جدار حماية تطبيقات الويب: ابق في صدارة المنحنى

في إحدى المنشورات السابقة ، تحدثنا عن صد هجمات DDoS باستخدام تحليل حركة المرور باستخدام بروتوكول Netflow. بالطبع ، DDoS ليس المشكلة الوحيدة التي قد يواجهها المورد. خيال المتسللين عظيم جدًا جدًا ولديهم الوسائل التقنية الكافية. بالإضافة إلى ذلك ، لا تنس أن بعض مواردك قد تعمل جيدًا على برنامج به ثغرات يوم الصفر.



لذلك اتضح أنه يمكن مهاجمة تطبيق ويب من عدة جبهات في وقت واحد - هنا لديك برمجة نصية عبر المواقع ، وحقن SQL ، وتجاوز التفويض ، وتنفيذ التعليمات البرمجية عن بُعد ، بشكل عام ، كما تعلم. في المعركة الأبدية للدرع والسيف ضد هذا النوع ، تم اختراع شاشة واقية لتطبيقات الويب ، حيث تم التقاط مثل هذه الأنشطة وحظرها حتى قبل تنفيذها على موقعك.



في هذا المنشور ، سنخبرك بكيفية عمل WAF من Beeline Business ، وما هي المزايا التي تتمتع بها وكيفية توصيلها بشركتك بسرعة.

لماذا هناك حاجة إلى WAF على الإطلاق

في العام الماضي ، أصدرت شركة Positive Technologies دراستها لعام 2019 حول نقاط الضعف في تطبيقات الويب ، والتي تفيد بأن حصة تطبيقات الويب التي تحتوي على نقاط ضعف عالية الخطورة بلغت بالفعل 67٪. المشاكل الأكثر شيوعًا هي منطقة التخويل غير المحمية بشكل كافٍ ، وحقن SQL وقراءة البيانات العشوائية. بالإضافة إلى ذلك ، تتزايد النسبة المئوية للأنظمة التي يمكن فيها تسريب البيانات.



تم أيضًا إبراز أهمية حماية تطبيقات الويب في أحد التقارير الصادرة عن محللي Gartner:

• (WAF) (NGFW) (IPS). WAF .
• NGFW IPS WAF , , -.
• WAF , . .
• , -, .

الاختلافات الرئيسية بين WAF و IPS و NGFW (Gartner)



إن عواقب مثل هذه التسريبات والقرصنة واضحة تمامًا وليست ممتعة جدًا للشركات (وعملائها على وجه الخصوص): هنا لديك بيانات شخصية ، بما في ذلك معلومات الدفع والأسرار التجارية مع المستندات السرية ، والوصول الأنظمة الداخلية. بشكل عام ، الجائزة الكبرى ، في حالة الانهيار الذي تعاني منه الشركة من الناحية المالية والسمعة. كما هو متوقع ، فإن المؤسسات المالية هي الأكثر معاناة من هذا ، ولكن ليس فقط:





وفقًا لتقنيات إيجابية



للحماية من ذلك ، يوجد لدى الشركات متخصصون في أمن المعلومات يحددون جواز استخدام برنامج معين ، فضلاً عن سياسات الأمان العامة. في الوقت نفسه ، تشير الاتجاهات العامة - الزيادة في عدد التطبيقات نفسها ، والاستخدام النشط لواجهات برمجة التطبيقات المختلفة ، والعمل في بيئة مختلطة (التطبيقات الداخلية ، والتطبيقات الخاصة والسحابة) بنشاط إلى أنه يجب أتمتة العديد من العمليات.



خاصة في مجال أمن المعلومات.



كانت المشاكل الرئيسية للشركات التي تحاول نشر مثل هذه الحلول بمفردها هي أن وقت الاستجابة للتهديد النشط كان طويلًا جدًا ، وكذلك تكلفة ملكية الحل نفسه. كنت أرغب ، كالعادة ، في جعله أسرع وأسهل في الوصول. ومن الناحية المثالية أيضًا ، مع إصدار السحابة من الحل ، والذي يمكن توصيله بسرعة وسهولة إدارته.



لذلك ، قررنا تقديم آليات آلية تمامًا لحماية وصد وصد الهجمات باستخدام شاشة الحماية الخاصة بنا.



بادئ ذي بدء ، أخذنا قائمة OWASP لأهم 10 تهديدات لتطبيقات الويب في عام 2020 وقمنا بتنفيذ الحماية ضدها وفقًا لكلا النموذجين (الإيجابي والسلبي).

1. حقنة.
2. المصادقة معطلة.
3. التعرض للبيانات الحساسة.
4. كيانات XML الخارجية (XXE).
5. كسر التحكم في الوصول.
6. خطأ في التكوين الأمني.
7. البرمجة النصية عبر المواقع XSS.
8. Insecure Deserialization.
9. Using Components with Known Vulnerabilities.
10. Insufficient Logging & Monitoring.

بالإضافة إلى ذلك ، يحمي WAF الخاص بنا من القوة الغاشمة ، واستخراج البيانات ، وهجمات واجهة برمجة التطبيقات ، والزحف غير المرغوب فيه ، وشبكات الروبوت ، والفيضانات الديناميكية البطيئة و HTTP.



بالطبع ، هناك أيضًا انعكاس لهجمات يوم الصفر ، بما في ذلك HTTPS ، بالإضافة إلى حظر حركة المرور حسب المنطقة الجغرافية.



بالإضافة إلى ذلك ، يدعم WAF الخاص بنا خوارزمية إنشاء سياسة تلقائية فريدة تعتمد على التعلم الآلي والتي تعتبر مثالية لإنشاء سياسات الأمان تلقائيًا لتطبيق ويب.



سيعرف WAF الذي تم تكوينه جيدًا بنية المورد الخاص بك ، لذلك سيكون قادرًا على حظر أي إجراءات غير نموذجية لعمله تلقائيًا.



بالمناسبة ، هناك بعض الأساطير حول تكرار جوهر WAF وضرورته. عادة ما يتم الاستشهاد بما يلي كمثال:



ستحميني بوابة الأمان ومراقبة الجلسة.

يجب أن تكون تطبيقات الويب متاحة للجميع ، لذلك كل ما تبقى هو السماح لكل حركة المرور الواردة على المنفذين 80 (HTTP) و 443 (HTTPS) ونأمل أن يلتزم الجميع بالقواعد. لا تحل مراقبة الجلسات لوجود الكود القابل للتنفيذ وتحديده وحظره محل تحليل حركة مرور تطبيقات الويب ، لذا فإن استغلال ثغرة أمنية من خلال طلب ويب شرعي ليس بالأمر الصعب باستخدام بوابة أمان شاملة.



ثم ستحمي بالتأكيد ماسح أمان تطبيق الويب على الشبكة

ليس صحيحا. تم تصميم الماسحات الضوئية لأمان الشبكة لاكتشاف التكوينات غير الآمنة والتحديثات المفقودة ونقاط الضعف في الخادم وجهاز الشبكة ، وليس نقاط الضعف في تطبيقات الويب. لا تزال بنية الحلول ، والعدد الهائل من القواعد والميزات التي يجب التحقق منها عند فحص الشبكة ، تسمح أحيانًا لمصنعي الماسحات الضوئية للشبكة بتقديم وظائف إضافية للبحث عن نقاط الضعف في تطبيقات الويب بموجب ترخيص منفصل أو حتى مجانًا.



لكن قابلية استخدام وجودة عملهم بعيدة كل البعد عن المستوى المتوسط ​​للماسحات الضوئية لتطبيقات الويب الاحترافية ، ولا يمكن استعادة الثقة في مثل هذه المنتجات بعد اكتشاف نقاط الضعف الحرجة حيث يعمل الماسح الشامل بنسبة 100٪.

كيف تعمل

لقد بنينا الحل على معدات شركة Radware الإسرائيلية ، التي لطالما كانت رائدة في خدمات أمن المعلومات. تتمثل إحدى المزايا المهمة للحل في التشغيل التلقائي: يتم إجراء تحليل التهديدات وتحسين القواعد الموحدة لتطبيقات الويب دون مشاركة مسؤول.



هناك ثلاث طرق اتصال ، يتم تحديدها من خلال المكان الذي تقرر إجراء تحليل حركة المرور فيه:

1. على أجهزتنا الافتراضية في مركز البيانات الخاص بنا
2. على أجهزتنا في مقر العميل
3. على الجهاز الظاهري للعميل.

من الناحية التخطيطية ، يبدو كل شيء كما يلي:







بالإضافة إلى ثلاثة خيارات اتصال ، هناك خياران للنشر:

1. مضمّن (من السحابة فقط) - مراقبة الطلبات الضارة أو حظرها النشط.
2. نفاد المرور (محليًا لدى العميل) - يتم دعم مراقبة الطلبات الضارة فقط.

بفضل التحسين التلقائي للقواعد الموحدة ، تمكنا من تحقيق أقل قيمة موجبة خاطئة ممكنة. يكاد يقترب من الصفر. بالطبع ، يحدث ذلك أحيانًا (أقل من 1٪) ، ويرجع ذلك إلى أخطاء في وصف قواعد تشغيل موقع معين ، لأن WAF كآلية تصف فقط الإجراءات المسموح بها ، وكل شيء آخر محظور.

فوائد الحل

كجزء من جدار حماية تطبيقات الويب الخاص بنا ، نقدم أفضل الحلول التي:

• يوفر حماية كاملة ضد أخطر 10 نقاط ضعف وفقًا لـ OWASP ؛
• معتمدة من قبل مختبرات ICSA ؛
• لديه ميزة فريدة لإنشاء سياسة تلقائية ؛
• ويدعم نماذج السلامة السلبية والإيجابية.

لدينا أيضًا حساب شخصي مناسب ، حيث يتم جمع تقارير عن جميع التهديدات والهجمات المحظورة التي تم اكتشافها ، ويتم الوصول إليها باستخدام تسجيل الدخول وكلمة المرور للموظف فقط من عنوان IP محدد.



عادةً ما يتم اعتبار خدمة واحدة لتوصيل WAF بموقع عميل معين. في حالتنا ، إذا كان لدى العميل ، على سبيل المثال ، موقعان على نفس الخادم يمكن الوصول إليه من خلال عنوانين IP مختلفين ، فما زلنا نعتبر ذلك بمثابة خدمة توفير WAF واحدة ، ببساطة عن طريق جمع إجمالي حركة مرور العميل.



المزيد من المعلومات المفيدة:

• آلة افتراضية فردية لكل عميل في الاستضافة السحابية.
• يتكيف WAF تلقائيًا مع التغييرات في محتوى الموقع ، مما يبسط الإدارة بشكل كبير.
• في الاستضافة السحابية ، لا يتم نقل شهادة SSL للوصول إلى الموقع إلى المشغل ، ولكن يتم تحميلها من قبل العميل في الحساب الشخصي في حاوية التشفير ، مما يضمن الأمان وفقًا للمعيار المصرفي PCI DSS.
• دعم على مدار 24 ساعة طوال أيام الأسبوع من قبل متخصصين مؤهلين في مجال أمن المعلومات للشريك - EKON Technologies.
• 3 خيارات لتنفيذ الحل - السحابة ، والعميل الظاهري ، والمعدات المخصصة في حلقة العميل.

يمكنك توصيل WAF من الخط المباشر على صفحة المنتج . سيكون لديك شهر اختبار مجاني ، إذا لم تعجبك ، قم بإيقاف تشغيله ، وإذا كنت ترغب في ذلك ، فسنواصل العمل.