На сегодняшний день высокая стоимость информации, обрабатываемая в процессинге веб-приложений, в совокупности с угрозой взлома увеличивает риски информационной безопасности компаний. В этих условиях встает закономерный вопрос: что предпринять для защиты веб-приложений? Контрмеры можно внедрять на двух этапах жизни приложения —разработки и эксплуатации. На этапе разработки — это различные инструменты тестирования безопасности: статический, динамический, интерактивный анализ. Если говорить о безопасности уже эксплуатируемого приложения, то здесь предлагается использовать наложенные средства защиты — системы предотвращения вторжений, межсетевые экраны следующего поколения (Next Generation Firewall, сокращенно NGFW), а также средства фильтрации трафика прикладного уровня, специально ориентированные на веб-приложения (Web Application Firewall, сокращенно — WAF). Применение Web Application Firewall традиционно считается наиболее эффективным подходом к защите веб-ресурсов. Одним из основополагающих факторов здесь служит узкоспециализированная разработка.

Общие требования к современному Web Application Firewall:

• системные компоненты WAF должны соответствовать требованиям PCI DSS;
• возможность реагирования на угрозы, описанные в OWASP Top Ten;
• инспектирование запросов и ответов в соответствии с политикой безопасности, журналирование событий; предотвращение утечки данных — инспекция ответов сервера на наличие критичных данных;
• применение как позитивной, так и негативной модели безопасности; инспектирование всего содержимого веб-страниц, включая HTML, DHTML и CSS, а также нижележащих протоколов доставки содержимого (HTTP/HTTPS);
• инспектирование сообщений веб-сервиса, если веб-сервис подключен к интернету (SOAP, XML);
• инспектирование любого протокола или конструкции данных, использующихся для передачи данных веб-приложения вне зависимости от того, является ли он проприетарным или стандартизованным (как для входящих, так и исходящих потоков данных);
• защита от угроз, направленных непосредственно на WAF;
• поддержка SSL\TLS-терминации соединения;
• предотвращение или обнаружение подделки идентификатора сессии;
• автоматическое скачивание обновлений сигнатур атак и применение их;
• возможность установки режима fail-open и fail-close;
• поддержка устройством клиентских SSL-сертификатов;
• поддержка аппаратного хранения ключей (FIPS).