При реализации и поддержке WAF многие организации испытывают серьезные трудности.
В настоящее время одним из наиболее популярных средств для обеспечения безопасности web-приложений является защитный экран (Web Application Firewall, WAF). Согласно стандарту безопасности данных в карточных платежных системах (PCI DSS), развертывание WAF может служить альтернативой сканированию на уязвимости. Международная ассоциация ISACA внесла защитные экраны для приложений в список десяти ключевых решений безопасности, обязательных для использования на предприятиях.
По данным компании Garter, в 2015 году мировой рынок WAF оценивался в $420 млн, а его рост составил 24% в годовом выражении. Как сообщают специалисты, к 2020 году свыше 60% от всех публичных web-приложений будут защищены WAF. В 2015 году в рейтинге Gartner Magic Quadrant for Web Application Firewalls только одна компания была названа «лидером» (Imperva) и еще две – «визионерами» (DenyAll и Positive Technologies). Остальные были оценены как «претенденты» и «нишевые игроки» или вовсе не попали в рейтинг из-за несоответствия установленным критериям.
Как сообщает глава High-Tech Bridge Илья Колошенко, ряд исследований доказывают ненадежность защитных экранов для приложений. В 2015 году ИБ-эксперт Мазин Ахмед (Mazin Ahmed) продемонстрировал способ обхода системы защиты от XSS-атак, реализованной в WAF практически от всех популярных производителей. Компания High-Tech Bridge опубликовала результаты исследований , демонстрирующие способ обхода ModSecurity с конфигурацией по умолчанию и проактивного фильтра Bitrix WAF.
Колошенко суммировал результаты исследований и выделил пять главных причин, почему в настоящее время WAF не обеспечивает надежную защиту.
Небрежное развертывание, отсутствие специального персонала и несоответствующие приоритеты по снижению риска
На многих предприятиях компетентный технический персонал, на регулярной основе обслуживающий и поддерживающий WAF, попросту отсутствует. Как правило, компании устанавливают на экранах только режим обнаружения без блокировки.
Развертывание WAF исключительно «для галочки»
Большинство представителей малого и среднего бизнеса развертывают WAF только ради соответствия требованиям. Практическая безопасность их не интересует, поэтому надлежащее обслуживание экранов не обеспечивается.
Постоянная эволюция web-приложений
В настоящее время практически каждая компания использует приложения, разработанные специально для нее и написанные с помощью различных языков программирования, фреймворков и платформ. Столь динамичную и разнообразную среду сложно защитить даже самому надежному WAF.
Преобладание коммерческого интереса над интересами безопасности
Иногда WAF может ложно срабатывать и блокировать легитимных посетителей сайта. Как правило, после первой же жалобы от недовольного клиента менеджмент компании отключает режим блокировки.
Неспособность защитить от сложных кибератак
WAF не способен нивелировать неизвестные логические ошибки в приложениях или уязвимости, требующие глубокого понимания бизнес-логики приложения.
На сегодняшний день при реализации и поддержке WAF многие организации испытывают серьезные трудности.
На перекрестке науки и фантазии — наш канал