Как выбрать Web Application Firewall

Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.

Как выбрать Web Application

FirewallБейбутов Эльдар

Центр информационной безопасностиИнфосистемы Джет

Магистерская программа «Управление информационной безопасностью»НИУ «Высшая Школа Экономики»


Как много продуктов!


WAF

Сигнатурный анализ

Профилирование запросов

Создание собственных

политик

DDoS защита

Интеграция с другими СЗИ

Проверка протокола


Machine learningProtocol officer DDoS ProtectionCustom rules Integration capabilitySignatures analyze

RFC Compliant Not HTTP abnormal

No Amount exceeding

No Time frame anomaly

No Malformed entities

No Illegal bytes


Machine learningSignatures analyze DDoS ProtectionCustom rules Integration capabilityProtocol Officer

Internet

РазведкаWell

known Threats

F5 BIG-IP ASM Imperva WAF2 week period 1 week periodRegExp скрыт RegExp виден

Только регулярные выражения Есть корреляционные правила

2000 сигнатур 6000 сигнатур/150 правил

Многофакторная уязвимость, требует корреляции с:

• Частотой возникновения в разных контекстах

• Значениями заголовков• Диапазоном IP-адресов• Другими сигнатурами• Другими политиками

безопасности

Imperva ApplicationDefense Center

(Threat analyze)

Modern threats

Security Policy update


Signatures analyze Machine learning DDoS ProtectionCustom rules Integration capabilityProtocol Officer

F5 BIG-IP ASM Imperva WAF

Параметры обучения

Профиль настроек для каждого приложенияПараметр завершения

обучения:Время обучения

(240 часов)

Условия начала и окончания обучения

Выделенные диапазон IP trusted

Анализ ответов

Оптимизациямодели

Механизм отслеживания изменений(Каждый 1 час в течении 12 часов по 50 однотипных нарушений

=> объект переучивается)

Условие начала обучения:Если в течении 20 сессий от 20 IP-адресов в течении 1 часа запрашивается схожий объект доступа => добавить объект в процесс обучения

Условие завершения обучения:При получении 5000 запросов от 500 сессий и 500 IP адресов в течении 1 дня => закончить обучение объекта


Signatures analyze Custom rules DDoS ProtectionMachine learning Integration capabilityProtocol Officer

Security Officer

WAF WEB Server

HTTP запрос

Обработка запроса

• Дешифровка• Парсинг• Валидация• Контроль сессии• Авторизация запроса

Задачи для офицера

• Учесть результаты тестирования• Внедрить разграничение доступа• Принять оперативные меры при

атаках• Установить правила аудита

Хочу свои механизмы

защиты


Signatures analyze Custom rules DDoS ProtectionMachine learning Integration capabilityProtocol Officer


Integration capabilitySignatures analyze DDoS ProtectionCustom rulesMachine learningProtocol Officer

Твоя температура?

36.6 градусов

OK

Твоя температура?

51.6 градус

Java

Scr

ipt

Bot Mitigation

REJECT

Защита от DDoS на прикладном уровне

это реально!

РеагированиеProof of work

challenge

Проверка на доказательство

работы

CAPTCHA challenge

Проверка на человечность

Shaping or blocking

Блокировка нарушителей


DDoS ProtectionSignatures analyze Integration capabilityCustom rulesMachine learningProtocol Officer

Vulnerability scanners (HP Web Inspect, IBM App Scan, WhiteHat Sentinel, QualysGuard)

SIEM (ArcSight, QRadar, RSA Security Analytics)

Database Activity Monitoring

Reputational services

Fraud prevention


Technology

Как выбрать Web Application Firewall