Обзор решений WAF и DAM/DBF 2020
Изображение: Pixabay (Pexels)
В современном мире использование в компаниях решений класса WAF и DAM/DBF стало неотъемлемой частью комплекса мер по обеспечению информационной безопасности.
Давайте разберёмся, что представляют из себя эти решения и почему их использование так необходимо.
Web Application Firewall (WAF) – сетевой экран, предназначенный для автоматического обнаружения и блокировки атак на веб-приложения компании. WAF обеспечивает безопасность веб-приложений на прикладном и сетевом уровнях.
Но разве для этих целей недостаточно сетевых экранов нового поколения (NGFW)? Он точно так же, как и WAF, способен работать на прикладном уровне, анализировать обращения к веб-приложениям, разбирать шифрованный веб-трафик и автоматически блокировать атаки. Так зачем же тогда нужен WAF?
Пожалуй, главное преимущество WAF перед NGFW – это нацеленность на работу с веб-трафиком в рамках конкретных веб-приложений. Благодаря тонкой настройке под каждое конкретное веб-приложение WAF позволяет максимально сузить спектр возможностей для проведения атак.
NGFW и системы предотвращения сетевых атак (IPS-системы), как правило, для защиты веб-приложений используют сигнатуры (например, SQL-инъекций и межсайтового скриптинга), которых для обеспечения безопасности, конечно, недостаточно. WAF же, помимо сигнатурного анализа, предоставляет дополнительные возможности, которые помогают гораздо шире охватить вариативность атак. Среди этих возможностей: контекстный анализ веб-трафика, поведенческий анализ, блокирование направленных на эксплуатацию конкретных уязвимостей запросов без модификации исходного кода приложения («виртуальный патчинг»), модификация ответов веб-приложений, использование единого входа для существующих веб-приложений и прочее.
Веб-приложения довольно тесно связаны с СУБД, атаки на которые могут быть весьма критичны. Поэтому в комплексе с WAF необходимо использовать специализированные средства по защите БД.
Database firewall (DBF) / Database Activity Мonitoring (DAM) – комплекс технических и/или программных средств, предназначенных для мониторинга, аудита и контроля доступа к информации, обрабатываемой в базах данных, а также защиты от целевых атак на них.
Как и в случае с WAF, для защиты баз данных от современных угроз недостаточно использовать сигнатурные средства, предоставляемые NGFW и IPS. Требуется узкоспециализированный подход, нацеленный на специфику работы c БД.
В качестве основного функционала средств DAM/DBF следует отметить:
— защита от атак, направленных на БД;
— осуществление поиска уязвимостей БД;
— обнаружение конфиденциальных данных;
— отслеживание и пресечение неавторизованных или нетипичных запросов и команд;
— оценка соответствия требованиям (например, к стойкости паролей);
— централизованное управление и применение политик безопасности;
— выявление и пресечение подозрительной активности пользователей;
— выявление небезопасных конфигурации СУБД;
— сканирование БД на наличие конфиденциальной информации;
— преобразование данных путем маскировки и шифрования в целях защиты;
— предотвращение утечки данных.
На сегодняшний день существует довольно большой выбор решений средств WAF и DAM/DBF.
Так что же выбрать? Чтобы ответить на этот вопрос, рассмотрим тройку лидеров по каждому из решений среди представленных на отечественном рынке продуктов и проведём функциональное сравнение.
Для удобства сведём сравнение в таблицы, представленные ниже.
Сравнение функциональных возможностей популярных средств WAF
| Positive Technologies Application Firewall | Imperva WAF | FortiWeb | |
| Сертификаты (РФ) | Соответствует требованиям документов: требования к МЭ, профиль защиты МЭ(Г четвертого класса защиты. ИТ.МЭ.Г4.ПЗ), ЗБ | Сертификат на соответствие требованиям РД НДВ по 4 уровню и ТУ — истёк в 2019, возможно продление | Нет |
| Языки интерфейса | Русский, английский | Английский | Английский, французский, испанский, португальский, японский, китайский, корейский |
| Режимы работы | Reverse Proxy, Transparent proxy, Bridge, Sniffer | ||
| Вид поставки | ПАК, VM | ПАК, VM, облачный сервис | ПАК, VM, облачный сервис |
| Обработка SSL-трафика | Терминация SSL, анализ трафика SSL без терминации, поддержка сессий, установленных на клиентских сертификатах | ||
| Наличие аппаратных модулей, ускоряющих обработку SSL | Да | Да | Да |
| Отказоустойчивость | Active-Passive, Active-Active | ||
| Максимально поддерживаемое количество запросов в секунду | 100 000 RPS для ПАК, 10 000 RPS для VM | 72 000 RPS | н/д |
| Поддержка балансировки нагрузки между защищаемыми веб-приложениями | Да | Да | Да |
| Блокировка отдельного запроса | Да | Да | Да |
| Реакция при блокировке | Блокирование IP-адреса атакующего, блокировка HTTP-запроса/ответа, сброс соединения (TCP Reset), санирование «боевой» нагрузки (payload sanitizer) | Блокирование IP-адреса атакующего, блокировка HTTP-запроса/ответа, сброс соединения (TCP Reset) | Блокирование IP-адреса атакующего, блокировка HTTP-запроса/ответа, сброс соединения (TCP Reset) |
| Возможность создания своей страницы блокировки | Да | Да | Да |
| Наличие предустановленных правил корреляции детектирования атак | Да | Да | Да |
| Наличие репутационных баз (IP, URL) | Да | Да | Да |
| Обнаружение и атак полного перебора на учетные данные пользователей (Brute Force Login) | Да, с технологией отслеживания клиента | Да | Да |
| Построение модели безопасности с использованием машинного обучения | Да | Да | Да |
| Подпись Cookies | Да | Да | Да |
| Шифрование Cookies | Нет | Да | Да |
| Разграничение доступа к ресурсам на основе имени пользователя | Да | Да | Да |
| Определение смены геолокации или IP-адреса у сессии | Да | Да | Да |
| Защита от SQL Injection | Да | Да | Да |
| Механизмы зашиты | XSS, Information Leakage, CSRF, Clickjacking, Path Traversal (Directory Traversal), Web Shell, HTTP Response Splitting, Local File Inclusion, OS Command, Remote Code execution, проверка HTTP-транзакций на соответствие RFC и лучшим практикам, Content Security Policy | ||
| Защита от DDoS | Да, временная блокировка по IP-адресам | Да, блокирование отдельных HTTP запросов, соединений, сессий, IP-адресов | Да, временная блокировка по IP-адресам |
| Возможность создания правил обнаружения запросов и ответов на основе задаваемого набора критериев | Да | Да | Да |
| Защита XML-документа | Да | Да | Да |
| Защита от атаки XML Bomb | Да | Нет | Да |
| Шаблоны политик безопасности для распространенных веб-приложений | WordPress, SAP Net Weaver, Vmware Vsphere Web Client, Drupal, Joomla | Нет | Да |
| Верификация атаки с использованием встроенного динамического сканера | Да | Нет | Да |
| Уведомления | E-mail, syslog, SNMP | ||
| Возможности интеграции | |||
| Сканеры уязвимостей | PT Application Inspector, PT AF P-code | WhiteHat, IBM, Cenzic, NT OBJECTives, HP, Qualys, Beyond Security | Vulnerability scans, FortiScan |
| Системы контроля БД | Нет | Imperva SecureSphere Database Activity Monitoring, Imperva SecureSphere Database Firewall | FortiDB |
| Антивирусы | Любой продукт, поддерживающий загрузку по ICAP | FireEye, Proofpoint Threat Response | FortiGuard Antivirus |
| SIEM | Maxpatrol SIEM, HPE ArcSight, IBM Qradar, Splunk | HPE ArcSight, RSA enVision, Splunk, IBM Qradar | Любые SIEM (Syslog и встроенные коннекторы), FortiSIEM |
| Anti-fraud | Group IB Bot-Trek Secure Bank, Group IB Bot-Trek Secure Portal | ThreatMetrix Cybercrime Defender Platform | FortiGuard Security Services -Indicators of Compromise (IOC) |
| DLP | Любой продукт, поддерживающий загрузку по ICAP | Imperva SecureSphere File Activity Monitoring | FortiGate |
| Threat Intelligence | Kaspersky Security Intelligence Services | Imperva Threat Radar | Список доменов, список IP, хеши вредоносных программ, а также STIX/TAXII с использованием сервисов FortiGuard TIS |
| NGFW | Check Point | Нет | FortiGate |
| Защита от DDoS | Qrator | Imperva Incapsula | FortiDDoS |
Сравнение функциональных возможностей популярных средств DAM/DBF
| FortiDB | Imperva Database Security | Гарда БД | |
| Сертификаты (РФ) | нет | Сертификат соответствия требованиям РД НДВ по 4 уровню и ТУ | ФСТЭК программный комплекс «Гарда БД 4.0» соответствует требованиям документов: РД НДВ(4), ТУ |
| Языки интерфейса | Английский | Английский | Русский |
| Вид поставки | ПАК или VM | ПАК или VM | ПАК или VM |
| Поддерживаемые БД | DB2 UDB V8 (VA only), DB2 UDB V9.x (VA only), DB2 UDB V9.5, DB2 UDB V9.7, MS SQL Server 2000, MS SQL Server 2005, MS SQL Server 2008, MySQL 5.1, 5.5, Oracle 9i, Oracle 10gR1 (VA only), Oracle 10gR2, Oracle 11g, SybaseASE 12.5 (VA only), Sybase ASE 15.x | Oracle (Including NDE/ASO, SSL), Oracle Exadata, Microsoft SQL Server, MSSQL with Diffie-Hellman and Kerberos-gMSA, IBM DB2 (on LUW, z/OS and DB2/400), IBM IMS on z/OS, IBM Informix, IBM Netezza, SAP Sybase (ASE, IQ, SQL Anywhere), SAP-HANA, Teradata, MySQL, PostgreSQL, Progress OpenEdge, Maria DB | Microsoft SQL Server, Oracle, PostgreSQL, MySQL, Teradata, Sybase ASE, IBM Netezza, Линтер, IBM DB2, Apache Cassandra. |
| Обнаружение конфиденциальных данных (соответствие PCI-DSS) | Да | Да | Да |
| Периодическое сканирование каждой базы данных в корпоративной сети | Да | Да | нет |
| Встроенные шаблоны для удовлетворения требований регуляторов и лучших практик (SOX) | Да | Да | Да |
| Преднастроенные политики для Безопасности и Аудита БД | Да | Да | Да |
| Наличие веб-интерфейса управления | Да | Да | Да |
| Методы аудита БД | проприетарный аудит, анализатор сети, программные агенты | программные агенты | анализ копии SQL-, HTTP-, HTTPS-трафика, а также сведения, собираемые агентами, установленными на серверах БД. |
| Отчёты по аудиту / соответствию | Да, комплексные отчеты по аудиту / соответствию | Да | Да |
| Централизованная настройка и применение политик | Да | Да | Да |
| Поиск уязвимостей | Да | Да | Да |
| Возможности перехвата операций с БД | Захватывает все типы операций с базой данных (Selects, DML, DDL и DCL) | Захватывает все типы операций с базой данных (Selects, DML, DDL и DCL) | Да, запрашиваемые/передаваемые объекты БД (таблица/объект, поле таблицы/объекта, имя функции/процедуры, SQL-операции) |
| Автоматизация оценки соответствия требованиям | Получает данные аудита из разнородных сред для автоматической отчетности о соответствии | Да | Да |
| Поддержка дашбордов | Да, отображается важная информация об оценке уязвимости и мониторинге / аудите активности базы данных | Да | Да |
| Поддержка модулей аппаратного ускорения | Да, ASIC | Да, опционально | нет |
| Возможность уведомления о событиях через email | Да | Да | Да |
| Поддержка синхронизации с LDAP | Да | Да | Да |
| Возможность интеграции с SIEM | Да | Да | Да |
| Дополнительные возможности | Контроль веб-приложений. Комплекс обеспечивает детализированный разбор HTTP/HTTPS-трафика с выделением данных из веб-форм |
Среди представленных решений нет явных лидеров и аутсайдеров. Каждый из продуктов, помимо обеспечения основного функционала, имеет свои уникальные возможности и характерные особенности.
Поэтому в конечном счёте выбор того или иного решения остается за вами, в зависимости от предпочтений и требований, предъявляемых к реализации целей и задач.
Спасибо за прочтение! Здоровья и терпения в это непростое время!
Автор: Козлов Константин. Главный инженер проектов. РАССЭ (ГК «АйТеко»).
