Web Application Firewall (WAF)

При всей критичности для бизнеса часто именно веб-приложения – слабое звено в периметре защиты организации. Веб-приложения собственной разработки компании, как правило, обладают сложной архитектурой и множеством заимствованных компонентов, а разработчикам не хватает времени для того, чтобы уделять внимание защищенности подобных ресурсов. Часто они жертвуют безопасностью приложения в пользу скорости запуска новой функциональности.

Поэтому уязвимости веб-приложения могут становиться основной мишенью злоумышленников (наряду с социальной инженерией) и удобной точкой входа для проведения дальнейших атак. Векторы атак постоянно меняются, и по статистике, сегодня на одно веб-приложение в среднем приходится по несколько уязвимостей с высоким уровнем риска.

По данным некоммерческой организации Open Web Application Security Project® (OWASP), занимающейся обеспечением повышения норм безопасности для веб-ресурсов, наиболее опасными уязвимостями для веб-приложений являются инъекции, недостатки аутентификации и управления сессиями, межсайтовое выполнение сценариев (XSS), небезопасные прямые ссылки на объекты, некорректная настройка параметров безопасности и пр.

Для защиты от атак на уязвимости веб-приложения и предотвращения их эксплуатации мы рекомендуем использовать межсетевой экран уровня приложений (Web application firewall) — совокупность мониторов и фильтров, предназначенных для тонкого обнаружения и блокирования уязвимостей. 

Наиболее эффективным решением по защите веб-ресурсов является облачный сервис WAF. Для его запуска не требуется отдельная инфраструктура, закупка и установка дорогостоящего оборудования и ПО, обучение сотрудников.*

Мы предлагаем на выбор несколько решений ведущих вендоров, специализирующихся на разработке средств защиты веб-приложений. Интеграция с решениями вендоров на уровне облачной инфраструктуры позволяет значительно сократить ресурсы на внедрение, предоставляя максимальный уровень защиты приложений и позволяя устранять инциденты безопасности в максимально сжатые сроки. При этом учитываются любые требования, и обеспечивается возможность масштабирования под клиента.

 

 

* Услуга облачный WAF работает только при подключении фильтрации трафика с раскрытием сертификатов. Для услуги “Фильтрация трафика без раскрытия” мы рекомендуем делать нодные инсталляции WAF. По всем вопросам обращайтесь в отдел продаж sales@qrator.net