Как выбрать Web Application Firewall
Download as PPTX, PDF1 like1,065 views
Документ описывает выбор и реализацию веб-приложений для защиты от атак, таких как DDoS, с использованием Web Application Firewall (WAF). Основное внимание уделяется анализу сигнатур, возможностям интеграции и использованию машинного обучения для повышения уровня безопасности. В работе представлены критерии обучения и оптимизации моделей защиты, а также задачи для специалистов по информационной безопасности.
Как выбрать Web Application Firewall
- 1. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Как выбрать Web Application Firewall Бейбутов Эльдар Центр информационной безопасности Инфосистемы Джет Магистерская программа «Управление информационной безопасностью» НИУ «Высшая Школа Экономики»
- 2. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Как много продуктов!
- 3. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. WAF Сигнатурный анализ Профилирование запросов Создание собственных политик DDoS защита Интеграция с другими СЗИ Проверка протокола
- 4. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Machine learningProtocol officer DDoS ProtectionCustom rules Integration capability Signatures analyze RFC Compliant Not HTTP abnormal No Amount exceeding No Time frame anomaly No Malformed entities No Illegal bytes
- 5. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Machine learningSignatures analyze DDoS ProtectionCustom rules Integration capability Protocol Officer Internet Разведка Well known Threats F5 BIG-IP ASM Imperva WAF 2 week period 1 week period RegExp скрыт RegExp виден Только регулярные выражения Есть корреляционные правила 2000 сигнатур 6000 сигнатур/150 правил Многофакторная уязвимость, требует корреляции с: •Частотой возникновения в разных контекстах •Значениями заголовков •Диапазоном IP-адресов •Другими сигнатурами •Другими политиками безопасности Imperva Application Defense Center (Threat analyze)
- 6. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Signatures analyze Machine learning DDoS ProtectionCustom rules Integration capability Protocol Officer F5 BIG-IP ASM Imperva WAF Параметры обучения Профиль настроек для каждого приложения Параметр завершения обучения: Время обучения (240 часов) Условия начала и окончания обучения Выделенные диапазон IP trusted Анализ ответов Оптимизация модели Механизм отслеживания изменений (Каждый 1 час в течении 12 часов по 50 однотипных нарушений => объект переучивается) Условие начала обучения: Если в течении 20 сессий от 20 IP-адресов в течении 1 часа запрашивается схожий объект доступа => добавить объект в процесс обучения Условие завершения обучения: При получении 5000 запросов от 500 сессий и 500 IP адресов в течении 1 дня => закончить обучение объекта
- 7. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Signatures analyze Custom rules DDoS ProtectionMachine learning Integration capability Protocol Officer Security Officer WAF WEB Server HTTP запрос Обработка запроса • Дешифровка • Парсинг • Валидация • Контроль сессии • Авторизация запроса Задачи для офицера • Учесть результаты тестирования • Внедрить разграничение доступа • Принять оперативные меры при атаках • Установить правила аудита Хочу свои механизмы защиты
- 8. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Signatures analyze Custom rules DDoS ProtectionMachine learning Integration capability Protocol Officer
- 9. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Integration capability Signatures analyze DDoS ProtectionCustom rulesMachine learningProtocol Officer Твоя температура? 36.6 градусов OK Твоя температура? 51.6 градус JavaScript Bot Mitigation REJECT Защита от DDoS на прикладном уровне это реально! Реагирование Proof of work challenge Проверка на доказательство работы CAPTCHA challenge Проверка на человечность Shaping or blocking Блокировка нарушителей
- 10. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. DDoS ProtectionSignatures analyze Integration capability Custom rulesMachine learningProtocol Officer Vulnerability scanners (HP Web Inspect, IBM App Scan, WhiteHat Sentinel, QualysGuard) SIEM (ArcSight, QRadar, RSA Security Analytics) Database Activity Monitoring Reputational services Fraud prevention
- 11. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.