Showdown Sehowdown: WAF против WAAP против ADR

Брандмауэры веб -приложений (WAF), веб -приложение и защита API (WAAP), а также обнаружение и ответ приложений (ADR) представляют собой три парадигмы для защиты приложений. WAF - это зрелая технология, представленная в 1990 -х годах, в то время как WAAP и ADR являются новыми и предлагают более продвинутые функции безопасности. В этой статье я изучу различия между этими тремя категориями решений, их ключевыми возможностями и тем, как выбрать правильное решение для вашей организации.

Что такое WAF?

Брандмауэры веб-приложений (WAFS)-это технология, используемая для защиты веб-сайтов, API и мобильных приложений от угроз безопасности на основе веб-сайтов. Они работают путем мониторинга, фильтрации и блокирования пакетов данных, что помогает защитить веб -приложения от различных угроз. WAF запрограммированы на обнаружение и действие против недостатков безопасности, распространенных в веб -трафике.

Эти брандмауэры особенно важны для онлайн -предприятий, таких как ритейлеры, банки и здравоохранение, а также для социальных сетей, где конфиденциальные данные требуют защиты от несанкционированного доступа. WAF может быть развернут в качестве облачного, облачного или сетевого решения на основе хоста. Он должен включить навесность HTTP-приложений в данные приложения.

Брандмауэры веб -приложений важны для использования, потому что веб -приложения и API часто уязвимы для рисков безопасности, что может занять ресурсы или нарушить операции. Они помогают смягчить наиболее распространенные веб-подвиги, такие как атаки злонамеренных бот и атаки нулевого дня. Обратитесь к этому сообщению в блоге для получения дополнительной информации об эволюции и возможностях WAF.

Как работает WAF?

WAF защищает веб -приложения за счет мониторинга, фильтрации и блокирования потенциально злонамеренного трафика HTTP/S, путешествующего в веб -приложение, и предотвращает покинуть несанкционированные данные. Это достигается за счет последующего политики, чтобы отличить злонамеренный трафик от безопасного трафика. WAF работает как посредник, какОбратный проксиСервер, защита серверов веб -приложений от потенциально злонамеренных клиентов.

WAF доступны в виде программных продуктов, физических приборов или поставляются в качестве услуги. Они включают настраиваемые политики для удовлетворения потребностей защищенного веб -приложения или набора приложений. Некоторые WAF требуют, чтобы пользователи регулярно обновляли политики для решения новых уязвимостей, хотя некоторые также используют машинное обучение для включения автоматических обновлений.

Обратные прокси, сидя между клиентами, такими как веб -браузеры и серверы, такие как серверы приложений, могут использоваться для кэширования ответов с серверов бэкэнд. Это помогает улучшить производительность приложения, ускоряя время отклика для обще используемых ресурсов и уменьшая нагрузку на бэкэнд -сервере.

Кэшированные ответы также обеспечивают более быструю обработку по сравнению с динамически сгенерированными ответами с бэкэнд -сервера. Обратное прокси -кэширование может улучшить масштабируемость и использование ресурсов в течение высоких периодов трафика или для обслуживания статического содержания.

Почему WAF недостаточно

Брандмауэры веб -приложений долгое время были вездесущим решением безопасности для приложений. Они, как правило, эффективны в защите от угроз, таких как сценарии поперечного сайта (XSS), переполнение буфера и атаки впрыска SQL. Однако,Они могут быть ограниченыпротив более сложных угроз.

WAF требуют известных вредоносных подписей, которые они могут обнаружить и блокировать. Эти подписи включают шаблоны, которые указывают на атаки, что позволяет WAF идентифицировать их. Тем не менее, новые атаки и атаки в реальном времени часто не знают подписи, что делает их невидимыми для WAF.

Атаки бота и защита API особенно сложны для WAFS. Боты часто могут имитировать поведение человека и, как правило, распределяются, что позволяет им обходить гарантии, такие как политика трафика на основе IP.

API, как правило, полагаются на различную архитектуру и логику, чем стандартные веб -приложения, что делает их уязвимыми для недостатков, таких как авторизация сломанного уровня объекта (DOLA), где пользователи могут получить доступ к конфиденциальным ресурсам, манипулируя входной информацией (то есть в формах или файлах cookie). Основная проблема с WAFS заключается в том, что они полагаются на негативный подход к безопасности, что означает, что они должны иметь возможность предвидеть все аспекты подозрительного движения, что делает их слепыми к новым угрозам.

Что такое веб -приложение и защита API (WAAP)?

Веб-приложение и защита API (WAAP)-это расширение облачных сервисов WAF, которое помогает защитить приложения, ориентированные на Интернет и API. Эта концепция актуальна для современных облачных архитектур, которые традиционные брандмауэры не могут защитить.

С помощью WAAP веб -приложения работают на веб -серверах, которые подвергаются общедоступному Интернету, позволяя пользователям взаимодействовать с интерфейсом приложения через свои браузеры. API предоставляют бэкэнд протоколы или услуги для поддержки опыта фронта. Они отвечают за такие функции, как хранилище данных, аналитика и интеграция с различными внешними службами.

Cloud Computing является ключевым фактором для этого подхода, позволяя разработчикам писать код на популярных языках, таких как HTML, CSS SQL, JavaScript и JSON для создания веб -приложений. Распространение микросервисов и новых функциональных возможностей всегда сопровождается появлением новых угроз, которые помогает решить.

Веб -приложение и возможности защиты API

Решение WAAP должно быть в состоянии защитить веб -приложения от ряда атак, не требуя слишком большого количества надзора. Некоторые важные функции включают:

• Автоматизация и интеллект:Независимо от того, как адаптироваться к изменениям в приложениях и выявлять новые угрозы.
• Микросервисы и защита API:Расширение возможностей защиты на микросервисы и API, которые все больше нацелены на злоумышленники, а не фокусируются исключительно на веб -приложениях.
• Брандмауэр веб-приложения следующего поколения (NGWAF):Охватывая более широкий спектр угроз, чем стандартные WAF на основе подписи, помогая выявить и блокировать атаки нулевого дня.
• Самозащита приложения времени выполнения (RASP):Обеспечение приложений на персонализированном уровне путем мониторинга их входов, выходов и выявления поведенческих аномалий.
• Защита ботов:Предотвращение проведения злонамеренных ботов выполнять автоматизированные атаки против заявок, включая возможности против разведки, начинки по учебным веществам или соскоба.
• Распределенная защита отказа в обслуживании (DDOS):Блокировка попыток сокрушить ресурсы веб -сервера и поддерживать доступность и доступность API.
• Ограничение скорости:Предотвращение употребления пользователей не потребляет чрезмерные веб -ресурсы, что позволяет законным пользователям получить доступ к приложению, в то же время блокируя вредоносных пользователей.

Что такое обнаружение и ответ (ADR)?

Обнаружение и ответ приложения (ADR) - это концепция безопасности приложений, которая фокусируется на выявлении и решении угроз на уровне приложения. Как правило, он включает в себя мониторинг приложения и его контекст в режиме реального времени для выявления потенциально злонамеренной деятельности.

Инструменты ADR работают в среде приложения, обеспечивая большую видимость, чем мониторинг только сетевого уровня или периметра. Они используют различные инструменты для обеспечения живой видимости в программном стеке организации, что позволяет постоянно сканировать компоненты приложений для поведенческих аномалий.

Когда решение ADR обнаруживает потенциальную угрозу, оно немедленно предупреждает группу безопасности контекстной информации, помогая смягчить проблему. Основная цель ADR - найти и блокировать атаки против заявлений, прежде чем они смогут нанести слишком большой ущерб.

Как работает обнаружение и ответ приложения

ADR объединяет информацию о приложениях с мониторингом и автоматизацией в реальном времени, чтобы обеспечить стратегию обороны, ориентированную на приложения.

Мониторинг приложений

Мониторинг приложений требует постоянного отслеживания поведения приложения для выявления аномалий или подозрительных закономерностей. ADR встраивает легкие датчики в конечные точки приложения или опирается на телеметрию с открытым исходным кодом, получая каналы потоков данных, активность пользователя и выполнение кода.

Этот мелкозернистый тип мониторинга помогает обнаружить необычное поведение приложений, включая чрезмерное использование ресурсов или неожиданные сбои, что может сигнализировать об угрозе безопасности. Собирая информацию о контексте времени выполнения, ADR помогает найти уязвимости и модели атак, которые может пропустить традиционную систему мониторинга.

Профилирование библиотек с открытым исходным кодом

Приложения часто полагаются на библиотеки с открытым исходным кодом, которые могут представлять свой собственный набор рисков. ADR помогает обеспечить безопасность зависимостей, установив профиль нормального поведения каждой библиотеки. Эта базовая линия затем используется для идентификации отклонений, таких как необычные вызовы функций или несанкционированные изменения. Эти шаблоны могут указывать на компромисс применения, например, в атаке цепочки поставок.

Например, Pyyaml, библиотека для десеризации данных, не должна выполнять выполнение кода на уровне хоста. ADR может обнаружить, когда библиотека отклоняется от своего нормального поведения и генерирует оповещение, независимо от того, имеет ли библиотека известная уязвимость, связанная с ней. ADR также помогает помешать злоумышленникам вводить вредоносный код в приложение.

Обнаружение аномалии

ADR использует поведенческий анализ и возможности машинного обучения для выявления аномалий. Анализируя данные времени выполнения, ADR может распознавать поведение приложений, которое не вписывается в нормальные закономерности. Например, если библиотека, предназначенная для регистрации событий, внезапно пытается удаленно выполнить код.

Решение ADR помечает эти аномалии для дальнейшего расследования, чтобы проверить, представляют ли они реальные угрозы. Это помогает командам безопасности быстро выявить потенциальные угрозы, не будучи заваленными ложными срабатывающими.

Анализ угроз и предупреждение

После выявления потенциальных угроз ADR анализирует их глубоко, чтобы оценить их тяжесть и, вероятно, воздействие. Инструмент ADR продолжает коррелировать аномалии с известными уязвимостями и подписями атаки, добавляя контекстную информацию, которая помогает понять масштаб атаки.

Затем инструмент превращает эти результаты в действенные оповещения, определяя приоритеты угроз, чтобы SOC мог сначала реагировать на самые серьезные угрозы. Это помогает сократить время, необходимое для расследования и исправления угроз для приложений.

Автоматический ответ

ADR также может реализовать некоторые автоматизированные ответы. Например, он может блокировать вредоносных субъектов, изолируя и блокируя кодовые функции, которые, как он подозревает, являются вредоносными, не влияя на оставшуюся часть применения. Это устраняет необходимость ждать, пока SOC вмешивается вручную, сокращая время отклика.

Предположим, что функция приложения пытается выполнить вредоносное действие. Решение ADR может немедленно отклонить его без карантирования или закрывающей инфраструктуры, такой как контейнеры или виртуальные машины. Приложение будет продолжать работать нормально, в то время как эксплойт пробивается в зародыше.

ADR против существующих решений для кибербезопасности

Вот взгляд на то, как ADR помогает решить проблему в традиционных стратегиях безопасности, в которых часто не хватает адекватного обнаружения угроз на уровне приложения.

Брандмауэр веб -приложения (WAF)

Многие организации полагаются на WAFS как свою основную защиту от угроз на уровне применения, но этот подход имеет несколько ограничений:

• Фокус на уровне сети:WAF работают на сетевом уровне, анализируя входящие паттерны трафика для выявления потенциальных угроз. Хотя это полезно против известных (опубликованных) подписей атаки, оно не обеспечивает достаточной видимости в том, что происходит внутри приложения.
• Ложные позитивы:Часто не хватает контекста, специфичного для приложения, заставляя их генерировать ложные срабатывания. Они могут сокрушить группы безопасности и вызвать усталость на предупреждение.
• Уязвимость к методам обхода:Атащирам относительно легко обходить WAF с такими методами, как вариации кодирования, прокладка полезной нагрузки, уклонение уровня протокола или использование уязвимостей применения, которые не могут быть замечены на сетевом уровне.
• Неэффективная интеграция SOC:Иногда, даже при установленном WAF, организации могут изо всех сил пытаться обеспечить правильную конфигурацию, и WAF может не доставлять адекватные данные на уровне приложения в Центр операций безопасности (SOC).

Обнаружение и ответ конечной точки (EDR)

Решения EDR как контролируют, так и активно защищают отдельные конечные точки в организации, включая компьютеры и мобильные устройства. Несмотря на необходимость для безопасности конечной точки, EDR имеет следующие ограничения для обеспечения приложений:

• Сосредоточьтесь на деятельности конечных точек:EDR обычно контролирует события и процессы на уровне системного уровня, а не поведение, специфичное для приложений, что делает его менее эффективным для определения некоторых угроз приложений.
• Ограниченная внутренняя видимость:EDR может не иметь представления о внутренней работе приложения, что делает его слепым к любой угрозе, которая не приходит извне.
• Реактивная природа:EDR может обнаружить только угрозы безопасности только после того, как злоумышленники выполнили их в конечной точке, что делает его неэффективным против угроз нулевого дня.

WAF против WAAP против ADR: Как выбрать

Выбор решения Appsec должен учитывать архитектуру приложения компании, общую ландшафт угроз и уровень зрелости ее безопасности.

Используйте WAF, когда:

• Основной уровень безопасности веб -приложений - это все, что требуется. Например, WAF эффективны для защиты традиционных монолитных веб -приложений, основанных на стандартных протоколах HTTP/S.
• Основными угрозами безопасности являются известные уязвимости (то есть инъекция SQL, перекрестные сценарии, стандартные атаки BOT.
• Приоритет заключается в минимизации затрат и сложности, особенно если окружающая среда не слишком зависит от API.

Используйте WAAP, когда:

• Работа в облачной или тяжелой среде API.
• Расширение возможностей WAF для защиты активов, работающих над разрозненными средами, такими как API, микросервисы или мобильные бэкэнды.
• Стремясь включить более продвинутые функции, такие как смягчение бота, а также ограничение ставок или защита DDOS.
• Реализация DevOps или использование рабочих нагрузок в контейнер или работа в многоклковой архитектуре, где традиционный WAF не будет предлагать достаточного покрытия.

Используйте ADR, когда:

• Используя как WAF, так и WAAP, обеспечивая более глубокую видимость и защиту на уровне приложения.
• Приоритетом является упреждающее обнаружение и ответ с акцентом на внутреннюю работу самого приложения, а не на сети или периметре.
• Сосредоточив внимание на новых или сложных атаках, таких как инсайдерские угрозы, эксплойты нулевого дня или APT, которые будут обходить внешнюю защиту.
• Организация имеет критические приложения или пользовательское программное обеспечение, или, если она работает в секторе высокого риска, таким как финансы или здравоохранение.

Объединение WAF, WAAP и ADR

Хотя каждое решение рассматривает свой аспект безопасности приложений, они наиболее эффективны при использовании вместе. Например, услуги WAF и WAAP могут помочь защитить периметр, в то время как технологии ADR помогают защитить приложения изнутри. ADR особенно полезен для обеспечения дополнительного уровня безопасности, с такими возможностями, как мониторинг времени выполнения, поведенческий анализ и автоматизированный ответ, дополняющий возможности для смягчения бота или DDOS, предотвращающий WAF и WAAP.

Заключение

Брандмауэры веб-приложений, веб-приложения и защита API, а также обнаружение приложений и ответ являются важными технологиями для защиты веб-приложений от киберугроз. Методы приложений атаки стали более сложными и делают традиционные инструменты безопасности бесполезны, что означает, что организации должны включать эти меры в свою стратегию безопасности, чтобы обеспечить безопасность своих приложений.