На сегодняшний день высокая стоимость информации, обрабатываемая в процессинге веб-приложений, в совокупности с угрозой взлома увеличивает риски информационной безопасности компаний. В этих условиях встает закономерный вопрос: что предпринять для защиты веб-приложений? Контрмеры можно внедрять на двух этапах жизни приложения —разработки и эксплуатации. На этапе разработки — это различные инструменты тестирования безопасности: статический, динамический, интерактивный анализ. Если говорить о безопасности уже эксплуатируемого приложения, то здесь предлагается использовать наложенные средства защиты — системы предотвращения вторжений, межсетевые экраны следующего поколения (Next Generation Firewall, сокращенно NGFW), а также средства фильтрации трафика прикладного уровня, специально ориентированные на веб-приложения (Web Application Firewall, сокращенно — WAF). Применение Web Application Firewall традиционно считается наиболее эффективным подходом к защите веб-ресурсов. Одним из основополагающих факторов здесь служит узкоспециализированная разработка.

Общие требования к современному Web Application Firewall:

  • системные компоненты WAF должны соответствовать требованиям PCI DSS;
  • возможность реагирования на угрозы, описанные в OWASP Top Ten;
  • инспектирование запросов и ответов в соответствии с политикой безопасности, журналирование событий; предотвращение утечки данных — инспекция ответов сервера на наличие критичных данных;
  • применение как позитивной, так и негативной модели безопасности; инспектирование всего содержимого веб-страниц, включая HTML, DHTML и CSS, а также нижележащих протоколов доставки содержимого (HTTP/HTTPS);
  • инспектирование сообщений веб-сервиса, если веб-сервис подключен к интернету (SOAP, XML);
  • инспектирование любого протокола или конструкции данных, использующихся для передачи данных веб-приложения вне зависимости от того, является ли он проприетарным или стандартизованным (как для входящих, так и исходящих потоков данных);
  • защита от угроз, направленных непосредственно на WAF;
  • поддержка SSL\TLS-терминации соединения;
  • предотвращение или обнаружение подделки идентификатора сессии;
  • автоматическое скачивание обновлений сигнатур атак и применение их;
  • возможность установки режима fail-open и fail-close;
  • поддержка устройством клиентских SSL-сертификатов;
  • поддержка аппаратного хранения ключей (FIPS).


Все решения

Мы предлагаем решения по следующим направлениям