Новая версия PT Application Firewall защищает от угроз из анонимных сетей и от фишинга

Компания Positive Technologies объявляет о выходе новой версии межсетевого экрана прикладного уровня PT Application Firewall, который предназначен для выявления и блокирования атак на веб-порталы, системы ERP и ДБО, мобильные и облачные приложения.

Финальный релиз 3.2 получил механизм обнаружения соединений из подозрительных источников, интеграцию с репутационными сервисами, улучшенный инструмент фильтрации ложных срабатываний. В продукте появились системы отчетов, уведомлений, архивации и другие полезные функции. Кроме того, новая оболочка в десятки раз сокращает время первоначальной настройки сети при интеграции в существующую сетевую инфраструктуру.

Защита от фишинга

Подключение крупнейших сервисов репутаций позволяет эффективнее отслеживать и блокировать переходы с фишинговых сайтов на легитимные ресурсы. Система PT AF версии 3.2 обнаруживает и блокирует переходы как с небезопасных сайтов, по заголовку Referrer, так и переходы на скомпрометированные страницы в пределах защищаемых ресурсов.

«В 2014 году российские банки потеряли более 3,5 млрд рублей из-за различных схем онлайн-мошенничества (по данным Центробанка), и фишинг здесь сыграл далеко не последнюю роль, — отмечает Дмитрий Нагибин, руководитель группы разработки средств защиты приложений Positive Technologies. — В репертуаре фишеров есть довольно много приемов для перехвата паролей и платежной информации. Если пользователь пытается зайти в интернет-банк со страницы из black-листа, вероятно, он стал жертвой кликджекинга, XSS-атаки, Typosquatting и т. п. С помощью новой функциональности PT AF банки смогут взять под контроль подобные угрозы».

Противодействие атакам из анонимных сетей

Помимо доступа к сервисам репутаций в продукте появилась возможность формировать списки заблокированных IP-адресов и DNS-имен для блокирования атак, исходящих из выходных узлов сети Tor, анонимных прокси (к примеру, по SOCKS proxy) и других подозрительных источников. Базы данных таких источников строятся на основе информации специальных служб, сервисов репутаций или honeypot-ов.

«Около 80% самых крупных выходных узлов сети Tor (15% из которых принадлежит АНБ, 10% — Китаю) всегда фиксированы, — рассказывает Дмитрий Нагибин. — Если мы будем отсекать хотя бы этот процент и регулярно обновлять базы Exit Nodes, вероятность атаки из сети Tor окажется крайне мала».

Снижение числа ложных срабатываний

Ложные срабатывания — одна из главных проблем современных межсетевых экранов для веб-приложений (WAF). PT Application Firewall эффективно решает эту задачу благодаря корреляционному анализу и встроенному динамическому сканеру уязвимостей, а в версии 3.2 неактуальные события отсеивать станет еще проще благодаря улучшенному механизму фильтрации.

«В новой версии мы можем точнее формировать собственные правила, подстраиваясь под определенные приложения, — отмечает Алексей Гончаров, ведущий консультант отдела проектирования и внедрения Positive Technologies. — После того как оператор выделил конкретное ложное событие, механизм фильтрации PT AF отсеивает и аналогичные срабатывания по различным шаблонам: "с такой же сигнатурой", "такого же типа уязвимости", "от того же IP", "к тому же адресу" и т. п., а также комбинации срабатываний. Раньше эта "магия" в PT AF была скрыта от пользователя, и он не имел возможности на нее влиять. В итоге иногда PT AF неправильно интерпретировал желания оператора, что заставляло оператора добавлять правильное исключение вручную и искать фильтр, добавленный кнопкой Exclude, чтобы удалить его. Теперь мы поменяли поведение механизма фильтрации. Во-первых, мы показываем оператору, какой именно шаблон будет использоваться для классификации "аналогичных" событий. Во-вторых, записываем шаблон созданного фильтра в журнал активности, что позволяет, если потребуется, удалить фильтр».

Настройка за несколько минут

Новая Linux-like-оболочка для первоначальной настройки сети не требует обязательного взаимодействия с конфигурационными файлами и командами ifconfig, ip, route и др. Оболочка получила набор простых и коротких команд для легкой настройки основных параметров, что позволяет не вводить стандартные консольные команды Linux, синтаксис которых может быть сложен для пользователя. При этом сохранился доступ к тонким настройкам всех компонентов, которые есть в Linux.

«Приведу пример типичной задачи, решать которую теперь значительно проще, — рассказывает Дмитрий Нагибин. — Заказчику требуется интегрировать PT AF в определенном сегменте сети, чтобы контролировать восемь различных приложений, у каждого из которых есть своя подсеть. При этом связь между серверами должна осуществляться через транковый интерфейс, к которому подключены VLAN-сети, а для обеспечения отказоустойчивости необходимо объединить два сетевых интерфейса в один виртуальный (бондинг). Если раньше на первоначальную настройку такой схемы у инженера по внедрению уходило два-три часа, то сейчас он потратит всего нескольких минут».
Удобная утилита позволяет заказчику самостоятельно конфигурировать любую из возможных топологий, а функции подсказок, автодополнения и верификации пользовательского ввода помогают избежать ошибок на первоначальном этапе настройки PT AF.

«До сих пор для сборки кластера приходилось отдельно настраивать левую и правую его части, узлы между ними, все вручную синхронизировать. Теперь процедура стала значительно проще. На первой машине достаточно выставить требуемые узлы, а второй машине указать присоединиться к первому узлу. Затем надо сохранить конфигурацию на обоих узлах — и они будут синхронизированы. В итоге время настройки нескольких машин сокращается до 10 минут», — отметил Дмитрий.

Наглядный интерфейс

Изменения произошли и в пользовательском интерфейсе. Теперь в него можно добавлять всю необходимую информацию о конфигурациях сети, что позволяет не обращаться к консоли, если требуется информация об IP-адресах, маршрутах, шлюзах, ролях интерфейса, группах серверов приложений и т. п. Сейчас все эти данные удобно разложены по вкладкам.

Новые отчеты, уведомления и архивация

В версию 3.2 добавлено расписание архивации, которое позволяет сохранять как инциденты базы данных по определенному периоду, так и конфигурацию базы данных и отдельные действия пользователя. Появилась и новая система отчетов со всей информацией, которая может понадобится специалистам по безопасности. Пользователи PT AFсмогут загружать свои собственные списки в формате CSV для автоматизированной подгрузки шаблонов в средства блокировки. Стоит отметить также систему уведомлений: SMTP позволяет проинформировать администратора по обычной почте, а поддержка защищенного протокола SNMPv3 дает возможность отсылать уведомления в различные системы мониторинга, а также интегрироваться с пограничными шлюзами и отправлять им IP-адреса атакующих для того, чтобы они их блокировали «на себе», если это нужно.

«Высокая конкуренция на рынке средств защиты веб-приложений и попадание в визионерский сектор квадранта Gartner обязывают нас ежедневно работать над улучшением PT Application Firewall, — говорит Михаил Башлыков, заместитель генерального директора по развитию продуктов Positive Technologies. — Сегодня возможности PT Application Firewall уже оценили почти 50 компаний, включая таких гигантов, как "Мегафон" и ВГТРК. Кроме того, десятки компаний участвуют в нашей открытой программе пилотного тестирования (af.ptsecurity.ru). Обратная связь с заказчиками — один из основных источников наших знаний: именно так разрабатывалась функциональность новой версии, принимались решения о необходимости технической поддержки в режиме 24/7 и об улучшении модуля защиты XML-трафика. Продукт продолжает активно развиваться: в следующих релизах будут усовершенствованы и добавлены новые возможности по отражению DDoS-атак на прикладном уровне и отслеживанию пользователей, основанные на методах машинного обучения».