Что изменилось на российском рынке WAF за последний год? Чем брандмауэры веб-приложений отличаются от межсетевых экранов нового поколения (Next Generation Firewall, NGFW) и какое решение лучше использовать для защиты трафика? Каковы критерии выбора WAF и как будут развиваться эти системы в дальнейшем?
- Введение
- Российский рынок WAF
- Как выбирать Web Application Firewall
- Прогнозы экспертов
- Итоги онлайн-конференции
- Выводы
Введение
За последний год отечественный рынок WAF существенно изменился. После ухода зарубежных вендоров российские разработчики столкнулись с необходимостью самостоятельно обеспечить спрос на решения этого класса и реализовать перенос наработанных политик безопасности на новые платформы. Насколько успешно идёт процесс импортозамещения в секторе WAF, как сегодня внедрять и выбирать брандмауэры веб-приложений и что смогут предложить клиентам такие системы в будущем? Мы попытались найти ответы во время прямого эфира проекта AM Live.
Рисунок 1. Участники прямого эфира AM Live в студии
Спикеры онлайн-конференции:
- Анастасия Афонина, операционный директор компании «Вебмониторэкс»;
- Владимир Зайцев, директор по клиентскому сервису компании NGENIX;
- Всеволод Петров, руководитель практики по защите веб-приложений компании Positive Technologies.
Ведущий и модератор дискуссии: Лев Палей, начальник службы информационной безопасности АО «СО ЕЭС».
Российский рынок WAF
Для чего нужен Web Application Firewall
В первую очередь мы предложили участникам онлайн-конференции рассказать зрителям, что такое брандмауэр веб-приложений и какие задачи решают средства защиты информации этого класса. Почему не всегда можно использовать для этой цели Next Generation Firewall? Как заказчику понять, нужен ли ему WAF, если его ни разу не взламывали?
Всеволод Петров:
— Сейчас трудно себе представить программный продукт, у которого нет веб-интерфейса. Внутренние или внешние злоумышленники могут оказать негативное воздействие на такие системы — организовать утечку данных или прерывание бизнес-процессов. WAF — это универсальный инструмент, который защищает от рисков такого рода.
Всеволод Петров, руководитель практики по защите веб-приложений компании Positive Technologies
Владимир Зайцев:
— WAF настраивается для работы с конкретным приложением, в то время как NGFW смотрит на сеть несколько шире и не может защитить от всех угроз на седьмом уровне по классификации OSI. Большая часть трафика, с которым мы сейчас работаем, — это HTTP, и WAF учитывает особенности приложения, анализируя его.
Анастасия Афонина:
— Если заказчик считает, что его ранее не взламывали, то, возможно, он просто не знает об этом. В нашей практике после начала использования WAF, в том числе со сканированием, с уязвимостями, с обнаружениями, многие заказчики понимали, что в прошлом их уже взламывали.
Анастасия Афонина, операционный директор компании «Вебмониторэкс»
Как изменился рынок WAF в прошлом году
Что произошло с российским рынком WAF в 2022 году после ухода западных вендоров? Наши эксперты рассказали, что на фоне увеличения числа кибератак возросло и количество обращений заказчиков. При этом потенциальные клиенты стали более «подкованными» и часто приходили за конкретным решением. Спикеры подчеркнули, что безопасность — это всегда уникальные для каждой компании метрики, поэтому для выбора WAF не существует единых критериев. Каждый заказчик самостоятельно оценивает риски и значимость потери той или иной информации или конкретных ресурсов. Важно дать ему качественные сведения о возможных векторах атаки, а также оперативно выявить и предотвратить инцидент.
Лев Палей, начальник службы информационной безопасности АО «СО ЕЭС», ведущий и модератор дискуссии
Бесплатные WAF тоже имеют право на существование, но зачастую эти разработки стартуют с прицелом на дальнейшее коммерческое развитие. Отдельно спикеры AM Live отметили, что к бесплатному файрволу веб-приложений требуется команда специалистов, которая его будет устанавливать, обслуживать, настраивать. Лев Палей высказал мысль, что бесплатные инструменты могут быть использованы на первом этапе, для защиты систем, которые не являются критически важными. В частности, такие решения помогут компании выстроить бизнес-процессы, связанные с защитой веб-приложений.
Опрос зрителей прямого эфира показал, что большинство из них (42 %) вообще не используют Web Application Firewall. Ещё 36 % остановили свой выбор на российской коммерческой разработке, а 18 % продолжают пользоваться решениями иностранных производителей. Бесплатный WAF эксплуатируют лишь 4 % наших зрителей.
Рисунок 2. Используете ли вы WAF в своей организации?
От чего может защитить WAF
Эксперты привели несколько примеров атак, от которых может защитить WAF. В частности, системы этого класса способны выявить вредоносный трафик, находящийся ниже уровня срабатывания защиты от DDoS. Современный WAF понимает профиль трафика компании и заблокирует данные, которые несвойственны ей — например, получены из необычных дата-центров. Ещё один вариант использования WAF — это выявление попыток кражи СМС-бюджета, когда злоумышленники перебирают телефонные номера для отправки кодов авторизации.
Возможности WAF по защите почтовых серверов ограничены. Такие решения не могут обеспечить полный охват возможных направлений атаки, поскольку не разбирают почтовые протоколы. С другой стороны, веб-интерфейсы почтовых систем Web Application Firewall защищать может — так же, как и другие приложения. Однако надо помнить, что это — лишь часть необходимой защиты.
Как выбирать Web Application Firewall
Что наиболее важно клиенту при выборе WAF
Переходя ко второй части дискуссии, мы спросили зрителей AM Live о том, какие факторы для них наиболее важны при выборе WAF. Как и ожидалось, большинство участников опроса (59 %) отметили, что ключевым моментом в этом вопросе является качество обнаружения атак. Ещё 16 % респондентов ставят во главу угла простоту администрирования, а 12 % — интеграцию с другими средствами защиты. Судя по результатам опроса, стоимость решения важна лишь для 6 % заказчиков WAF, а модель поставки — для 2 %. Не нашли подходящих для себя вариантов ответа 5 % зрителей прямого эфира.
Рисунок 3. Что, на ваш взгляд, наиболее важно при выборе WAF?
Особенности внедрения WAF
Спикеры прямого эфира рассказали, что Web Application Firewall может поставляться заказчику как полностью облачное решение или же в локальном варианте (on-premise). Возможны также гибридные схемы развёртывания, когда используются и собственная инфраструктура организации, и облачные ресурсы. Сегодня существует запрос на частные облака. Многие заказчики готовы разворачивать WAF в облаке, но считают публичные облачные сервисы недостаточно безопасными.
Как показал проведённый нами опрос, 46 % зрителей прямого эфира считают оптимальной для своей компании моделью поставки WAF самостоятельное (standalone) решение, поддерживаемое своими силами. Web Application Firewall в облаке выбирают 30 % респондентов, а локальное решение на аутсорсинге — 7 %. Затруднились ответить на этот вопрос 17 % участников.
Рисунок 4. Какая модель поставки WAF оптимальна для вашей организации?
Лицензирование WAF осуществляется на основе производительности (количества обрабатываемого трафика) или же по числу запросов в единицу времени. Скорость внедрения и развёртывания Web Application Firewall во многом зависит от команды, причём как от людей со стороны вендора, так и от сотрудников клиента. Если удаётся добиться симбиоза в этой сфере, то внедрение будет проходить легче и быстрее.
После установки, которая выполняется совместно с ИТ-подразделением, команда приступает к настройке ИБ-составляющей системы. Необходимо определить, какие ресурсы должны быть защищены WAF, какие объекты наиболее важны, какая есть специфика трафика. Чтобы ничего не забыть, можно использовать специальный чек-лист, проходя по нему вместе с клиентом. Далее на подготовленную систему запускается рабочий трафик, который на первоначальном этапе используется для обучения системы. WAF должен понять, какой трафик нормален для конкретного приложения, а какой — аномален.
Использование искусственного интеллекта в WAF
По просьбе ведущего эксперты перечислили наиболее интересные возможности, «фишки» современных WAF:
- Скорость интеграции.
- Виртуальный патчинг.
- Возможность выбора и сравнения различных архитектур.
- Использование алгоритмов искусственного интеллекта.
- Высокая адаптивность и возможность масштабирования.
- ИТ-функции (аудит, управление логами и т. д.)
Машинное обучение является неотъемлемой частью современного Web Application Firewall, поскольку невозможно строить защиту только на сигнатурах. Существует как минимум два направления по использованию технологий машинного обучения в WAF. Первая ветвь — это применение искусственного интеллекта для снижения количества ложных срабатываний. Вторая, менее очевидная, — поиск новых векторов атаки, изучение их вариативности. ИИ в этом случае помогает аналитической группе вендора. Ещё один вариант применения машинного обучения — профилирование политики безопасности, а также анализ поведения пользователей с целью поиска аномалий, которые будут свидетельствовать о возможной вредоносной активности.
Критерии выбора WAF
Переходя к обсуждению критериев выбора файрвола веб-приложений, Лев Палей предложил экспертам в студии ознакомиться с результатами опроса зрителей на тему «Что чаще всего не устраивает заказчика в российских WAF?». Как выяснилось, наибольшей проблемой клиенты считают сложность настройки и управления. Такого мнения придерживаются 26 % опрошенных. Ложные срабатывания и потеря легитимного трафика беспокоят 18 % респондентов. Варианты «Снижение производительности веб-сайта» и «Высокая цена» набрали по 15 % голосов. На недостаточную масштабируемость российских WAF указали 11 % участников опроса. Довольны отечественными разработками в этой сфере 15 % зрителей этого выпуска AM Live.
Рисунок 5. Что чаще всего не устраивает в российских WAF?
Модератор дискуссии с помощью экспертов сформулировал несколько критериев, которые можно использовать для выбора Web Application Firewall:
- Простота интерфейса и гибкость настройки.
- Наличие большого количества описанных кейсов.
- Зрелость вендора и самого решения.
- Масштабируемость.
- Использование технологий машинного обучения.
- Стоимость решения.
- Доля потерянного легитимного трафика.
Прогнозы экспертов
В завершение онлайн-конференции мы предложили экспертам поделиться своим видением рынка WAF на ближайшие 5–10 лет. Вот какие прогнозы дали спикеры AM Live.
Анастасия Афонина:
— В будущем WAF станет частью большой экосистемы безопасности компании и будет гораздо глубже интегрирован, чем сейчас. Это и двусторонний обмен данными с Threat Intelligence, и интеграция с другими системами. Ключевая информация, которая есть у WAF (запросы, периметр, события), должна быть доступна всей инфраструктуре безопасности.
Владимир Зайцев:
— В будущем нас ждёт более плотная интеграция WAF с приложением пользователя — некий SDK, который собирает больше данных с пользователя и отдаёт их в системы защиты. Кроме того, разрабатываемые приложения должны быть изначально предназначены для того, чтобы их легко было защищать.
Владимир Зайцев, директор по клиентскому сервису компании NGENIX
Всеволод Петров:
— Безопасность приложения должна начинаться на этапе разработки. Подход «Shift Left» (сдвиг влево — ред.) позволит уже на этапе тестирования понимать, от чего необходимо защищать создаваемое приложение. Также нас ждёт тренд на увеличение доли технологий машинного обучения в WAF. Вместе со смещением безопасности «влево» это приведёт к уменьшению доли ложных срабатываний.
Итоги онлайн-конференции
Финальный опрос зрителей прямого эфира показал, что по его итогам 31 % из них убедился в правильности своего выбора Web Application Firewall. Считают такие решения интересными, но пока избыточными для своей компании 19 % респондентов. Ещё 8 % заинтересовались темой WAF и готовы их тестировать. Столько же планируют менять поставщика на нового. Не увидели убедительных аргументов в пользу WAF 15 % опрошенных, а 19 % вообще не поняли, о чём шла речь в этом выпуске AM Live.
Рисунок 6. Каково ваше мнение относительно WAF по итогам эфира?
Выводы
Российский рынок Web Application Firewall, как и многие другие сферы, находится в периоде турбулентности. Изменения, вызванные уходом зарубежных поставщиков, ещё не закончились: отечественные вендоры активно осваивают освободившиеся пространства и развивают функциональные возможности своих систем, чтобы удовлетворить ожидания новых заказчиков. При этом значительная часть потенциальных клиентов вообще не использует WAF, предпочитая, очевидно, универсальные решения, такие как NGFW. Мысль о необходимости специализированной защиты веб-трафика зачастую приходит к таким компаниям слишком поздно — уже после взлома.
Ожидания заказчиков, а также критерии выбора Web Application Firewall можно свести к технологическим и, условно, экономическим факторам. К первым можно отнести применение методов машинного обучения, которые играют всё большую роль в современных инструментах информационной безопасности. Клиенты также обращают внимание на долю потерь легитимного трафика и возможности масштабирования. Среди «экономических» факторов кроме собственно цены можно выделить зрелость вендора и его маркетинговые усилия — наличие описанных внедрений системы.
Участники рынка с оптимизмом смотрят в будущее и видят WAF элементом единой экосистемы безопасности с единым информационным полем. Вендоры также хотели бы, чтобы разработчики уделяли больше внимания проблемам интеграции с Web Application Firewall на этапе создания своих приложений: это может существенно повысить качество их функционирования.
Проект AM Live продолжает свою работу, предоставляя экспертам в сфере информационной безопасности и ИТ независимую площадку для обсуждения наиболее важных проблем индустрии. Подпишитесь на YouTube-канал Anti-Malware.ru, чтобы не пропускать новые трансляции и иметь возможность задавать вопросы спикерам. До встречи в эфире!