InfoWatch Attack Killer для комплексной защиты от целенаправленных атак на веб-приложения

Защита от новых угроз — сложных, комплексных и целенаправленных — это серьезная задача для коммерческих и государственных организаций. Классические методы не всегда эффективны, к тому же в вопросах информационной безопасности бизнеса по-прежнему силен человеческий фактор. InfoWatch Attack Killer — решение для непрерывной защиты от сложных современных атак на веб-приложения, нивелирующее человеческий фактор.

 

 

 

1. Введение

2. Описание решения

3. Состав решения

4. Преимущества решения

5. Выводы

 

 

Введение

Современный бизнес сложно представить без веб-сервисов — интернет-банки, интернет-магазины, социальные сети и многие другие веб-приложения являются основой многих сфер предпринимательства. Однако выпуск обновлений зачастую происходит в авральном режиме, в результате чего вопросам безопасности внимание уделяется по остаточному принципу. Кроме того, даже если владельцам бизнеса и известно о существующих уязвимостях, потенциальная прибыль чаще всего заставляет их закрыть глаза на риск взлома. В результате сайты остаются уязвимыми для самых разных атак.

В арсенале преступников есть различные инструменты нарушения целостности, конфиденциальности или доступности ресурса. Выбор злоумышленников зависит от их конечной цели: кража информации, перенаправление транзакций, мошенничество и воровство, компрометация персональных данных, вывод из строя критически важного для бизнеса веб-ресурса и т. д.

Изобретательность мошенников безгранична, и компании периодически несут ущерб от новых видов атак. Защита же, как правило, идет на шаг позади, предлагая решение тогда, когда инцидент уже произошел и десятки компаний потеряли свои деньги. Для «повышения эффективности» злоумышленники не только изобретают новые подходы, но и реализовывают целенаправленные атаки, учитывающие специфику архитектуры защиты в конкретной организации.

Мошенники выбирают конкретную жертву и планомерно осуществляют взлом, проходя все стадии от предварительной подготовки и исследования инфраструктуры до социальной инженерии и внедрения вредоносного кода замедленного действия. В таком случае базовые средства защиты просто бессильны. Что же делать бизнесу?

Классическое решение — найм специалистов разного профиля для обеспечения эшелонированной защиты от таргетированных атак. Для защиты веб- и внутренней инфраструктуры компании потребуется квалифицированный аудитор исходного кода веб-приложений, администратор средств защиты информации, специалисты по мониторингу и анализу уязвимостей, круглосуточная служба оперативного реагирования и т. д. Возникает несколько проблем: во-первых, это требует существенных финансовых затрат, причем не только на оплату труда, но и на покупку и внедрение средств защиты информации; во-вторых, оставаясь на позициях «догоняющих», даже целая армия специалистов и решений не справится с неизвестной им угрозой. При этом остаются проблемы в виде человеческого фактора и регулярных изменений объектов защиты.

Группа компаний InfoWatch предложила рынку решение этой проблемы. В партнерстве с резидентами «Сколково», российскими компаниями Qrator и Wallarm, было разработано совместное решение для обеспечения непрерывной комплексной защиты от таргетированных атак на веб-приложения — InfoWatch Attack Killer.

 

Описание решения

InfoWatch определили для себя новую нишу в информационной безопасности — Continuous security — активная непрерывная безопасность постоянно изменяющихся объектов защиты. InfoWatch Attack Killer объединяет технологии четырех вендоров программного обеспечения, предназначенного для защиты от различных угроз. При этом InfoWatch Attack Killer — это не набор разрозненных технологий, а комплексная система защиты веб-приложений, в которой технологии защиты информации тесно взаимосвязаны между собой. Они обмениваются информацией, вырабатывают общие реакции на обнаруженные атаки, централизованно управляются и настраиваются из единой консоли.

InfoWatch Attack Killer включает в себя четыре основных эшелона защиты:

  • защита от DDoS-атак;
  • Web Application Firewall;
  • анализатор исходного кода;
  • детектор таргетированных атак внутри компании.


Состав решения

Внешним уровнем защиты является InfoWatch Attack Killer AntiDDoS — технологии защиты от DDoS-атак, предоставляемые компанией Qrator Labs. Основной принцип ее работы состоит в том, что весь трафик, идущий к веб-сайту, перенаправляется на специальные фильтрующие узлы, расположенные на магистралях интернет-провайдеров по всему миру. Фильтры эвристически анализируют проходящий трафик и при обнаружении признаков DDoS-атаки отфильтровывают зловредные запросы, при этом легитимные пользователи не испытывают затруднений в доступе к веб-сервису. Даже в случае атаки со стороны офицера безопасности не потребуется никаких действий.

 

Рисунок 1. Состав решения InfoWatch Attack Killer

Состав решения InfoWatch Attack Killer

 

Следующим эшелоном после AntiDDoS выступает InfoWatch Attack Killer Web Application Firewall (WAF), базирующийся на технологии Wallarm. Эта отечественная компания возникла как стартап несколько лет назад, но уже получила признание на российском рынке. Технология Wallarm обеспечивает фильтрацию всего трафика веб-сервиса и поиск признаков атак, объединяя привычную защиту веб-приложения с непрерывным поиском в нем уязвимостей. Состояние рынка WAF и описание продукта от Wallarm представлены в нашем обзоре.

Предпоследним звеном в решении является InfoWatch Attack Killer Custom Code Scanner (CCS) — разработка компании Appercut Security, входящей в группу компаний InfoWatch. InfoWatch Attack Killer Custom Code Scanner анализирует исходный код, выявляя уязвимые элементы и конструкции. Краткий обзор продукта представлен на нашем сайте в рамках обзора рынка анализаторов исходного кода.

Комбинация из трех вышеописанных решений позволяет обеспечить процесс непрерывной защиты в жизненном цикле веб-приложения — тот самый принцип Continuous Security.

 

Рисунок 2. Комплексная защита веб-инфраструктуры с помощью InfoWatch Attack Killer

Комплексная защита веб-инфраструктуры с помощью InfoWatch Attack Killer

 

Безопасность начинается на этапе разработки. При выпуске обновлений исходный код проверяется модулем CCS, который передает информацию о найденных уязвимостях на модуль WAF. Благодаря встроенному динамическому сканеру уязвимостей WAF выделяет критичные уязвимости и создает временное исправление, т. н. виртуальный патчинг. На основе информации о найденных уязвимостях формируется отчет для офицера безопасности, а для программистов заводятся задания в корпоративной системе учета ошибок для исправления проблемных частей кода.

 

Рисунок 3. Цикл безопасной разработки веб-приложений с помощью InfoWatch Attack Killer

Цикл безопасной разработки веб-приложений с помощью InfoWatch Attack Killer

 

Список атакуемых IP-адресов может передаваться в модуль AntiDDoS для снижения количества правил фильтрации на WAF и отсечения ботов злоумышленника. Это повышает скорость работы средств защиты и снижает задержки в обслуживании пользователей.

Зачастую веб-инфраструктура компании — это лишь точка входа для злоумышленников, и самые трудные и опасные этапы сложных таргетированных атак происходят внутри, на рабочих станциях сотрудников.

Последний эшелон — InfoWatch Attack Killer Targeted Attack Detector (TAD), основанный на решениях компании Cezurity, также входящей в группу компаний InfoWatch. Модуль TAD обеспечивает раннее обнаружение признаков таргетированных атак на серверах и рабочих станциях под управлением операционной системы Windows. Продукт Cezurity ведет непрерывный мониторинг ИТ-инфраструктуры и на основе контекстного анализа изменений и анализа аномалий на ранних стадиях выявляет скрытую зловредную активность, не детектируемую базовыми средствами защиты.

 

Рисунок 4. Интерфейс модуля Targeted Attack Detector в InfoWatch Attack Killer

Интерфейс модуля Targeted Attack Detector в InfoWatch Attack Killer

 

Технологии, входящие в InfoWatch Attack Killer, тесно взаимосвязаны и управляются из единой веб-консоли. В веб-интерфейсе решения специалисты заказчика могут ознакомиться с наглядными и детализированными отчетами об отраженных атаках, обнаруженных уязвимостях, попытках их эксплуатации и выявленных аномалиях.

 

Рисунок 5. Сводный отчет в InfoWatch Attack Killer

Сводный отчет в InfoWatch Attack Killer

 

Преимущества решения

Основным преимуществом решения InfoWatch Attack Killer является то, что управление продуктами не требует постоянного внимания со стороны специалистов заказчика. Большая часть действий комплекса автоматизирована, и атаки отражаются автоматически. В своем решении InfoWatch максимально нивелирует человеческий фактор, порой губительный в процессе защиты от DDoS-атак. Определенные действия требуются только со стороны программистов веб-приложений, которым необходимо с помощью предоставленных рекомендаций устранять уязвимости в исходном коде. Активно действующие механизмы самообучения позволяют выпускать даже уязвимые обновления для веб-приложений, при этом гарантируя приемлемый уровень защищенности от таргетированных атак.

Еще одно неоспоримое преимущество InfoWatch Attack Killer состоит в том, что уникальные технологии анализа и самообучения способны обеспечить защиту даже от неизвестных угроз.

Также плюсом InfoWatch Attack Killer является независимость модулей — заказчики могут использовать любой набор технологий, входящих в состав решения. При этом подключить ранее не используемые модули можно в любой момент, и это не вызовет необходимость в сложной перенастройке всей системы.

 

Рисунок 6. Обзор модулей в InfoWatch Attack Killer

Обзор модулей в InfoWatch Attack Killer

 

За счет использования исключительно отечественных продуктов InfoWatch Attack Killer помогает выполнять требования регуляторов — приказы ФСТЭК №21 и №17, стандарт Банка России по обеспечению информационной безопасности (СТО БР ИББС), PCI DSS — и отвечает требованиям по импортозамещению ИТ-продуктов в государственном секторе.

InfoWatch Attack Killer проходит апробацию в различных коммерческих и государственных организациях, многие заказчики уже внедрили решение и защитили тем самым собственные веб-приложения. С помощью решения InfoWatch финансовые организации обеспечивают безопасность интернет-банков для клиентов — физических лиц. Общее время внедрения, по заявлениям специалистов банков, составляет менее одного рабочего дня. Процесс интеграции проходит быстро и незаметно для инфраструктуры заказчика, а результаты клиент получает почти мгновенно — в первые же сутки в коде некоторых интернет-банков были обнаружены критические уязвимости, оперативно исправленные программистами на основе отчета InfoWatch Attack Killer.

 

Выводы

InfoWatch Attack Killer — новое решение на российском рынке, меняющее подход к защите от таргетированных атак на веб-приложения. Оно интегрирует в себе защиту от DDoS-атак (Qrator Labs), Web Application Firewall (Wallarm), анализатор исходного кода (Appercut Security) и детектор таргетированных атак для рабочих станций (Cezurity).

Переход от отдельных продуктов к продаже готовых комплексных систем, способных полностью решить задачи бизнеса с минимальными усилиями, — это значительный шаг вперед для компании InfoWatch и российского рынка информационной безопасности в целом.

InfoWatch Attack Killer устраняет многие проблемы заказчиков — упрощает обеспечение безопасности и предлагает высокий уровень защиты. Синергия современных технологий позволяет InfoWatch Attack Killer оперативно реагировать на атаки, а также обеспечивать высокий уровень защиты от новых векторов угроз, не требуя активных действий со стороны специалистов заказчика.

Кроме того, InfoWatch Attack Killer включает в себя модули исключительно отечественной разработки и вписывается в общий тренд, направленный на импортозамещение и использование российских программных средств. Когда вендор отчетливо понимает требования регуляторов — ФСТЭК и Банка России, — ему проще привести инфраструктуру и веб-приложения в соответствие с ними.

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru

Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.