Обзор рынка защиты веб-приложений (WAF) в России и в мире

В статье подробно рассматривается безопасность веб-приложений в контексте применения Web Application Firewall (WAF): откуда возникла потребность, как появился новый класс продуктов, какие принципы заложены в их работу. В материале также проанализирован мировой и российский рынки и рассмотрены основные игроки.

image

Содержание

  1. Введение
  2. Средства защиты веб-приложений
  3. Происхождение WAF
  4. Принцип работы WAF
  5. Тенденции развития WAF
  6. Мировой рынок WAF
  7. Российский рынок WAF
  8. Обзор продуктов
  9. Выводы

Введение

Проблема безопасности веб-приложений в последнее десятилетие обсуждается повсюду. C ростом популярности интернет-сервисов этот вопрос вырос в устойчивый тренд, который диктует рынку свои условия. Под его влиянием меняются отраслевые стандарты, на рынок выходят новые игроки, а существующие расширяют компетенции и выпускают новые решения.

Средства защиты веб-приложений

На сегодняшний день высокая стоимость информации, обрабатываемая в процессинге веб-приложений, в совокупности с угрозой взлома увеличивает риски информационной безопасности компаний. В этих условиях встает закономерный вопрос: что предпринять для защиты веб-приложений?

Контрмеры можно внедрять на двух этапах жизни приложения —разработки и эксплуатации. На этапе разработки — это различные инструменты тестирования безопасности: статический, динамический, интерактивный анализ. Если говорить о безопасности уже эксплуатируемого приложения, то здесь предлагается использовать наложенные средства защиты — системы предотвращения вторжений, межсетевые экраны следующего поколения (Next Generation Firewall, сокращенно NGFW), а также средства фильтрации трафика прикладного уровня, специально ориентированные на веб-приложения (Web Application Firewall, сокращенно — WAF). Применение Web Application Firewall традиционно считается наиболее эффективным подходом к защите веб-ресурсов. Одним из основополагающих факторов здесь служит узкоспециализированная разработка.

WAF может быть реализован как облачный сервис, агент на веб-сервере или специализированное железное или виртуальное устройство. Развитие рынка WAF пока складывается так, что облачный сервис востребован в среднем и малом бизнесе, а для крупного бизнеса обычно приобретается отдельное устройство. WAF как модуль веб-сервера так и остался, по сути, в зачаточном состоянии и больше подходит для энтузиастов, чем для бизнес-задач.

Однако несмотря на нацеленность производителей WAF на защищенность узкопрофильной области, каждый из них имеет свое видение и подход к защите частных инфраструктур. Тем самым грамотный подбор средства защиты является решающим моментом, ведь от того, насколько хорошо подходит средство для конкретной инфраструктуры, зависит его конечная эффективность.

Рисунок 1. Доступные методы защитыimage

Происхождение WAF

Зачем же потребовалось выводить Web Application Firewall в отдельный класс устройств? Ведь по сути решение может вписаться в класс продуктов Application Firewall. Тут же появляется вопрос: почему появилась приставка Web, которая так все поменяла, хотя и до этого средства экранирования поддерживали протоколы HTTP/HTTPs? Ответ на эти вопросы кроется в модели OSI, которая группирует закономерности, протоколы и механизмы для каждого из семи уровней по типу межсетевого взаимодействия.

Традиционно считается, что прикладной уровень — это последний уровень модели и выше него располагаются только данные конечных приложений, которые не могут быть формализованы и сгруппированы. Однако с развитием стандартов представления информации прикладными сервисами уже можно говорить о том, что, частично, данные, которыми оперируют определенные группы приложений, хорошо формализуются, и правила их представления, по сути, являются некими проприетарными протоколами или, упрощенно говоря, закономерностями.

Таким образом, можно говорить о появлении нового уровня межсетевого взаимодействия, который скрыт для классических межсетевых экранов прикладного уровня. Новый класс устройств — Web Application Firewall — характеризуется способностью понимать группы протоколов и зависимостей, свойственных для веб-приложений, которые строятся над прикладными протоколами http/https.

Принцип работы WAF

Классическое размещение WAF в сети — в режиме обратного прокси-сервера, перед защищаемыми веб-cерверами. В зависимости от производителя могут поддерживаться и другие режимы работы — например, прозрачный прокси-сервер, мост или даже пассивный режим, когда продукт работает с репликацией трафика.

После установки WAF и пуска продуктивного трафика сразу же начинает работу основной компонент защиты — машинное обучение, в ходе которого составляется эталонная модель коммуникации с объектом защиты, и таким образом формируется «белый» список допустимых идентификаторов доступа. На данный момент в веб-приложениях используются три типа идентификатора доступа: HTTP-параметры (в представлениях типа: Raw, XML, JSON), идентификатор ресурса (URL, URN), идентификатор сессии (cookie). Задача WAF состоит в определении допустимых значений идентификаторов для веб-приложения. Из определенных значений впоследствии будет состоять эталонная (позитивная) модель. Включение конкретных значений идентификатора в модель осуществляется на основе применения математико-статистического алгоритма, который с помощью выборки продуктивного трафика оценивает эти значения как допустимые.

Когда все ресурсы веб-приложения добавлены в позитивную модель, администратор системы должен убедиться в отсутствии значимого количества ложно-позитивных срабатываний и переключить систему в режим блокировки.

Помимо машинного обучения в набор функций WAF обычно входят следующие типовые механизмы защиты:

  • валидация протокола;
  • сигнатурный анализ;
  • защита от инъекций и XSS (зачастую проприетарная);
  • возможность создания собственных правил защиты;
  • DDoS-защита;
  • интеграция с репутационными и фрод-сервисами;
  • интеграция с прочими устройствами в ландшафте ИБ компании.

Приоритетом для производителя WAF является сфокусированность собственных исследовательских центров на генерации обновлений политик безопасности для своих устройств с учетом актуальных угроз веб-приложениям. Так появляются, например, сигнатуры атак, присущие для конкретных веб-фреймворков и систем контроля контента или проприетарные механизмы защиты от XSS и SQL-инъекций.

Тенденции развития WAF

Если говорить о тренде развития WAF, то, оглядываясь на наиболее успешные продукты и практический опыт, можно говорить о том, что рынок с большой вероятностью поделится на две части. Первая группа производителей будет продвигать коробочные решения для обеспечения безопасности без дополнительных затрат. Коробочный подход уже успешно зарекомендовал себя на рынке безопасности, так как не каждая служба ИБ на предприятии готова выделять отдельного человека или команду людей, которые будут следить за безопасностью публикуемых веб-приложений.

Другая же часть рынка сконцентрируется на клиентах, нуждающихся в пополнении арсенала средств превентивной защиты веб-приложений, как например:

  • реализация Sign-on центра с переносом функций аутентификации и авторизации на единую консоль WAF;
  • внедрение в веб-приложение двойной аутентификации средствами WAF;
  • контроль за разграничением прав доступа для пользователей внутри веб-приложений;
  • проактивная защита, базирующаяся на JS инъекциях в HTTP-ответы;
  • другое манипулирование содержанием HTTP-запросов и ответов.

Мировой рынок WAF

Первым значимым драйвером рынка WAF стало обновление стандарта безопасности индустрии платежных карт PCI DSS в части требования 6.6 в 2008 году. В результате обновления у сертифицирующихся организаций появилась альтернатива при обеспечении информационной безопасности своих веб-приложений: организация может сама выбирать — либо поддерживать бизнес-процессы по анализу защищенности веб-приложений, либо устанавливать WAF. Новый вариант стандарта и определил первые ключевые требования для систем экранирования веб-приложений. Выполнение данных требований до сих пор актуально для разработчиков, так как стандарт особенно важен в финансовой и банковской сферах.

Общие требования к современному Web Application Firewall:

  • системные компоненты WAF должны соответствовать требованиям PCI DSS;
  • возможность реагирования на угрозы, описанные в OWASP Top Ten;
  • инспектирование запросов и ответов в соответствии с политикой безопасности, журналирование событий;
  • предотвращение утечки данных — инспекция ответов сервера на наличие критичных данных;
  • применение как позитивной, так и негативной модели безопасности;
  • инспектирование всего содержимого веб-страниц, включая HTML, DHTML и CSS, а также нижележащих протоколов доставки содержимого (HTTP/HTTPS);
  • инспектирование сообщений веб-сервиса, если веб-сервис подключен к интернету (SOAP, XML);
  • инспектирование любого протокола или конструкции данных, использующихся для передачи данных веб-приложения вне зависимости от того, является ли он проприетарным или стандартизованным (как для входящих, так и исходящих потоков данных);
  • защита от угроз, направленных непосредственно на WAF;
  • поддержка SSL\TLS-терминации соединения;
  • предотвращение или обнаружение подделки идентификатора сессии;
  • автоматическое скачивание обновлений сигнатур атак и применение их;
  • возможность установки режима fail-open и fail-close;
  • поддержка устройством клиентских SSL-сертификатов;
  • поддержка аппаратного хранения ключей (FIPS).

Но несмотря на столь значимый импульс к развитию рынка WAF еще в 2008 году, первый бюллетень компании Gartner вышел только в 2014 году, чем ознаменовал новый виток конкурентной борьбы на рынке. В 2015 году вышел второй отчет, который позволил сравнивать достижения и позиции компаний относительно друг друга во времени. В исследование Gartner попали 16 наиболее значительных продуктов рассматриваемого рынка. Результат исследования представлен в виде так называемого магического квадранта, который является двунаправленной диаграммой. По оси абсцисс расположена шкала полноты видения, а по оси ординат — шкала возможностей. Совокупность показателей определяет позицию в квадранте каждого из производителей относительно других участников на рынке.

Рисунок 2. Магический квадрант Gartner по WAF, 2014 годimage

Рисунок 3. Магический квадрант Gartner по WAF, 2015 годimage

В первую очередь стоит обратить внимание на компании F5 и Imperva, которые являются историческими лидерами данного рынка и показывают лучшие результаты продаж на глобальном рынке. Далее идут Citrix и Barracuda Networks, которые наиболее близки к лидерам рынка и имеют достаточный потенциал для будущего роста (который, к сожалению, они не смогли реализовать в 2014 году, практически не изменив позиции, согласно отчету Gartner за 2015 год).

Обширные ресурсы компаний Imperva и F5 позволяют им первым разрабатывать новые технологии и завоевывать популярность среди профессионального сообщества. Накапливаемый ими передовой опыт позитивно влияет на весь рынок WAF в целом.

Компании Citrix и Barracuda Networks получили широкое признание на рынке благодаря качественным продуктам, а также существующим каналам продаж. Такое положение дел позволяет им отступить от гартнеровского определения нишевого игрока и считаться «рабочими лошадками» рынка WAF.

Также важно отметить, что в зависимости от широты продуктовой линейки производителей можно разделить на два типа относительно стратегии продаж. Первые позиционируют WAF как самостоятельное устройство для защиты информации в веб-приложениях, не приоритезируя возможный смежный функционал из-за фокуса на кибербезопасности веб-приложений. Вторые компании вместо того, чтобы конкурировать исключительно на рынке Web Application Firewall, убеждают клиентов в необходимости докупки этого функционала в качестве дополнения к своему другому инфраструктурному продукту, который себя уже зарекомендовал.

Из ранее рассмотренных глобальных компаний к первому типу относится только Imperva, но это не значит, что этот тип компаний находится в меньшинстве. Наоборот, общее количество таких компаний больше, но из-за свойственной им проблематики они так и остаются нишевыми игроками. Сложность в том, что им сложнее развиваться, так как конкурсы на комбинированные системы (например, WAF плюс балансировщик) для них оказываются труднодоступными, потому что клиенту удобнее работать с «единым поставщиком» для всей инфраструктуры.

Отдельно стоит упомянуть компанию Positive Technologies. Этот российский производитель, вышедший на рынок только в 2014 году с классическим Web Application Firewall под названием PT Application Firewall, уже в 2015 году появился в отчете Gartner, сразу попав в квадрант визионеров.

Российский рынок WAF

Если говорить о позициях международных производителей на российском рынке, то такие признанные компании, как Imperva, F5, Citrix и Barracuda Networks хорошо представлены на рынке и делят его пропорционально долям на глобальном рынке. А вот менее крупные зарубежные производители практически не представлены на российском рынке за исключением компаний Trustwave, Radware и Fortinet. Последняя в недавнем прошлом достигла временного успеха в среднем и крупном российском бизнесе. Связано это в первую очередь с тем, что в 2013 и 2014 году европейский регион обладал наименьшей долей на рынке WAF, поэтому небольшие зарубежные компании не стремятся тратить свои ресурсы на развитие каналов продаж в этом регионе, тогда как крупные корпорации уже обладают ими.

Если говорить о позициях местных игроков российского рынка WAF, то можно уверенно заявлять, что они есть и движутся в правильном направлении. Местные производители умеют находить общий язык со своей целевой аудиторией, из-за чего позиции продукта укрепляются. Некоторые даже пытаются найти выход на зарубежные рынки. Так, например, российская компания Wallarm, выпустившая одноименный WAF, продолжает наращивать свои позиции и находить новых клиентов.

Компания Positive Technologies, вышедшая на рынок в 2014 году со своим WAF под названием PT Application Firewall, имеет сильную и амбициозную команду разработчиков, которая полна новых идей и решимости воплотить их в своем продукте. Также важно отметить ту работу, которая компания проводит для популяризации средств WAF: аналитические исследования по веб-безопасности, обучающие материалы и курсы, организация пилотных проектов и особый упор на качество технической поддержки. Тем самым Positive Technologies приобретает возможность продавать продукты даже тем клиентам, которые упускали оценку рисков публикуемых веб-приложений и не задумывались о WAF.

На фоне того, что на Европейский регион приходится меньшая часть мирового рынка WAF, становление двух новых зрелых продуктов на российском рынке и даже попадание одного из них в визионеры Gartner — однозначно отличная тенденция, при сохранении которой Россия сможет послужить драйвером роста европейского доли на мировом рынке. Рассмотрим подробнее наиболее заметные продукты на нашем рынке.

Обзор продуктов

Imperva

image

Компания Imperva сфокусирована на безопасности данных, то есть на защите тех элементов инфраструктуры, где обрабатываются критичные данные: базы данных, файлообменные системы, веб-приложения. Отличительной чертой при разворачивании систем защиты от Imperva является наличие выделенного сервера управления (функции администрирования и фильтрации не могут быть задействованы на одном устройстве), таким образом создается масштабируемый каркас для будущих инсталляций.

В составе компании работает собственный аналитический центр Application Defense Center, который постоянно отслеживает современные угрозы и выпускает обновления для политик безопасности своих устройств. Имеется свой репутационный сервис.

Преимущества:

  • легко разворачивается в сети, есть режимы работы под любую инфраструктуру;
  • большое количество правил по защите от современных угроз;
  • удобная консоль мониторинга событий;
  • гибкая система формирования отчетов;
  • встроенный функционал по поиску объектов защиты;
  • анализ ответов на предмет утечки критичных данных;
  • есть интеграция c Database Activity Monitoring для Web-DB корреляции;
  • хорошая поддержка вендора в части документации и технического центра.

F5 Networks

image

Компания F5 Networks широко известна на рынке информационных технологий своими решениями по гарантированной доставке приложений. Компания имеет высокую репутацию в части производства программного обеспечения и подбора подходящей аппаратной платформы. Их решения обычно уже развернуты перед серверами в ЦОДах для балансировки нагрузки и отказоустойчивости между ЦОДами.

На рынке безопасности веб-приложений компания представлена сразу двумя продуктами, которые могут быть активированы на существующей платформе F5 BIG-IP. Это классический Web Application Firewall — Application Security Manager, и модуль Access Policy Manager, реализующий такие функции, как Sign-on центр, разграничение доступа внутри приложения, внедрение аутентификация и авторизации, модификация трафика и др.

Преимущества:

  • высокая производительность;
  • легкость внедрения в существующих инсталляциях;
  • шаблоны эталонных моделей и настроек для популярных корпоративных веб-приложений;
  • гибкие и полные настройки механизмов защиты;
  • возможность перезаписи содержимого, а не только его анализа;
  • встроенная защита от DDoS прикладного уровня;
  • собственный встроенный язык программирования iRules для обработки сложных цепочек событий;
  • XML, SOAP, JSON-валидатор.

Barracuda Networks

image

Компания обладает уверенными позициями на рынке e-mail- и веб-защиты. Помимо этого, Barracuda Networks занимается организацией систем балансировки нагрузки сервера и архивации сообщений.

Продукт Barracuda Web Application Firewall — это система поддержания безопасности веб-приложений и интернет-сайтов. Предоставляет надежную защиту от хакеров, использующих уязвимости протоколов или приложений в целях кражи данных, повреждения сервисов или искажения внешнего вида и информации сайта.

Преимущеcтва:

  • может быть развернут как сервис на платформе Azure;
  • за безопасность XML-представления отвечает отдельный модуль XML Firewall;
  • анализ ответов на предмет утечки критичных данных;
  • встроенный балансировщик нагрузки веб-приложений;
  • проверка скачиваемых файлов на наличие вирусов и вредоносных программ;
  • выгодная ценовая политика.

Citrix

image

Citrix — признанная компания на рынке виртуализации и гарантированной доставки приложений, но помимо данных рынков Citrix активно развивает все направления, связанные с потребностями корпоративных клиентов. Citrix реализует решения, соответствующие современным трендам информационных технологий, опираясь при этом на классическую модель построения частных облаков.

Защита веб-приложений является одним из приоритетных направлений компании, так на базе решения по гарантированной доставке приложений Citrix представляет свой WAF — NetScaler Application Firewall. Данный продукт является классическим и успешно реализует накопленный опыт индустрии защиты веб-приложений с помощью фильтрации. Продукт можно приобрести отдельно или в комплексе с балансировщиком нагрузки на основе единой платформы Citrix NetScaler.

Преимущества:

  • высокая производительность;
  • надежная аппаратная поставка;
  • малые вносимые задержки;
  • реализация всех основных механизмов защиты;
  • исследование работы приложения на стороне клиента для составления политик безопасности;
  • поставка в виде аппаратного или виртуального устройства.

Positive Technologies

image

Компания Positive Technologies — российская компания, профессионально ориентированная на информационную безопасность корпоративных сетей. Компания широко известна в области аудита и консультационных услуг для информационных систем, в том числе и на международном рынке. Имеет серьезную экспертизу по части аналитики, публикует отраслевые отчеты и проводит крупнейшую в России конференцию по практическим аспектам ИБ. Помимо предоставления своих услуг компания занимается разработкой собственных средств защиты информации — например, ей принадлежит известная в России система контроля защищенности корпоративной сети MaxPatrol.

В 2014 году компания выпустила в свет продукт Application Firewall, разработка которого велась совместно с группой исследователей веб-безопасности. В основу продукта лег специальный математико-статический алгоритм, основанный на цепях Маркова. Алгоритм реализует машинное обучение с целью составления максимально эффективной эталонной модели веб-приложения.

По заверениям разработчиков, их проприетарный алгоритм обладает наилучшими свойствами по обучаемости среди конкурентов. Повышенный уровень защиты обеспечивается за счет специальных предобученных шаблонов для различных отраслей бизнеса: интернет-банкинг, ERP (SAP), телеком, СМИ и порталы массового самообслуживания.

Преимущества:

  • возможность работы с репликацией трафика;
  • балансировка веб-приложений;
  • встроенный сканер веб-приложений с технологией виртуального патчинга;
  • настраиваемый математический аппарат машинного обучения;
  • настраиваемый механизм корреляций для автоматической приоритезации событий;
  • XML-валидация;
  • независимость от аппаратной конфигурации (в пределах процессорной платформы x86_64);
  • усиленная защита от атак на пользователей приложения;
  • возможность автономного режима работы (без подключения к внешним сервисам);
  • возможность работы с ГОСТ SSL.

Wallarm

image

Wallarm — российский стартап, разработавший систему безопасности для веб-приложений. Компания основана группой специалистов, ранее занимавшихся профессиональным аудитом безопасности для интернет-компаний. В команде изначально работали так называемые «белые хакеры», сотрудничающие с крупнейшими компаниями в России и Европе. С момента венчурных инвестиций в 2013 году, проект уже получил признание в стези защиты сложных приложений с частными обновлениями и используется для защиты десятков ведущих компаний рунета с миллионами пользователей. Популярностью пользуется объединенное решение с сервисом для предотвращения DDoS-атак Qrator Labs.

Wallarm отходит от понятия классического Web Application Firewall, объединяя привычную защиту веб-приложения от атак с непрерывным поиском в нем уязвимостей. Компания решила пересмотреть взгляд на данный класс средств защиты и разработала концепцию, учитывающую последние тренды ИТ и ИБ. В итоге получился продукт-сервис, который не требует от клиента трудозатрат на интеграцию и поддержания решения, предоставляя при этом актуальную аналитику состояния защищенности через дружественный веб-интерфейс.

Преимущества:

  • низкий уровень ложных срабатываний за счет машинного обучения, выполняемого в центре обработке события (у вендора или установленного у клиента);
  • легко масштабируемые и высокопроизводительные фильтрующие узлы на базе NGINX;
  • встроенный динамический сканер уязвимостей;
  • обнаружение инцидентов безопасности (атак на ранее подтвержденные уязвимости приложения);
  • минимальная конфигурация;
  • удобная панель мониторинга и аналитики с приоретизиацией событий;
  • стоимость от 70 тысяч рублей в месяц за 1 фильтрующий узел.

Выводы

Рынок Web Application Firewall несмотря на свою долголетнюю историю все еще находится на этапе раннего развития. Об этом свидетельствуют такие факты, как: большое количество игроков, у которых не получается развить каналы продаж, большая доля связных продаж, активность малочисленных компаний и стартапов. Связано это в первую очередь с тем, что последнее десятилетие проблематика защиты веб-приложений была полностью отдана разработчикам, считалось, что никто кроме разработчика не сможет устранить те самые ошибки, которые и приводят к появлению уязвимостей.

Такой подход имел успех, пока организация обслуживала только одно или два веб-приложения и могла закрывать издержки по обеспечению процесса анализа исходного кода для каждого из приложений. Но сегодня большой бизнес содержит десятки и даже сотни веб-приложений, из которых только меньшая часть является собственной разработкой. При таких обстоятельствах говорить о полноценной защите, к сожалению, не приходится.

Необходима более масштабируемая мера, которой и является Web Application Firewall. С ростом объемов этого рынка все больше технологических компаний и независимых исследователей будут обращать внимание на данный класс устройств, что приведет к новым технологическим прорывам, новым сильным игрокам и популяризации использования WAF.


Статья была опубликована в интернет издании "Anti-Malware".