Обзор решений WAF и DAM/DBF

Дата: 29.04.2020. Автор: РАССЭ (ГК «АйТеко»). Категории: Сравнения средств защиты информации

В современном мире использование в компаниях решений класса WAF и DAM/DBF стало неотъемлемой частью комплекса мер по обеспечению информационной безопасности.

Давайте разберёмся, что представляют из себя эти решения и почему их использование так необходимо.

Web Application Firewall (WAF) – сетевой экран, предназначенный для автоматического обнаружения и блокировки атак на веб-приложения компании. WAF обеспечивает безопасность веб-приложений на прикладном и сетевом уровнях.

Но разве для этих целей недостаточно сетевых экранов нового поколения (NGFW)? Он точно так же, как и WAF, способен работать на прикладном уровне, анализировать обращения к веб-приложениям, разбирать шифрованный веб-трафик и автоматически блокировать атаки. Так зачем же тогда нужен WAF?

Пожалуй, главное преимущество WAF перед NGFW – это нацеленность на работу с веб-трафиком в рамках конкретных веб-приложений. Благодаря тонкой настройке под каждое конкретное веб-приложение WAF позволяет максимально сузить спектр возможностей для проведения атак.

NGFW и системы предотвращения сетевых атак (IPS-системы), как правило, для защиты веб-приложений используют сигнатуры (например, SQL-инъекций и межсайтового скриптинга), которых для обеспечения безопасности, конечно, недостаточно. WAF же, помимо сигнатурного анализа, предоставляет дополнительные возможности, которые помогают гораздо шире охватить вариативность атак. Среди этих возможностей: контекстный анализ веб-трафика, поведенческий анализ, блокирование направленных на эксплуатацию конкретных уязвимостей запросов без модификации исходного кода приложения («виртуальный патчинг»), модификация ответов веб-приложений, использование единого входа для существующих веб-приложений и прочее.

Веб-приложения довольно тесно связаны с СУБД, атаки на которые могут быть весьма критичны. Поэтому в комплексе с WAF необходимо использовать специализированные средства по защите БД.

Database firewall (DBF) / Database Activity Мonitoring (DAM) – комплекс технических и/или программных средств, предназначенных для мониторинга, аудита и контроля доступа к информации, обрабатываемой в базах данных, а также защиты от целевых атак на них.

Как и в случае с WAF, для защиты баз данных от современных угроз недостаточно использовать сигнатурные средства, предоставляемые NGFW и IPS. Требуется узкоспециализированный подход, нацеленный на специфику работы c БД.

В качестве основного функционала средств DAM/DBF следует отметить:

– защита от атак, направленных на БД;

– осуществление поиска уязвимостей БД;

– обнаружение конфиденциальных данных;

– отслеживание и пресечение неавторизованных или нетипичных запросов и команд;

– оценка соответствия требованиям (например, к стойкости паролей);

– централизованное управление и применение политик безопасности;

– выявление и пресечение подозрительной активности пользователей;

– выявление небезопасных конфигурации СУБД;

– сканирование БД на наличие конфиденциальной информации;

– преобразование данных путем маскировки и шифрования в целях защиты;

– предотвращение утечки данных.

На сегодняшний день существует довольно большой выбор решений средств WAF и DAM/DBF.

Так что же выбрать? Чтобы ответить на этот вопрос, рассмотрим тройку лидеров по каждому из решений среди представленных на отечественном рынке продуктов и проведём функциональное сравнение.

Для удобства сведём сравнение в таблицы, представленные ниже.

Сравнение функциональных возможностей популярных средств WAF

 Positive Technologies Application FirewallImperva WAFFortiWeb
Сертификаты (РФ)Соответствует требованиям документов: требования к МЭ, профиль защиты МЭ(Г четвертого класса защиты. ИТ.МЭ.Г4.ПЗ), ЗБСертификат на соответствие требованиям РД НДВ по 4 уровню и ТУ – истёк в 2019, возможно продлениеНет
Языки интерфейсаРусский, английскийАнглийскийАнглийский, французский, испанский, португальский, японский, китайский, корейский
Режимы работыReverse Proxy, Transparent proxy, Bridge, Sniffer
Вид поставкиПАК, VMПАК, VM, облачный сервисПАК, VM, облачный сервис
Обработка SSL-трафикаТерминация SSL, анализ трафика SSL без терминации, поддержка сессий, установленных на клиентских сертификатах
Наличие аппаратных модулей, ускоряющих обработку SSLДаДаДа
ОтказоустойчивостьActive-Passive, Active-Active
Максимально поддерживаемое количество запросов в секунду100 000 RPS для ПАК, 10 000 RPS для VM72 000 RPSн/д
Поддержка балансировки нагрузки между защищаемыми веб-приложениямиДаДаДа
Блокировка отдельного запросаДаДаДа
Реакция при блокировкеБлокирование IP-адреса атакующего, блокировка HTTP-запроса/ответа, сброс соединения (TCP Reset), санирование “боевой” нагрузки (payload sanitizer)Блокирование IP-адреса атакующего, блокировка HTTP-запроса/ответа, сброс соединения (TCP Reset)Блокирование IP-адреса атакующего, блокировка HTTP-запроса/ответа, сброс соединения (TCP Reset)
Возможность создания своей страницы блокировкиДаДаДа
Наличие предустановленных правил корреляции детектирования атакДаДаДа
Наличие репутационных баз (IP, URL)ДаДаДа
Обнаружение и атак полного перебора на учетные данные пользователей (Brute Force Login)Да, с технологией отслеживания клиентаДаДа
Построение модели безопасности с использованием машинного обученияДаДаДа
Подпись CookiesДаДаДа
Шифрование CookiesНетДаДа
Разграничение доступа к ресурсам на основе имени пользователяДаДаДа
Определение смены геолокации или IP-адреса у сессииДаДаДа
Защита от SQL InjectionДаДаДа
Механизмы зашитыXSS, Information Leakage, CSRF, Clickjacking, Path Traversal (Directory Traversal), Web Shell, HTTP Response Splitting, Local File Inclusion, OS Command,  Remote Code execution, проверка HTTP-транзакций на соответствие RFC и лучшим практикам, Content Security Policy
Защита от DDoSДа, временная блокировка по IP-адресамДа, блокирование отдельных HTTP запросов, соединений, сессий, IP-адресовДа, временная блокировка по IP-адресам
Возможность создания правил обнаружения запросов и ответов на основе задаваемого набора критериевДаДаДа
Защита XML-документаДаДаДа
Защита от атаки XML BombДаНетДа
Шаблоны политик безопасности для распространенных веб-приложенийWordPress, SAP Net Weaver, Vmware Vsphere Web Client,  Drupal, JoomlaНетДа
Верификация атаки с использованием встроенного динамического сканераДаНетДа
УведомленияE-mail, syslog, SNMP
Возможности интеграции
Сканеры уязвимостейPT Application Inspector, PT AF P-codeWhiteHat, IBM, Cenzic, NT OBJECTives, HP, Qualys, Beyond SecurityVulnerability scans, FortiScan
Системы контроля БДНетImperva SecureSphere Database Activity Monitoring, Imperva SecureSphere Database FirewallFortiDB
АнтивирусыЛюбой продукт, поддерживающий загрузку по ICAPFireEye, Proofpoint Threat ResponseFortiGuard Antivirus
SIEMMaxpatrol SIEM, HPE ArcSight, IBM Qradar, SplunkHPE ArcSight, RSA enVision,  Splunk, IBM QradarЛюбые SIEM (Syslog и встроенные коннекторы), FortiSIEM
Anti-fraudGroup IB Bot-Trek Secure Bank, Group IB Bot-Trek Secure Portal ThreatMetrix Cybercrime Defender PlatformFortiGuard Security Services -Indicators of Compromise (IOC)
DLPЛюбой продукт, поддерживающий загрузку по ICAPImperva SecureSphere File Activity MonitoringFortiGate
Threat IntelligenceKaspersky Security Intelligence ServicesImperva Threat RadarСписок доменов, список IP, хеши вредоносных программ, а также STIX/TAXII с использованием сервисов FortiGuard TIS
NGFWCheck PointНетFortiGate
Защита от DDoSQratorImperva IncapsulaFortiDDoS

Сравнение функциональных возможностей популярных средств DAM/DBF

 FortiDBImperva Database SecurityГарда БД
Сертификаты (РФ)нетСертификат соответствия требованиям РД НДВ по 4 уровню и ТУФСТЭК
программный комплекс «Гарда БД 4.0» соответствует требованиям документов: РД НДВ(4), ТУ
Языки интерфейсаАнглийскийАнглийскийРусский
Вид поставкиПАК или VMПАК или VMПАК или VM
Поддерживаемые БДDB2 UDB V8 (VA only), DB2 UDB V9.x (VA only), DB2 UDB V9.5, DB2
UDB V9.7, MS SQL Server 2000, MS SQL Server 2005, MS SQL Server
2008, MySQL 5.1, 5.5, Oracle 9i, Oracle 10gR1 (VA only), Oracle 10gR2,
Oracle 11g, SybaseASE 12.5 (VA only), Sybase ASE 15.x
Oracle (Including NDE/ASO, SSL), Oracle Exadata, Microsoft SQL Server,
MSSQL with Diffie-Hellman and Kerberos-gMSA, IBM DB2 (on LUW, z/OS and DB2/400), IBM IMS on z/OS, IBM Informix, IBM Netezza, SAP Sybase (ASE, IQ, SQL Anywhere), SAP-HANA, Teradata, MySQL, PostgreSQL, Progress OpenEdge, Maria DB
Microsoft SQL Server, Oracle, PostgreSQL, MySQL, Teradata, Sybase ASE, IBM Netezza, Линтер, IBM DB2, Apache Cassandra.
Обнаружение конфиденциальных данных (соответствие PCI-DSS)ДаДаДа
Периодическое сканирование каждой базы данных в корпоративной сетиДаДанет
Встроенные шаблоны  для удовлетворения требований регуляторов и лучших практик
(SOX)
ДаДаДа
Преднастроенные политики для
Безопасности и Аудита БД
ДаДаДа
Наличие веб-интерфейса управленияДаДаДа
Методы аудита БДпроприетарный аудит, анализатор сети, программные агентыпрограммные агентыанализ копии SQL-, HTTP-, HTTPS-трафика, а также сведения, собираемые агентами, установленными на серверах БД.
Отчёты по аудиту / соответствиюДа, комплексные отчеты по аудиту / соответствиюДаДа
Централизованная настройка и применение политикДаДаДа
Поиск уязвимостейДаДаДа
Возможности перехвата операций с БДЗахватывает все типы операций с базой данных (Selects, DML, DDL и DCL)Захватывает все типы операций с базой данных (Selects, DML, DDL и DCL)Да, запрашиваемые/передаваемые объекты БД (таблица/объект, поле таблицы/объекта, имя функции/процедуры, SQL-операции)
Автоматизация оценки соответствия требованиямПолучает данные аудита из разнородных сред для автоматической отчетности о соответствииДаДа
Поддержка дашбордовДа, отображается важная информация об оценке уязвимости и мониторинге / аудите активности базы данныхДаДа
Поддержка модулей аппаратного ускоренияДа, ASICДа, опциональнонет
Возможность уведомления о событиях через emailДаДаДа
Поддержка синхронизации с LDAPДаДаДа
Возможность интеграции с SIEMДаДаДа
Дополнительные возможности  Контроль веб-приложений. Комплекс обеспечивает детализированный разбор HTTP/HTTPS-трафика с выделением данных из веб-форм

Среди представленных решений нет явных лидеров и аутсайдеров. Каждый из продуктов, помимо обеспечения основного функционала, имеет свои уникальные возможности и характерные особенности.

Поэтому в конечном счёте выбор того или иного решения остается за вами, в зависимости от предпочтений и требований, предъявляемых к реализации целей и задач.

Спасибо за прочтение! Здоровья и терпения в это непростое время!

Автор: Козлов Константин. Главный инженер проектов. РАССЭ (ГК “АйТеко”).

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

РАССЭ (ГК «АйТеко»)

Об авторе РАССЭ (ГК «АйТеко»)

Компания РАССЭ специализируется на оказании профессиональных услуг и создании эффективных решений для клиентов малого, среднего и крупного бизнеса, холдинговых структур и госсектора. Входит в состав ГК «АйТеко».
Читать все записи автора РАССЭ (ГК «АйТеко»)

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *