Оглавление
Cовременные системы все чаще используют API для интеграции со сторонними сервисами, мобильными приложениями и другими платформами. Традиционные средства защиты, как правило, не уделяли должного внимания безопасности API, не учитывали этот важный вектор атак и не предлагали эффективных механизмов противодействия.
Автор: Лука Сафонов, руководитель продукта “Гарда WAF”, группа компаний “Гарда”
Для защиты современных веб-приложений и API появились системы класса Web Application and API Protection (WAAP), ярким примером которого является решение «Гарда WAF». Это комплекс технологий для обеспечения безопасности на всех уровнях вебсервисов. WAAP представляет собой усовершенствованную версию классического Web Application Firewall (WAF) с более продвинутыми механизмами защиты и автоматизации.
WAAP активно интегрирует функциональность, которая раньше была несвойственна для WAF: защита от DDoS, предотвращение утечек данных, виртуальный патчинг и встроенные сканеры безопасности. В традиционной ИБ-инфраструктуре такие функции были бы отдельным классом решений с собственным сегментом на рынке. Но объективный процесс эволюции привел к тому, что теперь эти задачи решаются в рамках единого комплекса WAAP.
WAF следующего поколения
Основой WAAP является Next-Gen WAF, это первый барьер на пути угроз. WAF фильтрует трафик и блокирует известные атаки, защищая приложения от угроз из OWASP Top 10, таких как SQL-инъекции и XSS-атаки.
Но в отличие от классических решений, которые основываются только на сигнатурах, Next-Gen WAF использует поведенческий анализ и методы машинного обучения, поэтому способен адаптироваться к новым, неизвестным угрозам.
Защита приложений во время выполнения (RASP)
Еще одним ключевым элементом WAAP является Runtime Application Self-Protection (RASP). Этот механизм внедряется в среду выполнения и обеспечивает защиту от атак в реальном времени, что особенно актуально для защиты API.
Вдобавок, встроенный механизм сканирования уязвимостей и виртуального патчинга позволяет мгновенно устранять слабые места.
Виртуальный патчинг
WAAP может оперативно отправить выявленные уязвимости на исправление. Однако, важным аспектом работы WAAP является виртуальный патчинг. Так, встроенный в «Гарда WAF» сканер безопасности выявляет уязвимости и позволяет дополнительно усилить защиту конкретных эндпоинтов от потенциальных угроз. Система не пытается охватить все – ее цель защитить именно те критические точки, которые могут стать целью атак.
Например, «Гарда WAF» не пытается защититься ото всех уязвимостей вебприложений – это было бы неэффективно и лишь замедлило бы работу. Стратегия системы – точечная защита, направленная на предотвращение конкретных, наиболее опасных угроз, чтобы обеспечить безопасность без лишних затрат ресурсов, учитывая контекст веб-приложения и среды развертывания.
Защита микросервисов
WAAP предоставляет возможности для эффективной защиты API, создавая микропериметр вокруг каждого отдельного сервиса. Особенно важно это для приложений с бессерверной архитектурой, где каждый сервис функционирует независимо, но все они объединены общей логикой.
Ограничение количества запросов
WAAP включает продвинутые механизмы ограничения количества запросов, чтобы предотвратить злоупотребления на уровне приложений, которые могут привести к нарушению работы веб-сайтов и API. Умное управление нагрузкой защищает системы от перегрузок, вызванных как недобросовестными пользователями, так и ботами.
Защита от ботов
Антибот-защита является неотъемлемой частью WAAP. Благодаря современным методам анализа трафика и выявлению аномалий, система способна обнаруживать и блокировать атаки ботов, которые могут пытаться скомпрометировать данные или нарушить работу приложений.
Профилирование
Бывает, что на сайт поступает трафик, который не попадает в категории «белого» или «черного». Этот трафик анализируется, выявляются повторяющиеся паттерны, на основе которых можно определить, легитимен ли он. Такой подход позволяет усилить защиту и адаптироваться к переменам в защищаемом приложении – при появлении нового эндпоинта или изменении пользовательского пути на сайте система автоматически подстраивается под новые условия.
Так, «Гарда WAF» оценивает действия каждого пользователя по репутационной шкале, и, если набирается критическое количество штрафных баллов, пользователь отправляется на капчу или применяется временная блокировка.
Машинное обучение
В «Гарда WAF» активно используется машинное обучение, в частности, автоэнкодеры. Это сложный, но крайне эффективный подход. В его основе лежит позитивная модель, которая сравнивает данные на входе и выходе, и если есть признаки аномального поведения, вероятность нелегитимности запроса значительно возрастает.
Благодаря ретроспективному анализу можно заранее подготовить защитные меры для уязвимых точек. Например, если «Гарда WAF» видит подозрительное поведение на странице входа, она проактивно перенаправит пользователя на капчу перед вводом пароля. Такой подход не только улучшает защиту, но и предвосхищает действия злоумышленников.
Заключение
WAAP – мощный инструмент для всесторонней защиты веб-приложений и API. Благодаря передовым технологиям машинного обучения, защите на уровне микросервисов и эффективному управлению трафиком, WAAP обеспечивает надежную и адаптивную безопасность в условиях меняющегося ландшафта киберугроз.
ITSec_articles