[Информационная безопасность, Разработка веб-сайтов, API, Тестирование веб-сервисов] Nemesida WAF 2021: защита сайтов и API от хакерских атак

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
02-Июл-2021 00:30


Активное применение WAF началось более 10 лет назад. Пытаясь решить проблему защищенности веб-приложений, администраторы WAF сталкивались с побочными последствиями - большим количеством ложных срабатываний, сложностью настроек и пропусками (хотя о последнем чаще можно было узнать после успешной атаки). Время шло, в арсенале разработчиков появлялись новые инструменты (например, возможность применения машинного обучения), недостатки устранялись, повышалось удобство пользования, но все равно многие не торопятся использовать WAF.Несмотря на рекомендации лучших практик, есть 2 основных проблемы, по которым использование WAF затрудняется - блокирование легитимных запросов и время, необходимое на обслуживание (установка/настройка/обновление/масштабирование). Ниже расскажу, как Nemesida WAF решает эти проблемы, ровно как и другие: пропуски атак, поиск уязвимостей и блокирование продвинутых ботов.На старт, внимание, фолс!Ложные срабатывая - главная причина, почему администраторы отказываются использовать WAF. В попытках найти компромис между ложными срабатываниями (FP) и пропусками атак (FN), разработчики WAF старались более точно описывать правила блокировок или повышать порог, необходимый для блокирования запроса, повышая шанс пропустить атаку. Наступило время период задействовать машинное обучение для решение этой проблемы.
В 2018, используя различные научные работы и, конечно же, эмпирический путь нам удалось интегрировать алгоритмы машинного обучения в Nemesida WAF, которые показали высокую точность выявления атак. Вместе с тем мы столкнулись с другой проблемой - анализ запросов с использованием ML кратно повышал требования к аппаратному обеспечению и значительно уступал по времени обработки сигнатурному анализу.Решением проблемы стал комбинированный анализ - запросы с явными признаками атаки отсекались сразу сигнатурами, а неявными - поступали на анализ в модуль машинного обучения - Nemesida AI. Сегодня мы практически не имеем ложных срабатываний, при этом анализ запросов почти не увеличивает время обработки запроса и не требует больших вычислительных мощностей. Для обработки боевого трафика 1200-1500 RPS процессор типа Xeon CPU E3-1245 3.40GHz будет загружен на 30-50%.В редких случаях возникновения ложных срабатываний их всегда можно экспортировать в один клик, после чего схожие запросы не будут блокироваться и войдут в обучающую выборку модуля машинного обучения.Назойливые хитрые ботыПомимо атак, связанных с попытками поиска и эксплуатаций уязвимостей, боты приносят не меньше проблем. Одни перегружают сервер избытком запросов, другие - сливают бюджет за счет злоупотребления функционалом авторизации или восстановления пароля по СМС.Для блокирования подобных атак в Nemesida WAF используется 3 механизма:
  • выявление попыток подбора паролей
  • выявление попыток злоупотребления СМС-функционалом
  • выявление DDoS Layer 7

Блокирование попыток подбора пароляНезависимо от того, на что направлена атака ботов, Nemesida WAF довольно точно определит ее признаки и заблокирует практически всех участников.Интеграция с расширенной GeoIP базойВ процессе работы модули Nemesida WAF активно используют функционал GeoIP: библиотеку libmaxminddb0 для получения базовой информации по IP, и онлайн GeoIP базу для получения расширенной информации (является ли IP-адрес прокси-сервером/TOR, используется ли он мобильными операторами или закреплен за дата-центром, его страну, город, провайдера и т.д). Расширенная информация используется при автоматическом анализе модулями Nemesida WAF, а также при визуализации событий в Личном кабинете.
Демонстрационный стенд Личного кабинета: https://demo.lk.nemesida-waf.com/ (demo@pentestit.ru / pentestit)
Использование функционала CAPTCHA для отмены временной блокировки IPВ Nemesida WAF есть функционал временного блокирования атакующего по IP-адресу, позволяя ограничить доступ к ресурсу. Используя функционал управления Nemesida WAF Management API в сочетании с CAPTCHA, пользователь может снять временный бан, успешно пройдя проверку.
Nemesida WAF ScannerИспользование динамического сканера уязвимостей в составе Nemesida WAF позволяет повысить уровень защищенности веб-приложений - вы можете активировать периодический обход веб-ресурса сканером, а также выполнять проверки уязвимостей "на лету" через заблокированные запросы. В последнем случае, используя Личный кабинет, при клике на кнопке Recheck (R) в строке с заблокированных запросом, сканер попытается проверить наличие уязвимостей в этом URL набором пейлоадов, после чего сообщит, найдена ли уязвимость или нет.
Вилкой в глаз или WAF baypass?В начале года команда Vulners выпустила исследование, в котором анализировала различные популярные WAF с помощью байпасера (инструмент, проверяющий устойчивость WAF к пропускам атак и ложным срабатываниям), после чего мы, используя тот же инструмент, проверили его на Nemesida WAF и получили более высокую оценку. Если интересно, со статьей можно ознакомиться по ссылке.
Результат работы waf-bypass от Nemesida Security TeamНа Github мы опубликовали собственный waf-bypass, с помощью которого можно оценить используемый WAF. Инструмент включает почти 1500 полезных нагрузок SQLi, XSS, SSI, SSTI, RCE, LFI/RFI и т.д., написан на Python3 и доступен в виде Docker-образа.Формат поставки и стоимостьВсе модули Nemesida WAF представлены в виде установочных дистрибутивов для Ubuntu/Debian/CentOS и разворачиваются в инфраструктуре клиента (on-premises software). Анализ запросов и обучение поведенческих моделей происходит также в инфраструктуре клиента, не передавая запросы за периметр.Стоимость в 2021 г. коммерческой версии Nemesida WAF начинается от 99.000 р. и зависит от используемых опций - использования модуля машинного обучения, количества используемых экземпляров и наличия сканера уязвимостей - все, как правило, зависит от собственной оценки рисков компрометации. Но если пока не готовы к коммерческой версии - можно попробовать бесплатную - Nemesida WAF Free - использующую только сигнатурный анализ и некоторые ограничения.Оставайтесь здоровыми и защищенными!
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_razrabotka_vebsajtov (Разработка веб-сайтов), #_api, #_testirovanie_vebservisov (Тестирование веб-сервисов), #_nemesida_waf, #_web_application_firewall, #_waf, #_web_security, #_api_security, #_blog_kompanii_pentestit (
Блог компании Pentestit
)
, #_informatsionnaja_bezopasnost (
Информационная безопасность
)
, #_razrabotka_vebsajtov (
Разработка веб-сайтов
)
, #_api, #_testirovanie_vebservisov (
Тестирование веб-сервисов
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 02:30
Часовой пояс: UTC + 5