WAF как новая парадигма защиты веб-приложений

Защита веб-приложений становится сложной задачей из-за их возрастающей интерактивности, усложняющегося поведения и поддержки новых протоколов. В этом году аналитическое агентство Gartner назвало компанию Positive Technologies одним из визионеров в рейтинге «магический квадрант для экранов защиты веб-приложений» (Magic Quadrant for Web Application Firewalls – WAFs). Такой рейтинг составляется только с прошлого года, поскольку речь идёт о новом типе средств защиты. WAF часто путают с межсетевыми экранами, системами обнаружения и предотвращения вторжений (IPS / IDS). Они умеют делать всё тоже самое, но список их возможностей гораздо шире, а сама логика работы более интеллектуальная.

Существующие методы выявления сетевых атак всё чаще оказываются малоэффективными, особенно в случае использования различных эксплоитов. «По нашим оценкам, в 2014 году 60% атак на корпоративные сети осуществлялись через веб-приложения, невзирая на наличие традиционных защитных средств», – поясняет Евгений Гнедин, ведущий аналитик отдела аналитики Positive Technologies.

Классические механизмы фильтрации трафика работают на базовых уровнях модели OSI, анализируя характеристики отдельных пакетов данных. Если IP-адреса в их заголовках или номера сетевых портов оказываются в «чёрном списке» (или отсутствуют в «белом»), то такие пакеты отклоняются. В настройках межсетевого экрана часто рекомендуется изначально заблокировать все порты, а затем открывать их по мере необходимости (запроса соединения приложением).

Уровни сетевой модели OSI.

Такой метод неплохо маскирует при сканировании портов и защищает от грубых попыток НСД, но практически бесполезен от атак изнутри. Нет никакой гарантии, что открытые порты используют только легитимные приложения. Поэтому более продвинутые фаерволы создают список правил для конкретных приложений (или даже их компонентов) и сверяют их контрольные суммы, чтобы от имени доверенной программы не смог действовать бэкдор.

По мере роста числа используемых программ и сетевых сервисов этот метод также перестаёт быть эффективным. Даже оффлайновые приложения регулярно используют интернет. Они проверяют обновления, отправляют отчёты о работе и данные телеметрии. В период обучения фаерволы постоянно спрашивают, стоит ли разрешать очередное подключение. Пока админ думает, приложения успевают отправить аналогичные запросы на другие порты или IP-адреса резервных узлов, из-за чего возникает длинная цепочка однотипных диалоговых окон. Отказ от режима обучения приводит к двум крайностям: фаервол либо игнорирует новые угрозы, либо мешает работе новых приложений, поскольку блокирует их подключения.

Сегодня сама ОС и популярные приложения всё чаще получают входящий трафик через сеть доставки контента, а исходящий отправляют сразу в несколько подсетей. Поэтому создавать списки разрешённых IP-адресов для приложений уже не кажется хорошей идеей. Развитие P2P и облачных сервисов сделало такую методику фильтрации ещё менее эффективной.

Positive Technologies Web Application Firewall.

Продвинутые межсетевые экраны умеют анализировать не столько отдельные пакеты и их заголовки, сколько состояние канала связи и отклонения в нём. Механизм stateful inspection подразумевает контроль на уровне активных TCP-сессий и проверку принадлежности обрабатываемых пакетов к ним.

Однако сегодня и такой подход уже не даёт желаемых результатов. В сетевых атаках всё чаще используются критические ошибки системных компонентов, общих библиотек и популярных приложений. Использование эксплоитов позволяет атакующим обходить не только фильтрацию на канальном и сетевом уровне, но и контроль состояния приложений.

Сочетание МСЭ с IDS/IPS повышает уровень защиты периметра и делает её более интеллектуальной. В паре они могут анализировать трафик уже более глубоко и эффективнее определять подозрительные действия на основе обновляемых шаблонов. Однако это всё равно преимущественно уровень пакетной обработки, слабо учитывающий особенности работы самих приложений.

Скриншот с конкурса WAF Bypass на Positive Hack Days (фрагмент).

Долгое время самыми мощными средствами защиты оставались комплексные решения обеспечения безопасности. Их называли «системы единого управления угрозами» (UTM) и «МСЭ следующего поколения» (NGFW). Обычно они включали в себя фаервол, IDS/IPS, антивирус, прокси-серверы, шлюз для организации VPN и средства балансировки нагрузки. Объединяя сильные стороны каждого из компонентов, они также преумножали их недостатки. Как любое универсальное решение, они плохо справляются с выполнением специфических задач.

Современный подход к защите веб-приложений основан на использовании специализированных решений – WAF. Обычно они работают только с протоколами HTTP/HTTPS, но делают это на максимально интеллектуальном уровне. Помимо традиционных методов, таких как репутационный анализ IP-адресов и распознавание атак по сигнатурам, они используют и уникальные подходы. Архитектура WAF позволяет анализировать целиком каждый сеанс связи и выполнять более точный поведенческий анализ, чем это делают NGFW. Как результат, WAF лучше выявляют отклонения в нормальной работе приложений и могут противостоять уязвимостям нулевого дня.

Уязвимости веб-приложений (статистика: PT).

С известными уязвимостями WAF тоже борются оригинальным образом. Технология виртуального патчинга позволяет им закрыть известную брешь, не дожидаясь выхода обновления для уязвимого компонента. Анализатор исходных кодов способен не просто определить уязвимость, но и автоматически создать патч прямо в оперативной памяти.

Рассмотренная ранее проблема с избыточностью запросов и лог-файлов решается в WAF за счёт выявления корреляций между ними и объединения взаимосвязанных сообщений в цепочки. Они позволяют увидеть развитие атаки и быстро среагировать на неё, не теряя времени на пролистывание раздутого отчёта в надежде увидеть важную запись среди тысяч других.

Последние версии WAF уже могут обрабатывать XML, JSON и другие протоколы, используемые преимущественно мобильными приложениями. В дальнейшем к ним добавят поддержку политики безопасности контента (Content Security Policy, CSP) для защиты от межсайтового скриптинга и других атак.

По оценке Positive Technologies объем рынка WAF составляет порядка 1,5 млрд рублей. Рост рынка WAF за последний год составил 30%. Прогнозируется, что в дальнейшем он будет ежегодно расти на 80% и более. Такая динамика обусловлена как ростом востребованности WAF в корпоративном сегменте, так и формированием рынка услуг модели “безопасность как сервис», в первую очередь – интернет-провайдерами, операторами сотовой связи и дата-центрами.