En nia antaŭa materialo pri nubaj temoj, ni , kiel protekti IT-resursojn en la publika nubo kaj kial tradiciaj antivirusoj ne estas tute taŭgaj por ĉi tiuj celoj. En ĉi tiu afiŝo, ni daŭrigos la temon pri nuba sekureco kaj parolos pri la evoluo de WAF kaj kio estas pli bona elekti: aparataro, programaro aŭ nubo.
Kio estas WAF
Pli ol 75% de pirataj atakoj celas vundeblecojn de TTT-aplikoj kaj retejoj: tiaj atakoj estas kutime nevideblaj por informsekureca infrastrukturo kaj informsekurecaj servoj. Vundeblecoj en TTT-aplikoj portas, siavice, riskojn de kompromiso kaj fraŭdo de uzantkontoj kaj personaj datumoj, pasvortoj kaj kreditkartnumeroj. Krome, vundeblecoj en la retejo funkcias kiel enirpunkto por atakantoj en la kompanian reton.
Reta Aplika Fajroŝirmilo (WAF) estas protekta ekrano, kiu blokas atakojn al TTT-aplikoj: SQL-injekto, trans-eja skriptado, fora koda ekzekuto, krudforto kaj rajtiga pretervojo. Inkluzive de atakoj, kiuj ekspluatas nul-tagajn vundeblecojn. Aplikaj fajroŝirmiloj provizas protekton monitorante retpaĝan enhavon, inkluzive de HTML, DHTML kaj CSS, kaj filtrante eble malicajn HTTP/HTTPS-petojn.
Kio estis la unuaj decidoj?
La unuaj provoj krei TTT-aplikan fajroŝirmilon estis faritaj reen en la fruaj 90-aj jaroj. Oni scias, ke almenaŭ tri inĝenieroj laboris en ĉi tiu kampo. La unua estas komputika profesoro Gene Spafford de Purdue University. Li priskribis la arkitekturon de prokura aplikaĵa fajroŝirmilo kaj publikigis ĝin en 1991 en la libro .
La dua kaj tria estis informsekurecaj specialistoj William Cheswick kaj Marcus Ranum de Bell Labs. Ili evoluigis unu el la unuaj aplikaĵaj fajroŝirmilaj prototipoj. Ĝi estis distribuita fare de DEC - la produkto estis liberigita sub la nomo SEAL (Secure External Access Link).
Sed SEAL ne estis plentaŭga WAF-solvo. Ĝi estis klasika reto fajroŝirmilo kun altnivela funkcieco - la kapablo bloki atakojn sur FTP kaj RSH. Tial, la unua WAF-solvo hodiaŭ estas konsiderita kiel la produkto de Perfecto Technologies (pli posta Sanctum). En 1999 ŝi AppShield-sistemo. En tiu tempo, Perfecto Technologies evoluigis informajn sekurecsolvojn por elektronika komerco, kaj retaj butikoj iĝis la celgrupo de sia nova produkto. AppShield povis analizi HTTP-petojn kaj blokis atakojn surbaze de dinamikaj informsekurecaj politikoj.
Ĉirkaŭ la sama tempo kiel AppShield (en 2002), la unua malfermfonteca WAF aperis. Li iĝis . Ĝi estis kreita kun la celo popularigi WAF-teknologiojn kaj daŭre estas subtenata de la IT-komunumo (jen ĝi ). ModSecurity blokas atakojn sur aplikoj bazitaj sur norma aro de regulaj esprimoj (subskriboj) - iloj por kontroli petojn bazitajn sur ŝablonoj - .
Kiel rezulto, la programistoj sukcesis atingi sian celon - novaj WAF-solvoj komencis aperi sur la merkato, inkluzive de tiuj konstruitaj surbaze de ModSecurity.
Tri generacioj jam estas historio
Estas kutime distingi tri generaciojn de WAF-sistemoj, kiuj evoluis kun la evoluo de teknologio.
Unua generacio. Funkcias kun regulaj esprimoj (aŭ gramatikoj). Ĉi tio inkluzivas ModSecurity. La sistemprovizanto studas la specojn de atakoj sur aplikoj kaj generas ŝablonojn kiuj priskribas legitimajn kaj eble malicajn petojn. WAF kontrolas ĉi tiujn listojn kaj decidas kion fari en aparta situacio - bloki trafikon aŭ ne.
Ekzemplo de detekto bazita sur regulaj esprimoj estas la jam menciita projekto malferma fonto. Alia ekzemplo - , kiu ankaŭ estas malferma fonto. Sistemoj kun regulaj esprimoj havas kelkajn malavantaĝojn, precipe, kiam nova vundebleco estas malkovrita, la administranto devas krei pliajn regulojn permane. En la kazo de grandskala IT-infrastrukturo, povas ekzisti kelkmil reguloj. Administri tiom da regulaj esprimoj estas sufiĉe malfacila, sen mencii la fakton, ke kontroli ilin povas redukti la rendimenton de la reto.
Regulaj esprimoj ankaŭ havas sufiĉe altan malveran pozitivan indicon. La fama lingvisto Noam Chomsky proponis klasifikon de gramatikoj en kiu li dividis ilin en kvar kondiĉajn nivelojn de komplekseco. Laŭ ĉi tiu klasifiko, regulaj esprimoj povas nur priskribi firewall regulojn kiuj ne implikas deviojn de la ŝablono. Ĉi tio signifas, ke atakantoj povas facile "trompi" la unuan generacion WAF. Unu metodo por kontraŭbatali ĉi tion estas aldoni specialajn signojn al aplikaj petoj, kiuj ne influas la logikon de la malicaj datumoj, sed malobservas la subskriban regulon.
Dua generacio. Por eviti la efikecon kaj precizecproblemojn de WAFoj, duageneraciaj aplikaĵaj fajromuroj estis evoluigitaj. Ili nun havas analizistojn, kiuj respondecas pri identigi strikte difinitajn specojn de atakoj (sur HTML, JS, ktp.). Ĉi tiuj analiziloj funkcias kun specialaj ĵetonoj, kiuj priskribas demandojn (ekzemple, variablo, ĉeno, nekonata, nombro). Eble malicaj signosekvencoj estas metitaj en apartan liston, kontraŭ kiu la WAF-sistemo regule kontrolas. Tiu aliro unue estis montrita ĉe la Black Hat 2012 konferenco en la formo de C/C++ , kiu permesas vin detekti SQL-injektojn.
Kompare al unuageneraciaj WAFoj, specialiĝintaj analiziloj povas esti pli rapidaj. Tamen, ili ne solvis la malfacilaĵojn asociitajn kun mane agordi la sistemon kiam novaj malicaj atakoj aperas.
Tria generacio. La evoluo en triageneracia detekta logiko konsistas el la uzo de maŝinlernado-metodoj, kiuj ebligas alproksimigi la detektan gramatikon kiel eble plej proksime al la reala SQL/HTML/JS-gramatiko de la protektitaj sistemoj. Ĉi tiu detekta logiko kapablas adapti maŝinon de Turing por kovri rekursie listeblajn gramatikojn. Krome, antaŭe la tasko krei adapteblan Turing-maŝinon estis nesolvebla ĝis la unuaj studoj pri neŭralaj Turing-maŝinoj estis publikigitaj.
Maŝina lernado provizas la unikan kapablon adapti ajnan gramatikon por kovri ajnan tipon de atako sen permane krei signaturlistojn kiel postulate en unuageneracia detekto, kaj sen disvolvi novajn tokenizilojn/analizantojn por novaj ataktipoj kiel Memcached, Redis, Cassandra, SSRF-injektoj. , kiel postulas la duageneracia metodaro.
Kombinante ĉiujn tri generaciojn de detektologiko, ni povas desegni novan diagramon en kiu la tria generacio de detekto estas reprezentita per la ruĝa konturo (Figuro 3). Ĉi tiu generacio inkluzivas unu el la solvoj, kiujn ni efektivigas en la nubo kune kun Onsek, la programisto de la platformo por adapta protekto de TTT-aplikoj kaj la Wallar API.
La detekta logiko nun uzas retrosciigon de la aplikaĵo por mem-agordi sin. En maŝinlernado, ĉi tiu retrosciiga buklo estas nomita "plifortigo." Tipe, ekzistas unu aŭ pluraj specoj de tia plifortikigo:
- Analizo de aplika respondkonduto (pasiva)
- Skanado/fuzzer (aktiva)
- Raporti dosierojn/interkaptilaj proceduroj/kaptiloj (post la fakto)
- Manlibro (difinita de kontrolisto)
Kiel rezulto, triageneracia detektlogiko ankaŭ traktas la gravan temon de precizeco. Nun eblas ne nur eviti falsajn pozitivojn kaj falsajn negativajn, sed ankaŭ detekti validajn verajn negativojn, kiel detekto de uzado de SQL-komandelemento en Kontrolpanelo, retpaĝa ŝablono-ŝarĝado, AJAX-petoj rilataj al JavaScript-eraroj, kaj aliaj.
Poste, ni konsideros la teknologiajn kapablojn de diversaj efektivigaj opcioj de WAF.
Aparataro, programaro aŭ nubo - kion elekti?
Unu el la ebloj por efektivigi aplikaĵajn fajroŝirmilojn estas aparatara solvo. Tiaj sistemoj estas specialigitaj komputikaj aparatoj, kiujn kompanio instalas loke en sia datumcentro. Sed en ĉi tiu kazo, vi devas aĉeti vian propran ekipaĵon kaj pagi monon al integristoj por instali ĝin kaj sencimigi ĝin (se la kompanio ne havas sian propran IT-fakon). Samtempe, ajna ekipaĵo malnoviĝas kaj fariĝas neuzebla, do klientoj estas devigitaj buĝeti por aparataj ĝisdatigoj.
Alia opcio por deploji WAF estas programaro efektivigo. La solvo estas instalita kiel aldonaĵo por iu programaro (ekzemple, ModSecurity estas agordita sur Apache) kaj funkcias per la sama servilo kun ĝi. Kiel regulo, tiaj solvoj povas esti deplojitaj kaj sur fizika servilo kaj en la nubo. Ilia malavantaĝo estas limigita skaleblo kaj vendisto-subteno.
La tria opcio estas agordi WAF el la nubo. Tiaj solvoj estas provizitaj de nubaj provizantoj kiel abonservo. La kompanio ne bezonas aĉeti kaj agordi specialan aparataron; ĉi tiuj taskoj falas sur la ŝultrojn de la provizanto de servoj. Grava punkto estas, ke moderna nubo WAF ne implicas la migradon de rimedoj al la platformo de la provizanto. La retejo povas esti deplojita ie ajn, eĉ surloke.
Ni klarigos plu kial homoj nun ĉiam pli rigardas al nubo WAF.
Kion WAF povas fari en la nubo
Koncerne teknologiajn kapablojn:
- La provizanto respondecas pri ĝisdatigoj. WAF estas provizita per abono, do la servoprovizanto kontrolas la gravecon de ĝisdatigoj kaj licencoj. Ĝisdatigoj koncernas ne nur programaron, sed ankaŭ aparataron. La provizanto ĝisdatigas la servilparkon kaj prizorgas ĝin. Ĝi ankaŭ respondecas pri ŝarĝoekvilibro kaj redundo. Se la WAF-servilo malsukcesas, trafiko tuj estas redirektita al alia maŝino. Racia distribuado de trafiko permesas vin eviti situaciojn, kiam la fajroŝirmilo eniras malsukcesan malferman reĝimon - ĝi ne povas elteni la ŝarĝon kaj ĉesas filtri petojn.
- Virtuala flikaĵo. Virtualaj diakiloj limigas aliron al kompromititaj partoj de la aplikaĵo ĝis la programisto fermas la vundeblecon. Kiel rezulto, la kliento de la nuba provizanto havas la ŝancon trankvile atendi ĝis la provizanto de tiu aŭ alia programaro publikigas oficialajn "flakitojn". Fari tion kiel eble plej rapide estas prioritato por la softvarprovizanto. Ekzemple, en la Wallar-platformo, aparta softvarmodulo respondecas pri virtuala flikado. La administranto povas aldoni kutimajn regulajn esprimojn por bloki malicajn petojn. La sistemo ebligas marki iujn petojn per la flago "Konfidencaj datumoj". Tiam iliaj parametroj estas maskitaj, kaj sub neniu cirkonstanco ili estas elsenditaj ekster la fajroŝirmilo laborareo.
- Enkonstruita perimetro kaj vundebleco skanilo. Ĉi tio permesas vin sendepende determini la retajn limojn de la IT-infrastrukturo uzante datumojn de DNS-demandoj kaj la WHOIS-protokolo. Poste, WAF aŭtomate analizas servojn kurantajn ene de la perimetro (faras havenskanadon). La fajroŝirmilo kapablas detekti ĉiujn komunajn specojn de vundeblecoj - SQLi, XSS, XXE, ktp. - kaj identigi erarojn en programara agordo, ekzemple, neaŭtorizita aliro al deponejoj de Git kaj BitBucket kaj anonimaj vokoj al Elasticsearch, Redis, MongoDB.
- Atakoj estas monitoritaj per nubaj rimedoj. Kiel regulo, nubaj provizantoj havas grandajn kvantojn da komputika potenco. Ĉi tio permesas analizi minacojn kun alta precizeco kaj rapideco. Areto de filtrilaj nodoj estas deplojita en la nubo, tra kiu la tuta trafiko pasas. Ĉi tiuj nodoj blokas atakojn kontraŭ TTT-aplikoj kaj sendas statistikojn al la Analiza Centro. Ĝi uzas maŝinlernajn algoritmojn por ĝisdatigi blokajn regulojn por ĉiuj protektitaj aplikoj. La efektivigo de tia skemo estas montrita en Fig. 4. Tiaj tajloritaj sekurecaj reguloj minimumigas la nombron da falsaj fajroŝirmiloj.
Nun iomete pri la funkcioj de nubaj WAF-oj laŭ organizaj aferoj kaj administrado:
- Transiro al OpEx. En la kazo de nubaj WAF-oj, la kosto de efektivigo estos nulo, ĉar ĉiuj aparataro kaj licencoj jam estis pagitaj de la provizanto; pago por la servo estas farita per abono.
- Malsamaj tarifplanoj. La uzanto de nuba servo povas rapide ebligi aŭ malŝalti pliajn opciojn. Funkcioj estas administritaj de ununura kontrolpanelo, kiu ankaŭ estas sekura. Ĝi estas alirita per HTTPS, krome ekzistas dufaktora aŭtentikiga mekanismo bazita sur la protokolo TOTP (Tempo-bazita Unutempa Pasvorta Algoritmo).
- Konekto per DNS. Vi povas mem ŝanĝi DNS kaj agordi retan vojigon. Por solvi ĉi tiujn problemojn ne necesas varbi kaj trejni individuajn specialistojn. Kiel regulo, la teknika subteno de la provizanto povas helpi kun agordo.
WAF-teknologioj evoluis de simplaj fajromuroj kun reguloj al kompleksaj protektaj sistemoj kun maŝinlernado-algoritmoj. Aplikaj fajroŝirmiloj nun ofertas larĝan gamon de funkcioj malfacile efektivigeblaj en la 90-aj jaroj. Multmaniere, la apero de nova funkcieco fariĝis ebla danke al nubaj teknologioj. WAF-solvoj kaj iliaj komponantoj daŭre evoluas. Same kiel aliaj areoj de informa sekureco.
La teksto estis preparita de Alexander Karpuzikov, administranto pri evoluiga produkto pri informa sekureco ĉe nuba provizanto #CloudMTS.
fonto: www.habr.com