Межсетевые экраны веб-приложений для защиты розничных сетей

Межсетевые экраны веб-приложений для защиты розничных сетей

Корпоративные веб-приложения — локальные, облачные или комбинированные — основа функционирования ИТ инфраструктуры розничных систем.

 Сбои в работе приложений могут оказать существенное негативное влияние или даже полностью парализовать работу розничной сети. 

Веб-приложения имеют доступ к клиентским и финансовые данным, и обрабатывают их. Отсутствие надлежащей защиты ставит эти данные под угрозу. То есть, речь идет не только о финансовых, но и о репутационных рисках.

По данным исследовательской лаборатории компании Fortinet, почти в половине случаев причиной утечки данных является взлом веб-приложений.

Растет не только количество атак на корпоративные и розничные сети, но и их разнообразие.  Межсетевой экран веб- приложений становится must have инструментом для обеспечения безопасности и защиты розничных сетей от внешних и внутренних угроз. 

В условиях распространения полиморфных атак, одновременно по нескольким направлениям, крупным компаниям уже недостаточно простого межсетевого экрана и системы предотвращения вторжений (IPS) для обеспечения защиты розничной сети.

Чем межсетевой экран веб-приложений отличается от обычного межсетевого экрана. 

Обычный межсетевой экран контролирует трафик на сетевом, канальном и сеансовом уровнях, защищает локальную сеть компании, «отделяя» ее от Интернета.

Веб-приложения работают с доступом к интернету и к внутренней сети. Если Firewall начнет контролировать трафик от приложений, то нарушит их работу. 

Для такого контроля необходим Web Application Firewall (WAF) — межсетевой экран веб-приложений.

WAF проверяет трафик между веб-ресурсом и Интернетом на прикладном уровне модели OSI и защищает веб-сервер от атак.

Основной функционал WAF

1. Защита от вирусов и вредоносных программ

Модуль защиты от вирусов и выявления вредоносного ПО — это важнейшее решение и основа для развертывания эффективного межсетевого экрана WAF. В задачи модуля входит проверка всего трафика веб-приложений на наличие угроз, которые могут заразить серверы и другие устройства в составе корпоративной сети.

1.  Регулярное обновление сигнатур

Каждое решение WAF оснащено функцией обнаружения сигнатур (подписей),  которые сравнивает содержимое входящих пакетов с подписями известных веб-атак. В число этих атак входят ботнеты, продвинутые угрозы и распределенные атаки типа «отказ в обслуживании» (DDoS). Для обеспечения эффективного обнаружения подписей межсетевой экран WAF должен обладать следующими характеристиками: 

• Наличие доступа к ресурсам крупной и авторитетной организации, занимающейся исследованием угроз.
• Возможность включения результатов исследования угроз в базу данных обнаружения подписей. В идеале межсетевой экран WAF должен получать эти обновления в режиме реального времени.
• Функция перенаправления потенциально вредоносных пакетов в «песочницу» или предотвращения их попадания в корпоративную сеть

1. Проверка репутации IP-адресов 

Аналогично функции обнаружения подписей, функция проверки репутации IP-адресов сравнивает характеристики входящего трафика с признаками известных угроз. Разница заключается в том, что эта функция анализирует не содержимое входящих пакетов, а их источники. Межсетевой экран WAF ведет список запрещенных IP-адресов, связанных с доставкой ботнетов и атак других типов. Решение сравнивает входящий трафик защищенных веб-приложений со списком запрещенных источников и в случае обнаружения совпадения блокирует соответствующий трафик на входе в сеть

1. Проверка протоколов 

Межсетевой экран WAF также должен поддерживать удаление запрещенных HTTP-кодов. В ходе взаимодействия приложений, использующих разные протоколы связи, возникают уязвимости. Атака может обойти меры защиты каждого приложения, маскируясь под протокол связи другого приложения. Такой эксплойт может обойти даже мощные меры безопасности, имитируя ошибки преобразования. Все веб-приложения должны соответствовать спецификациям HTTP RFC. В целях предотвращения возможного заражения эксплойтами протоколов решение WAF должно быть оснащено функцией проверки протоколов любых кодов, которые пытаются выполнить защищенные веб-приложения.

1. Интеграция функций 

По отдельности каждая из перечисленных функций WAF обеспечивает защиту веб-приложений от одного или нескольких распространенных типов эксплойтов. Оптимизация защиты требует интеграции этих функций двумя способами: 

• Корреляция данных. Данные о подписях, вредоносных ботах, подозрительных IP-адресах и новых вирусах на уровне приложений подлежат корреляции с последующей передачей данных об угрозах всем функциям. Например, когда межсетевой экран WAF идентифицирует ботнет, он может добавить IP-адрес источника ботнета в список запрещенных IP-адресов, после чего любой трафик, поступающий с этого адреса, будет автоматически отмечаться как подозрительный.
• Обмен данными об угрозах. Кроме того, решение WAF должно вписываться в более широкую корпоративную архитектуру безопасности. Многие киберпреступники используют полиморфное вредоносное ПО и одновременно задействуют несколько векторов атак. Борьба с такими угрозами требует обмена данными между всеми компонентами сети в режиме реального времени. Например, атака может исследовать уязвимости по нескольким направлениям — в том числе таким, как конечные точки, электронная почта и облачные службы, — и использовать машинное обучение для корректировки эксплойтов на основе полученной информации. В этих случаях для успешного противодействия продвинутым угрозам межсетевой экран WAF должен в режиме реального времени обмениваться данными об угрозах с соответствующими элементами безопасности

WAF от Fortinet

По классификации компании Fortinet, межсетевые экраны вэб-приложений WAF относятся к линейке FortiWeb. 

WAF Fortinet интегрированы в единую экосистему Fortinet Security Fabric: FortiGate, FortiSandbox, FortiMail и так далее. Помимо этого, FortiWeb интегрируется с продуктами ведущих производителей: Acunetix, HP WebInspect, IBM AppScan, Qualys, IBM QRadar, WhiteHat и анализирует сигнатурные базы сторонних поставщиков. Если компания выявит новый вид атак, то соответствующая сигнатура будет включена в FortiWeb в течение 1–2 недель.

Отдельным преимуществоv Fortiweb является обработка чувствительной информации

FortiWeb использует две функции для работы с чувствительной информацией:

Application Delivery модифицирует контент, независимо от направления передачи. Например, номера банковской карты и телефон будут замаскированы, в запросе от сервера к пользователю или от пользователя к серверу.

Anti-Defacement контролирует целостность и корректность данных на веб-сервере. Система сигнализирует о несанкционированном изменении и может оперативно заменить скомпрометированные файлы их верными копиями. Это значит, что веб-приложение будет быстро восстановлено при взломе или саботаже, а компания не понесет репутационные убытки из-за неработающего сайта или приложения. Например, если злоумышленник попытается нарушить работу интернет-магазина, удалив часть страниц с сервера, WAF заметит это и восстановит удаленные файлы из резервной копии.

Снижение нагрузки на веб-сервер

FortiWeb балансирует запросы, дешифрует SSL-трафик, проверяет пользователей и защищает веб-сервер от DDoS-атак. Эти функции выполняются аппаратно на отдельном устройстве, что снижает нагрузку на сервер.

В безопасной зоне межсетевой экран расшифровывает и проверяет внешний SSL-трафик. Затем пересылает его по локальной сети к веб-серверу в открытом виде, либо снова кодирует упрощенным шифром. Так веб-сервер тратит меньше ресурсов на расшифровку.

Физическое решение FortiWeb подходит для сетей, где требуется гарантированная производительность. Физическое решение справится с трафиком от множества веб-серверов и приложений. Подходит для работы с большими объемами информации, например, для крупных ритейлеров.

При этом оборудование устанавливается в дата-центре компании и доступно только админам и специалистам по ИБ.

Модели отличаются по производительности, типу обработки SSL-трафика и некоторым другим параметрам. При этом число веб-ресурсов, которые обрабатывает FortiWeb, ограничено только пропускной способностью устройства.

Младшие модели 100D, 400D, 600D имеют пропускную способность 25–250 Мбит/с и обрабатывают SSL только программным способом.

https://myforti.ru/catalog/zashita-web-prilozhenij/fortiweb/fortiweb-100e

Модели от 1000E и выше оборудованы отдельным чипом ASIC для обработки SSL. Их производительность начинается от 1.3 Гбит/с.

https://myforti.ru/catalog/zashita-web-prilozhenij/fortiweb/fortiweb-1000e

В каких случаях подойдет FortiWeb

1. Разворачивание и этап бурного роста розничной сети.
2. Укрупнение розничных сетей в результате слияний, когда появляется фрагментарность: устройства и сервисы разных вендоров плохо работают друг с другом: не передают информацию об угрозах и используют разные форматы данных, поэтому безопасность сети снижается. Устройства Fortinet интегрируются в единую систему, управляются с одного экрана и повышают прозрачность сети
3. Обновление устаревшего оборудования и модернизация сети. Старое оборудование не защищает сеть от новых угроз, поэтому компания ищет новые решения.
4. Защита собственных онлайн-площадок. Наиболее востребованные функции FortiWeb в этом случае: аутентификация, работа с контентом, балансировка трафика и разгрузка локальных веб-серверов.

Специалисты компании ООО «Физика Сети» с радостью помогут разобраться в вопросе защиты веб приложений вашей организации. Для этого свяжитесь с нами удобным для вас способом. 

При подготовке материала использовалась информация с сайтов

https://www.fortinet.com/

www.secure-retail.ru