Обзор рынка защиты веб-приложений (WAF) — 2024

Наш предыдущий обзор рынка WAF (Web Application Firewall, средства фильтрации трафика прикладного уровня) вышел задолго до нынешних ограничений. Сейчас, в условиях недоступности некоторых программных продуктов, рынок WAF в России активно меняется в пользу отечественных решений: появляются новые продукты, производители работают над конкурентными преимуществами.

 

 

 

 

 

1. Введение
2. Вспомним, для чего нужны WAF
   
   1. 2.1. Механизмы, используемые WAF
   2. 2.2. Основные принципы работы WAF
   3. 2.3. Перспективы WAF
3. Мировой рынок WAF
4. Российский рынок WAF
5. Обзор отечественного рынка WAF
   
   1. 5.1. Продукты Web Application Firewall
      
      1. 5.1.2. PT Application Firewall
      2. 5.2.2. SolidWall WAF
      3. 5.2.3. «Вебмониторэкс ПроWAF»
      4. 5.2.4. «Гарда WAF»
      5. 5.2.5. «Континент WAF»
      6. 5.2.6. «Немезида ВАФ»
   2. 5.3. Сервисы Web Application Firewall
      
      1. 5.3.1. Beeline Cloud WAF
      2. 5.3.2. BI.ZONE WAF
      3. 5.3.3. PT Cloud Application Firewall
      4. 5.3.4. Qrator.WAF
      5. 5.3.5. StormWall WAF
      6. 5.3.6. T1 Cloud WAF
      7. 5.3.7. «МегаФон WAF»
      8. 5.3.8. Сервис защиты веб-приложений МТС RED
      9. 5.3.9. Сервис защиты веб-приложений ГК «Солар»
6. Выводы

Введение

Объём данных, обрабатываемых современным веб-приложением, постоянно растёт, как и количество ИБ-угроз. Согласно исследованиям компании Positive Technologies по итогам IV квартала 2023 года, количество атак на веб-приложения продолжает оставаться на лидирующих позициях в рейтингах. Это требует большей концентрации на задачах по обеспечению безопасности веб-ресурсов.

Межсетевой экран веб-приложений (WAF) предназначен для обнаружения и блокировки сетевых атак, например DDoS или SQL-инъекций. WAF реализовывают как в программном исполнении, так и в аппаратно-программном.

На сегодняшний день отечественный рынок межсетевых экранов характеризуется огромным количеством предложений вендоров, которое только растёт. Технологии межсетевых экранов также постоянно развиваются. В условиях ограничений и санкций российские разработчики программного обеспечения стремятся удовлетворить потребности пользователей в средствах защиты веб-ресурсов. Присутствуют на рынке и решения с открытым исходным кодом, но они подходят для защиты не всех типов информационных систем.

Вспомним, для чего нужны WAF

Система защиты веб-приложений состоит не из одного решения, а из целого комплекса фильтров и программных мониторов. Основное назначение WAF — обнаруживать и блокировать сетевые атаки на приложения и их программные интерфейсы (API). Web Application Firewall устанавливается перед защищаемым объектом и работает с сетевым трафиком, после чего транслирует последний на веб-сервер.

Основные функции WAF:

• анализ всех передаваемых запросов;
• выявление потенциальных опасностей;
• обнаружение подозрительной активности и проверка на наличие паттернов атак, способных нарушить работу приложения или навредить как-то иначе.

Обнаружив потенциально опасный запрос, межсетевой экран может полностью заблокировать запрос, заблокировать источник атаки (то есть прекратить обмен запросами с конкретным IP-адресом) либо удалить из поступившего запроса опасные данные (в этом случае WAF работает аналогично привычному антивирусу).

У WAF нет строго определённого механизма работы. Отдельно взятые комплексы используют разные средства анализа аномальной активности, механизмы сигнатурного анализа, индикаторы атак и даже возможности нейросетей.

Механизмы, используемые WAF

Для защиты приложений от угроз в WAF используют следующие механизмы:

1. Сигнатуры. Основа инструментария WAF. Представляют собой определённые последовательности символов, которые межсетевой экран ищет в поступающих запросах. Если сигнатура найдена при анализе запроса, то происходит его блокировка. Чем более точные, подробные и проработанные сигнатуры использует WAF, тем он эффективнее.

У этого подхода есть слабые места. В частности, база сигнатур не обновляется мгновенно, поэтому в ней может не оказаться последовательностей, которые использовались в недавних атаках. Кроме того, киберпреступники всегда могут попытаться обойти WAF, скорректировав передаваемый запрос таким образом, чтобы защитный комплекс не распознал угрозу.

2. Правила. Используются как альтернатива или в качестве дополнения к сигнатурам. В теории, при помощи правил можно выявить даже такую атаку, для которой пока не разработана сигнатура. Для этого в правилах используется анализ поведения запросов.

Использование правил также связано с рядом нюансов. Составлять правила вручную сложно, долго и дорого, поэтому разработчики часто прибегают к технологии машинного обучения. Она позволяет системе самообучаться на основе передаваемых данных. При этом потребуется соблюсти весьма высокие требования к аппаратным ресурсам и реализовать процесс обучения так, чтобы он был максимально эффективным.

3. Методы машинного обучения. В эфире AM Live от 15 марта 2023 года эксперты подчеркнули, что искусственный интеллект является неотъемлемой частью современного WAF. Выделено минимум два направления по его использованию: снижение количества ложных срабатываний и поиск новых векторов атак с изучением их вариативности.

Для оценки эффективности WAF применяются специальные средства их тестирования. Одним из часто используемых зарубежных продуктов является GoTestWAF от компании Wallarm. Из отечественных разработок популярна WAF Bypass от компании «Немезида».

Основные принципы работы WAF

Чаще всего WAF устанавливается в режиме обратного прокси-сервера. Некоторые производители позволяют реализовывать пассивный режим (репликация трафика), режим моста или прозрачного прокси-сервера.

К основным направлениям работы WAF относятся:

• валидация протоколов;
• защита от инъекций;
• защита от межсайтового скриптинга (XSS);
• сигнатурный анализ;
• интеграция с антифрод-сервисами;
• интеграция с иными частями системы информационной безопасности компании;
• частичная защита от DDoS (стоит использовать мощные устройства, которые позволяют обработать большую нагрузку, в комплексе с другими специализированными средствами противодействия таким методам атак).

Перспективы WAF

WAF является одним из ключевых элементов безопасности современных веб-приложений. Вендоры предлагают выбор между развёртыванием продукта в инфраструктуре организации и сервисами в облаке. Второй вариант пользуется всё большим спросом в связи с тем, что расходы по приобретению, обслуживанию, а иногда — и анализу ложатся на оператора сервиса. Для небольших компаний это — оптимальный выбор.

Ещё одна из видимых тенденций на основе запросов пользователей — возможность интеграции WAF с другими системами информационной безопасности (например, SIEM или DLP), встраивания его в процесс разработки веб-приложений. Это не новая потребность, но продуктам пока ещё есть куда развиваться.

Не стоит и забывать об импортозамещении. Зарубежные вендоры прекращают техническую поддержку, а требования законодательства стимулируют внедрение отечественных решений. Соответственно, возникает запрос по переходу на российские аналоги без потерь в качестве.

Мировой рынок WAF

Глобальный рынок WAF оценивался в 5,43 млрд долларов США в 2022 году и, как ожидается, достигнет объёма в 19,75 млрд долларов к 2030 году при среднегодовом росте на 17,8 % в течение прогнозируемого периода (2023–2030).

Текущая тенденция заключается в объединении сканеров сетевых уязвимостей с наборами инструментов для обеспечения безопасности веб-приложений. Это позволяет связывать данные и улучшать результаты.

Веб-приложения и сервисы изменили ландшафт доставки данных и обмена ими в корпоративном и государственном секторах. Простота доступа к информации и разнообразие сервисов приводят к тому, что им (а следовательно, и рынку WAF) уделяется всё больше внимания.

Определённые отраслевые и государственные нормативные акты требуют обязательного развёртывания WAF. Например, стандарт безопасности данных индустрии платёжных карт (PCI DSS) является хорошо известным и важным нормативным актом, который стимулирует внедрение таких средств защиты.

На основе последних докладов компании Gartner о рынке межсетевых экранов уровня приложений, среди зарубежных продуктов стоит отметить следующие: Akamai Web Application Protector, Imperva WAF, Cloudflare WAF, F5 Big-IP WAF, Barracuda WAF и AWS WAF.

Российский рынок WAF

Отечественный рынок WAF также демонстрирует устойчивый рост. Предполагается, что в ближайшие годы он составит 22–25 % ежегодно.

Мнение экспертов в эфире AM Live от 15 марта 2023 года было единым: отечественные продукты вытеснили с рынка зарубежные (в дополнение к самостоятельному уходу некоторых). Ещё в 2022 г. сегмент WAF в России был одним из проблемных, тогда как сейчас, по мнению экспертов, российские файрволы обладают высокой степенью технологичности.

Ещё одна отличительная черта российских WAF — возможность развернуть продукт локально, тогда как оставшиеся зарубежные вендоры предлагают в основном облачные решения. Компании проявляют заинтересованность и в комплексных решениях.

При этом общей проблемой как на зарубежном, так и на российском рынках являются стоимость и производительность. WAF — требовательные комплексы, поскольку проверяют весь входящий и исходящий трафик. Для каждого протокола требуется собственное прокси-приложение, а поддержка новых сетевых приложений и протоколов реализовывается медленно.

Обзор отечественного рынка WAF

Продукты Web Application Firewall

В этом разделе рассмотрим «коробочные» продукты, как в программном исполнении, так и в программно-аппаратном. Стоит отметить, что некоторые из них производители предлагают в виде сервиса, развёрнутого на своих мощностях.

 

 

PT Application Firewall

Программно-аппаратный комплекс позволяет обеспечить безопасность веб-приложений и при этом гарантировать непрерывность бизнес-процессов компании.

 

Рисунок 1. Схема работы PT Application Firewall

 

Основные возможности:

• блокирует атаки «нулевого дня» автоматически, при этом дополнительно настраивать профиль безопасности не потребуется;
• можно задать правила, позволяющие маскировать особо конфиденциальные данные;
• защищает от автоматизированных атак;
• виртуальный патчинг;
• выявление основных угроз с отсеиванием незначительных событий.

PT Application Firewall легко встраивается в ИТ-инфраструктуру компании, есть несколько разных режимов внедрения. Для быстрого запуска предусмотрена простая настройка, разработчики предоставляют готовые политики безопасности. Подробнее с продуктом можно познакомиться на сайте производителя.

Включён в реестр отечественного ПО (№ 11893 от 22.10.2021), имеет сертификат ФСТЭК России (№ 3455 от 27.10.2015).

 

 

SolidWall WAF

Межсетевой экран представляет собой программный продукт, который организация может развернуть на своих мощностях: на физическом или виртуальном сервере.

 

Рисунок 2. Интерфейс SolidWall WAF

 

Основные функции:

• сочетание подробных позитивных моделей работы защищаемых приложений с сигнатурными и семантическими методами обнаружения аномалий;
• механизмы интерпретируемого машинного обучения с возможностью анализа и ручной корректировки полученных моделей;
• контроль логических действий, их параметров, последовательности действий и их успешности;
• механизмы быстрого принятия решений, позволяющие повысить производительность решения и противостоять массовым однотипным атакам, многократно превышающим по объёму нагрузочную способность WAF;
• индивидуализация страниц блокировок (фейковый ответ), затрудняющая ботам обнаружение блокировки.

Предусмотрена возможность интеграции сервиса с SIEM, аналитическими системами, антивирусными решениями, системами мониторинга и т. п. Подробнее с продуктом можно познакомиться на сайте производителя.

Включён в реестр отечественного ПО (№ 8453 от 30.12.2020), имеет сертификат ФСТЭК России (№ 4652 от 15.02.2023).

 

 

«Вебмониторэкс ПроWAF»

Межсетевой экран характеризуется простотой развёртывания и масштабирования, что повышает его универсальность. Стабильно работает с высоконагруженными веб-приложениями любой конфигурации и обеспечивает высокую доступность сервиса и конечных точек (API) в случае атаки. Ранее был известен под брендом Wallarm, c 2022 года выкуплены все права, разработка локализована в РФ.

 

Рисунок 3. Интерфейс «Вебмониторэкс ПроWAF»

 

Основные преимущества:

• защита приложений и конечных точек от атак из OWASP Top 10 и OWASP API Top 10, атак «нулевого дня»;
• интеллектуальный парсинг запросов;
• обеспечение быстрой интеграции всех рабочих процессов на основе существующих у организации инструментов безопасности и DevOps;
• стабильная работа с высоконагруженными приложениями;
• лёгкое и быстрое масштабирование, простое управление без необходимости расширения штата.

Подробнее с продуктом можно познакомиться на сайте компании.

Включён в реестр отечественного ПО (№ 8985 от 28.01.2021).

 

 

«Гарда WAF»

В апреле 2024 года группа компаний «Гарда» объявила о выпуске WAF собственной разработки. Ранее мы рассказывали, что она объединила ряд разработчиков систем безопасности в России, в том числе компанию Weblock. Новый продукт поставляется в виде облачного сервиса или дистрибутива для установки. Решение представляет собой автоматизированную платформу с опцией защиты API и позволяет бороться с атаками, утечками данных и уязвимостями, выявлять аномалии.

 

Рисунок 4. Схема работы «Гарда WAF»

 

Отличительные возможности продукта:

•  пропускает легитимные запросы пользователей и использует набор актуальных правил для обнаружения атак;
•  блокирует вредоносные запросы на ранней стадии обработки на основе различных атрибутов;
• останавливает или блокирует обращения к сервису, которые превышают лимит запросов в секунду, за счёт встроенных механизмов защиты от DDoS-атак;
• обнаруживает попытки получения доступа ко критически важным данным и выявления логических уязвимостей;
• определяет площадь атаки API-сервисов и блокирует вредоносные запросы, характерные для данного вида приложений.

Подробнее с решением можно познакомиться на сайте производителя.

Включено в реестр отечественного ПО (№ 18869 от 05.09.2023) и представлено как альтернативное наименование для «Weblock WAF». Осенью ожидается сертификация в ФСТЭК России.

 

 

«Континент WAF»

Представляет собой комплекс (как программно-аппаратный, так и программный) для защиты любых веб-приложений. Продукт использует машинное обучение и востребован благодаря ряду особенностей:

• наличие предустановленных правил;
• наличие дашборда для графического представления информации об атаках;
• безопасный удалённый доступ и защита каналов связи;
• межсетевое экранирование;
• защита от сетевых атак (с использованием модуля поведенческого анализа). Поддерживаются два режима: обнаружение и предотвращение.

Рисунок 5. Схемы работы «Континент WAF»

 

По словам разработчиков, одним из ключевых преимуществ является отказоустойчивость ПАК. Подробнее с продуктом можно ознакомиться на сайте компании.

Включён в реестр отечественного ПО (№ 5810 от 20.09.2019).

 

 

«Немезида ВАФ»

Продукт поставляется в виде облачного сервиса или дистрибутива для установки в контуре предприятия. Платформа использует машинное обучение в сочетании с сигнатурным анализом, чтобы повысить эффективность выявления атак.

 

Рисунок 6. Схема работы «Немезида ВАФ»

 

Возможности «Немезида ВАФ»:

• защита от угроз из перечней OWASP для веб-приложений и API;
• комбинированный анализ на основе сигнатур и машинного обучения;
• защита от DDoS L7, подбора паролей и паразитных ботов;
• собственная база IP-геолокации;
• сканер уязвимостей.

Разработчик платформы — компания со стопроцентным отечественным участием и бессрочной лицензией ФСТЭК России. Подробнее с продуктом можно познакомиться на сайте производителя.

Включён в реестр отечественного ПО (№ 4418 от 16.04.2018).

Сервисы Web Application Firewall

В этом разделе рассмотрим продукты, которые предоставляются в виде облачного сервиса.

 

 

Beeline Cloud WAF

Сервис позволяет обнаруживать и блокировать хакерские атаки на веб-приложения. Производитель предлагает несколько вариантов предоставления услуги. Возможно развёртывание как в облаке, так и на оборудовании заказчика. Управление осуществляется через личный кабинет. Есть возможность объединения трафика нескольких веб-приложений в один тариф.

 

Рисунок 7. Схема работы Beeline Cloud WAF

 

Возможности WAF:

• блокировка атак по OWASP Top 10;
• выявление атак «нулевого дня»;
• балансировка трафика;
• автоматическое обновление контента;
• виртуальный патчинг;
• защита от ботов;
• защита от атак на API;
• защита от DDoS-атак уровня веб-приложений.

Подробнее с сервисом можно познакомиться на сайте провайдера.

 

 

BI.ZONE WAF

В рамках импортозамещения может использоваться как альтернатива Cisco WAF, F5 Application Security, FortiWeb.

Возможности сервиса:

• выявление атак из OWASP Top 10;
• обеспечение защиты пользователей и API;
• блокировка DDoS-атак и бот-запросов.

Рисунок 8. Схема работы BI.ZONE WAF

 

Один из ключевых плюсов — аутсорсинг управления сервисом. Отслеживание инцидентов и реагирование на них берут на себя специалисты BI.ZONE. Подробнее с продуктом можно познакомиться на сайте провайдера.

Включён в реестр отечественного ПО (№ 8909 от 21.01.2021), имеет сертификат ФСТЭК России (№ 4632 от 15.12.2022).

 

 

PT Cloud Application Firewall

Облачный межсетевой экран, защищающий от кибератак, утечек данных, несанкционированного доступа к учётным записям. Для использования не нужно иметь специального оборудования и собственных ИБ-специалистов: все работы остаются на стороне сервисного провайдера. Поэтому решение подходит как для высокотехнологичных компаний, так и для малого и среднего бизнеса.

 

Рисунок 9. Варианты тарифов PT Cloud Application Firewall по запросам в секунду (RPS)

 

Ключевые возможности:

• выявление сложных многофазных атак;
• защита от DDoS-атак уровня веб-приложений;
• противодействие вредоносным ботам;
• блокирование атак «нулевого дня»;
• предотвращение загрузки вредоносных программ.

Подробнее с сервисом можно познакомиться на странице продукта.

 

 

Qrator.WAF

Облачное решение от компании Qrator Labs является интеллектуальным межсетевым экраном прикладного уровня нового поколения с использованием негативной и позитивной моделей безопасности. Распределённая инфраструктура узлов фильтрации WAF внутри периметра сети Qrator Labs позволяет защитить в том числе высоконагруженные приложения с минимальными задержками и гарантированной доступностью сервисов.

 

Рисунок 10. Схема работы Qrator.WAF

 

Использование максимально подробных моделей работы защищаемого приложения

наряду с сигнатурными и поведенческими методами обнаружения аномалий

обеспечивает высокую степень защиты как от простых видов атак, так и от сложных

направленных воздействий.

Функциональные особенности Qrator.WAF:

• высокий уровень защиты веб-сайтов и приложений;
• эффективное предотвращение ложных срабатываний;
• функции анализа бизнес-логики;
• возможность использования в активном цикле разработки (SDLC).

Подробнее с сервисом можно познакомиться на сайте провайдера.

 

 

StormWall WAF

Облачный сервис для защиты приложений с бизнес-логикой повышенной сложности (АСУ ТП, корпоративные порталы, информационные ресурсы, интернет-магазины).
StormWall также фильтрует DDoS-атаки на разных уровнях (от транспортного и сетевого до сеансового и уровня приложений) и защищает веб-ресурсы от нежелательных ботов (Anti-Bot). Продукт затрудняет прохождение опасного трафика до сервера благодаря собственной системе фильтрации Triple Filter. При атаке боты определяются в автоматическом режиме и отсеиваются от настоящих пользователей. При этом поддерживается непрерывная нормальная работа приложения.

 

Рисунок 11. Схема подключения StormWall WAF

 

Сервис можно подключить и использовать по одному из трёх сценариев: защита сайта, IP-адресов (TCP / UDP), сети.

Подробнее с сервисом можно ознакомиться на сайте компании.

 

 

T1 Cloud WAF

Сервис обеспечивает автоматический мониторинг трафика и защиту веб-приложений от сетевых угроз.

 

Рисунок 12. Схема работы T1 Cloud WAF

 

Особенности:

• возможность совмещения с сервисом защиты от DDoS-атак;
• защита веб-ресурсов, находящихся как в облаке Т1, так и на других площадках;
• обеспечение безопасности критически значимых веб-приложений.

Производитель обещает защиту от атак из OWASP Top 10, выполнение требований регуляторов и индивидуальное выстраивание защиты с помощью машинного обучения. Подробнее с сервисом можно познакомиться на сайте компании.

 

 

«МегаФон WAF»

«МегаФон WAF» предназначен для защиты веб-приложений от существующих и перспективных угроз. Услуга предоставляется по модели SaaS или в инфраструктуре заказчика.

 

Рисунок 13. «МегаФон WAF» из облака

 

Рисунок 14. «МегаФон WAF» в инфраструктуре клиента

 

Защищает от:

• несанкционированного доступа к данным;
• удалённого запуска кода;
• нарушений в безопасности веб-приложений.

Следить за работой сервиса можно в личном кабинете. Подробная информация есть на сайте компании.

 

 

Сервис защиты веб-приложений МТС RED

Сервис осуществляет анализ трафика в сторону защищаемых веб-ресурсов и приложений и блокирует все нелегитимные запросы в круглосуточном режиме. Отличительная особенность нового сервиса — поддержка высоконагруженных приложений (свыше 1000 RPS) и реализация выделенных инсталляций WAF под крупных заказчиков.

 

Рисунок 15. Схема работы сервиса защиты веб-приложений от МТС RED

 

Функциональность WAF от МТС RED:

• защита от новых и ранее неизвестных атак;
• защита от взлома веб-приложений и сайтов с целью кражи или подмены данных;
• блокировка атак OWASP Top 10 и DDoS уровня приложений;
• круглосуточная техническая поддержка силами экспертной команды.

Следить за работой сервиса можно в личном кабинете. Подробная информация есть на сайте компании.

 

 

Сервис защиты веб-приложений ГК «Солар»

Провайдер обещает эффективное противодействие атакам на веб-приложения за счёт многоступенчатой защиты, включая анализ трафика и блокировку атак. Сервис решает такие задачи, как быстрое и точное выявление основных угроз, расширенная защита от DDoS-атак уровня приложений, маскирование конфиденциальных данных и борьба с программами-роботами. Защита веб-порталов и поддержка решений по кибербезопасности обеспечиваются в круглосуточном режиме.

 

Рисунок 16. Схема работы сервиса защиты веб-приложений от ГК «Солар»

 

Функциональные возможности:

• защита от атак из списка OWASP Top 10;
• защита от DDoS-атак уровня приложений;
• контроль доступа к ресурсам;
• защита от SQL-инъекций, CSRF, XSS;
• оперативное выявление уязвимостей.

Подробнее с сервисом можно познакомиться на сайте провайдера.

Выводы

Большинство WAF-решений — комплексные, что позволяет минимизировать вероятность успешной атаки, а также обеспечить возможность своевременного реагирования. Также комплексность позволяет компаниям принимать превентивные меры против ИБ-инцидентов.

Примечательно, что вендоры предлагают «под ключ» в виде сервиса много решений, которые отлично подойдут небольшим компаниям. За специалистов по ИБ всё решит техническая поддержка облачного WAF. Облачные брандмауэры веб-приложений интересны также с точки зрения экономии бюджета компании.

Ещё одной особенностью современных WAF можно считать повсеместное внедрение алгоритмов искусственного интеллекта. Это позволяет точнее реагировать на атаки и выявлять уязвимости.

В условиях особого внимания к технологической независимости российский рынок WAF демонстрирует относительную устойчивость, способность предлагать конкурентоспособные и эффективные продукты, позволяющие обеспечивать защиту информации на высоком уровне. Можно смело сказать, что на данном этапе доступны решения для компании любого масштаба и любой сферы деятельности.

Авторы: Александр Наливайко, Екатерина Свириденко