Upload
positive-hack-days
View
115
Download
7
Embed Size (px)
Citation preview
Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.
Как выбрать Web Application
FirewallБейбутов Эльдар
Центр информационной безопасностиИнфосистемы Джет
Магистерская программа «Управление информационной безопасностью»НИУ «Высшая Школа Экономики»
Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.
Как много продуктов!
Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.
WAF
Сигнатурный анализ
Профилирование запросов
Создание собственных
политик
DDoS защита
Интеграция с другими СЗИ
Проверка протокола
Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.
Machine learningProtocol officer DDoS ProtectionCustom rules Integration capabilitySignatures analyze
RFC Compliant Not HTTP abnormal
No Amount exceeding
No Time frame anomaly
No Malformed entities
No Illegal bytes
Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.
Machine learningSignatures analyze DDoS ProtectionCustom rules Integration capabilityProtocol Officer
Internet
РазведкаWell
known Threats
F5 BIG-IP ASM Imperva WAF2 week period 1 week periodRegExp скрыт RegExp виден
Только регулярные выражения Есть корреляционные правила
2000 сигнатур 6000 сигнатур/150 правил
Многофакторная уязвимость, требует корреляции с:
• Частотой возникновения в разных контекстах
• Значениями заголовков• Диапазоном IP-адресов• Другими сигнатурами• Другими политиками
безопасности
Imperva ApplicationDefense Center
(Threat analyze)
Modern threats
Security Policy update
Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.
Signatures analyze Machine learning DDoS ProtectionCustom rules Integration capabilityProtocol Officer
F5 BIG-IP ASM Imperva WAF
Параметры обучения
Профиль настроек для каждого приложенияПараметр завершения
обучения:Время обучения
(240 часов)
Условия начала и окончания обучения
Выделенные диапазон IP trusted
Анализ ответов
Оптимизациямодели
Механизм отслеживания изменений(Каждый 1 час в течении 12 часов по 50 однотипных нарушений
=> объект переучивается)
Условие начала обучения:Если в течении 20 сессий от 20 IP-адресов в течении 1 часа запрашивается схожий объект доступа => добавить объект в процесс обучения
Условие завершения обучения:При получении 5000 запросов от 500 сессий и 500 IP адресов в течении 1 дня => закончить обучение объекта
Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.
Signatures analyze Custom rules DDoS ProtectionMachine learning Integration capabilityProtocol Officer
Security Officer
WAF WEB Server
HTTP запрос
Обработка запроса
• Дешифровка• Парсинг• Валидация• Контроль сессии• Авторизация запроса
Задачи для офицера
• Учесть результаты тестирования• Внедрить разграничение доступа• Принять оперативные меры при
атаках• Установить правила аудита
Хочу свои механизмы
защиты
Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.
Signatures analyze Custom rules DDoS ProtectionMachine learning Integration capabilityProtocol Officer
Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.
Integration capabilitySignatures analyze DDoS ProtectionCustom rulesMachine learningProtocol Officer
Твоя температура?
36.6 градусов
OK
Твоя температура?
51.6 градус
Java
Scr
ipt
Bot Mitigation
REJECT
Защита от DDoS на прикладном уровне
это реально!
РеагированиеProof of work
challenge
Проверка на доказательство
работы
CAPTCHA challenge
Проверка на человечность
Shaping or blocking
Блокировка нарушителей
Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.
DDoS ProtectionSignatures analyze Integration capabilityCustom rulesMachine learningProtocol Officer
Vulnerability scanners (HP Web Inspect, IBM App Scan, WhiteHat Sentinel, QualysGuard)
SIEM (ArcSight, QRadar, RSA Security Analytics)
Database Activity Monitoring
Reputational services
Fraud prevention
Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.