Эксперт определил главные причины неэффективности WAF

В настоящее время одним из наиболее популярных средств для обеспечения безопасности web-приложений является защитный экран (Web Application Firewall, WAF). Согласно стандарту безопасности данных в карточных платежных системах (PCI DSS), развертывание WAF может служить альтернативой сканированию на уязвимости. Международная ассоциация ISACA внесла защитные экраны для приложений в список десяти ключевых решений безопасности, обязательных для использования на предприятиях.

По данным компании Garter, в 2015 году мировой рынок WAF оценивался в $420 млн, а его рост составил 24% в годовом выражении. Как сообщают специалисты, к 2020 году свыше 60% от всех публичных web-приложений будут защищены WAF. В 2015 году в рейтинге Gartner Magic Quadrant for Web Application Firewalls только одна компания была названа «лидером» (Imperva) и еще две – «визионерами» (DenyAll и Positive Technologies). Остальные были оценены как «претенденты» и «нишевые игроки» или вовсе не попали в рейтинг из-за несоответствия установленным критериям.

Как сообщает глава High-Tech Bridge Илья Колошенко, ряд исследований доказывают ненадежность защитных экранов для приложений. В 2015 году ИБ-эксперт Мазин Ахмед (Mazin Ahmed) продемонстрировал способ обхода системы защиты от XSS-атак, реализованной в WAF практически от всех популярных производителей. Компания High-Tech Bridge опубликовала результаты исследований , демонстрирующие способ обхода ModSecurity с конфигурацией по умолчанию и проактивного фильтра Bitrix WAF.

Колошенко суммировал результаты исследований и выделил пять главных причин, почему в настоящее время WAF не обеспечивает надежную защиту.

Небрежное развертывание, отсутствие специального персонала и несоответствующие приоритеты по снижению риска

На многих предприятиях компетентный технический персонал, на регулярной основе обслуживающий и поддерживающий WAF, попросту отсутствует. Как правило, компании устанавливают на экранах только режим обнаружения без блокировки.

Развертывание WAF исключительно «для галочки»

Большинство представителей малого и среднего бизнеса развертывают WAF только ради соответствия требованиям. Практическая безопасность их не интересует, поэтому надлежащее обслуживание экранов не обеспечивается.

Постоянная эволюция web-приложений

В настоящее время практически каждая компания использует приложения, разработанные специально для нее и написанные с помощью различных языков программирования, фреймворков и платформ. Столь динамичную и разнообразную среду сложно защитить даже самому надежному WAF.

Преобладание коммерческого интереса над интересами безопасности

Иногда WAF может ложно срабатывать и блокировать легитимных посетителей сайта. Как правило, после первой же жалобы от недовольного клиента менеджмент компании отключает режим блокировки.

Неспособность защитить от сложных кибератак

WAF не способен нивелировать неизвестные логические ошибки в приложениях или уязвимости, требующие глубокого понимания бизнес-логики приложения.

На сегодняшний день при реализации и поддержке WAF многие организации испытывают серьезные трудности.