — мережні екрани наступного покоління для вебзастосунків (або «nxgen») — отримали значний обсяг можливостей, про що розказуємо нижче.
WAF все ще можна знайти в обох формах сьогодні. Кожна має переваги та недоліки. Наприклад, програмні міжмережні екрани та стандартне обладнання зазвичай дешевше, ніж спеціальні пристрої. У той же час спецпристрої більш продуктивні.
Однак обидві форми мають один великий недолік: вони розгортаються поза вхідним каналом інтернету. Тому вони не можуть забезпечити повний захист від певних типів атак, як-от об’ємний DDoS. Досить потужна DDoS-атака може переповнити інтернет-канал, перш ніж WAF зможе очистити трафік.
Кілька років тому з’явилася нова форма WAF. Сьогодні можна розгорнути службу WAF у хмарі, що може забезпечити переваги попередніх форм-факторів без їхніх недоліків. Хмарний WAF може бути недорогим та потужним, і, працюючи в хмарі, він може обробляти та фільтрувати величезні обсяги трафіку, перш ніж той надійде до мережі призначення.
Nxgen WAF робить все перераховане вище та щебагато іншого. Він аналізує не лише зміст і формат кожного запиту, але й відстежує те, що робить запитувач в більш широкому контексті. Наприклад, DoS- або DDoS-атака зазвичай складається із запитів, які здаються цілком безпечними, якщо розглядати їх окремо. Але атака є результатом великої кількості запитів, а не тому, що вони містять небезпечний контент.
Сучасний WAF робить набагато більше, ніж просто фільтрує трафік на основі кожного запиту. Він відстежує та аналізує загальну активність кожного запитувача, враховуючи весь згенерований трафік, щоб визначити намір запитувача (легітимний він чи зловмисний). Завдяки цьому він захищає від широкого спектру вебзагроз.
- - - - - - - - - -
*OWASP (Open Web Application Security Project) — проєкт забезпечення безпеки вебзастосунків.
Адміністрування
Програмні WAF та апаратні пристрої є складними продуктами. З розвитком середовища інтернет-загроз їхня складність з часом зростає. Тому їх важко адмініструвати та правильно ними керувати. До того ж вони потребують частого виправлення та оновлення.
Для WAF наступного покоління це вже не проблема. Провайдер може дистанційно керувати та оновлювати хмарні WAF.
Сигнатурне детектування виконує перевірку вхідних запитів та порівняння їх із базою даних сигнатур загроз. Якщо запит відповідає ворожому шаблону, він блокується. В іншому випадку він дозволяється.
Фільтрація на основі геолокації блокує запити, якщо вони надходять із джерела трафіку, яке заявлене як зловмисне. База даних шкідливих джерел зазвичай являє собою комбінацію списків сторонніх розробників (наприклад, Spamhaus EDROP), статичних внутрішніх списків і динамічних внутрішніх списків.
Ці дві парадигми добре працювали протягом багатьох років. Але сьогодні вони не можуть виявити всі форми атак. Сучасні загрози навчилися маскувати свою діяльність: часто запити не відповідають відомим сигнатурам загроз. Насправді деякі форми зловмисної вебактивності (наприклад, сканування сайту) базуються на запитах, які є цілком легітимними. Що стосується фільтрації на основі геолокації, то її можна обійти, змінивши IP-адреси. Сучасні зловмисники часто зловживають стільниковими шлюзами або використовують інші методи доступу до тисяч або навіть мільйонів IP-адрес.
WAF наступного покоління вирішує ці проблеми, оскільки не спирається виключно на ці дві парадигми. Виявлення за сигнатурою та геолокацією все ще є корисними, оскільки ці методи допомагають швидко ідентифікувати та блокувати менш складні атаки. Однак WAF наступного покоління також використовує ідентифікатор запитувача та його поведінку для розпізнавання загроз.
Ідентифікація ініціатора запиту дає змогу WAF відстежувати джерела трафіку, навіть коли вони змінюють IP-адреси, змінюють клієнтські пристрої тощо. Аналізуючи поведінку, WAF порівнює поведінку поточного запитувача з поведінкою попередніх користувачів.
Справжній WAF наступного покоління (наприклад, AWS WAF) використовує переваги машинного навчання та інших технологій для створення складних профілів поведінки легітимних клієнтів. Коли кожен запитувач намагається використати вебзастосунок, усі аналітичні дані для його взаємодії (статистика пристрою, події інтерфейсу користувача, хронометраж, показники сесії тощо) аналізуються та порівнюються з цими профілями. Зрештою кожен ворожий користувач зрештою відхиляється від легітимної поведінки. Щойно запитувач зробить це, nxgen WAF заблокує йому подальший доступ до мережі.
WAF наступного покоління (наприклад, AWS WAF) працює в хмарі, його можна розгортати, налаштовувати та керувати програмно. Він може легко підтримувати робочі процеси CI/CD, а також безсерверну, контейнерну архітектуру тощо. Він також буде динамічним і адаптивним. Він розпізнає зміни в потоці трафіку, який оброблює (наприклад, нові виклики до API) і може запропонувати відповідні зміни набору правил для своїх адміністраторів.
Наведений вище список описує деякі характеристики, які допоможуть відрізнити WAF, який справді відноситься до категорії nxgen, від того, який ним не є.
Якщо вас цікавить потужне та надійне рішення для веббезпеки, якщо ви хочете захистити свій бізнес від потенційних кіберзагроз, напишіть про це в Мегатрейд: soft@megatrade.ua. Ми надамо консультацію та організуємо можливість ознайомитися з демонстраційною версією nxgen. Нагадаємо, що Мегатрейд є офіційним дистриб’ютором Reblaze в Україні.
Форма
Перші WAF були програмними застосунками, що розгорталися на звичайному обладнанні. Пізніше на ринку з’явилися спеціалізовані апаратні продукти.WAF все ще можна знайти в обох формах сьогодні. Кожна має переваги та недоліки. Наприклад, програмні міжмережні екрани та стандартне обладнання зазвичай дешевше, ніж спеціальні пристрої. У той же час спецпристрої більш продуктивні.
Однак обидві форми мають один великий недолік: вони розгортаються поза вхідним каналом інтернету. Тому вони не можуть забезпечити повний захист від певних типів атак, як-от об’ємний DDoS. Досить потужна DDoS-атака може переповнити інтернет-канал, перш ніж WAF зможе очистити трафік.
Кілька років тому з’явилася нова форма WAF. Сьогодні можна розгорнути службу WAF у хмарі, що може забезпечити переваги попередніх форм-факторів без їхніх недоліків. Хмарний WAF може бути недорогим та потужним, і, працюючи в хмарі, він може обробляти та фільтрувати величезні обсяги трафіку, перш ніж той надійде до мережі призначення.
Сфера застосування
Традиційний WAF фільтрує окремі запити. Наприклад, він блокує запити з подвійним кодуванням, запити, що містять спроби впровадження коду, і запити, що надходять з IP-адрес, які позначено як ворожі. Багато з цих загроз можна знайти в топ-10 ризиків безпеки вебзастосунків OWASP*.Nxgen WAF робить все перераховане вище та щебагато іншого. Він аналізує не лише зміст і формат кожного запиту, але й відстежує те, що робить запитувач в більш широкому контексті. Наприклад, DoS- або DDoS-атака зазвичай складається із запитів, які здаються цілком безпечними, якщо розглядати їх окремо. Але атака є результатом великої кількості запитів, а не тому, що вони містять небезпечний контент.
Сучасний WAF робить набагато більше, ніж просто фільтрує трафік на основі кожного запиту. Він відстежує та аналізує загальну активність кожного запитувача, враховуючи весь згенерований трафік, щоб визначити намір запитувача (легітимний він чи зловмисний). Завдяки цьому він захищає від широкого спектру вебзагроз.
- - - - - - - - - -
*OWASP (Open Web Application Security Project) — проєкт забезпечення безпеки вебзастосунків.
Адміністрування
Програмні WAF та апаратні пристрої є складними продуктами. З розвитком середовища інтернет-загроз їхня складність з часом зростає. Тому їх важко адмініструвати та правильно ними керувати. До того ж вони потребують частого виправлення та оновлення.
Для WAF наступного покоління це вже не проблема. Провайдер може дистанційно керувати та оновлювати хмарні WAF.
Моделі безпеки
Перші WAF базувалися на негативній моделі безпеки. Більш пізні продукти також включали позитивну модель безпеки. WAF наступного покоління включає обидві моделі, а також розширені можливості.Парадигми ідентифікації загроз
Традиційні WAF мають два основні способи ідентифікації ворожого трафіку: сигнатурне виявлення та геолокацію.Сигнатурне детектування виконує перевірку вхідних запитів та порівняння їх із базою даних сигнатур загроз. Якщо запит відповідає ворожому шаблону, він блокується. В іншому випадку він дозволяється.
Фільтрація на основі геолокації блокує запити, якщо вони надходять із джерела трафіку, яке заявлене як зловмисне. База даних шкідливих джерел зазвичай являє собою комбінацію списків сторонніх розробників (наприклад, Spamhaus EDROP), статичних внутрішніх списків і динамічних внутрішніх списків.
Ці дві парадигми добре працювали протягом багатьох років. Але сьогодні вони не можуть виявити всі форми атак. Сучасні загрози навчилися маскувати свою діяльність: часто запити не відповідають відомим сигнатурам загроз. Насправді деякі форми зловмисної вебактивності (наприклад, сканування сайту) базуються на запитах, які є цілком легітимними. Що стосується фільтрації на основі геолокації, то її можна обійти, змінивши IP-адреси. Сучасні зловмисники часто зловживають стільниковими шлюзами або використовують інші методи доступу до тисяч або навіть мільйонів IP-адрес.
WAF наступного покоління вирішує ці проблеми, оскільки не спирається виключно на ці дві парадигми. Виявлення за сигнатурою та геолокацією все ще є корисними, оскільки ці методи допомагають швидко ідентифікувати та блокувати менш складні атаки. Однак WAF наступного покоління також використовує ідентифікатор запитувача та його поведінку для розпізнавання загроз.
Ідентифікація ініціатора запиту дає змогу WAF відстежувати джерела трафіку, навіть коли вони змінюють IP-адреси, змінюють клієнтські пристрої тощо. Аналізуючи поведінку, WAF порівнює поведінку поточного запитувача з поведінкою попередніх користувачів.
Справжній WAF наступного покоління (наприклад, AWS WAF) використовує переваги машинного навчання та інших технологій для створення складних профілів поведінки легітимних клієнтів. Коли кожен запитувач намагається використати вебзастосунок, усі аналітичні дані для його взаємодії (статистика пристрою, події інтерфейсу користувача, хронометраж, показники сесії тощо) аналізуються та порівнюються з цими профілями. Зрештою кожен ворожий користувач зрештою відхиляється від легітимної поведінки. Щойно запитувач зробить це, nxgen WAF заблокує йому подальший доступ до мережі.
Підтримка сучасних практик розробки
Традиційні WAF були статичними застосунками або пристроями. Їх потрібно було налаштовувати та адмініструвати вручну. Це робить їх несумісними з сучасними практиками, такими як DevOps, DevSecOps, незмінна інфраструктура тощо.WAF наступного покоління (наприклад, AWS WAF) працює в хмарі, його можна розгортати, налаштовувати та керувати програмно. Він може легко підтримувати робочі процеси CI/CD, а також безсерверну, контейнерну архітектуру тощо. Він також буде динамічним і адаптивним. Він розпізнає зміни в потоці трафіку, який оброблює (наприклад, нові виклики до API) і може запропонувати відповідні зміни набору правил для своїх адміністраторів.
Висновки
Офіційного визначення терміну «WAF наступного покоління» немає. Як наслідок, багато виробників засобів безпеки застосовують термін у своїх продуктах, навіть якщо ті цього насправді не варті.Наведений вище список описує деякі характеристики, які допоможуть відрізнити WAF, який справді відноситься до категорії nxgen, від того, який ним не є.
Якщо вас цікавить потужне та надійне рішення для веббезпеки, якщо ви хочете захистити свій бізнес від потенційних кіберзагроз, напишіть про це в Мегатрейд: soft@megatrade.ua. Ми надамо консультацію та організуємо можливість ознайомитися з демонстраційною версією nxgen. Нагадаємо, що Мегатрейд є офіційним дистриб’ютором Reblaze в Україні.
Отримайте консультацію в Мегатрейд: soft@megatrade.ua
Глобальна платіжна система Payoneer не відчуває кібератак завдяки рішенням безпеки хмарного постачальника Reblaze
Кіберзахист нового покоління для сайтів, вебзастосунків, сервісів та API від Reblaze