ИБ. Обзор защищенности российских web сайтов

ИБ. Обзор защищенности российских web сайтов

Пару недель назад обновилась до версии 1 достаточно интересная утилита wafw00f . Она позволяет определить каким межсетевым экраном уровня приложения (web application firewall или WAF) защищен web сайт. Поддерживается 112 WAF.

Принцип работы достаточно простой, работает быстро:
·         Отправляем нормальный http запрос
·         Отправляем несколько заведомо подозрительных http запросов, которые WAF (если присутствует) обязан заблокировать
·         По реакции (код ошибки, заголовки, изменение версии web сервера) web сервера / WAF пытаемся определить какое средство защиты используется.

Необходимость применения WAF для защиты важных web ресурсов уже давно осознаны , в БДУ ФСТЭК России есть много угроз для web, справится с которыми поможет только WAF, в системе сертификации есть отдельный класс МЭ уровня приложений и даже 3 сертифицированных решения типа Г.

Было интересно посмотреть какая сейчас статистика использования WAF для защиты российских ресурсов. Для TOP 450 сайтов по версии Яндекса получилась следующая картинка.   


Применение WAF в РФ
Количество
%
Не используют WAF
391
86,89%
Используют неизвестный WAF или межсетевой экран / IPS с функцией защиты web
37
8,22%
Cloudflare WAF
21
4,67%
CacheWall WAF
1
0,22%

Выводы. Более 85% ресурсов не защищены WAF. Показатель плачевный.
Около 8 процентов используют средства защиты, которое не удалось утилита не смогла определить (возможно PT AF или Континент WAF), что в общем то хорошо, так как злоумышленникам сложнее обойти средства защиты, о которых ничего не известно.    


Alt text