Согласно недавнему аналитическому исследованию, лучшая защита от уязвимостей
и угроз для веб-приложений — профессиональное внедрение WAF (Web Application
Firewall) и внедрение Dynamic Application Security Testing (DAST), создающих
автоматические фильтры. Исследование также показало, что системы предотвращения
вторжений (IPS), работающие с фильтрами DAST, также создают эффективный фаервол
WAF.

Консультант по безопасности Ларри Суто провёл сравнительное исследование
восьми файрволов для веб-приложений (WAF) и систем предотвращения вторжений (IPS),
а также оценил их относительную эффективность в выявлении, регистрации и
пресечении веб-атак.

Каждая из восьми систем оценивалась при помощи двух отдельных тестов. Первым
делом проверяли насколько эффективно работали IPS или WAF против внешних атак
при конфигурации, которая была настроена в течение одного дня или менее опытным
специалистом по безопасности. Второе испытание выявило то, как работали IPS или
WAF при обучении фильтрами DAST (NTOSpider).

В ходе исследования было протестировано каждое решение против одинакового
набора веб-сайтов и прототипов веб-приложений, и чтобы подстраховаться
эксперименты проводились с известными и хорошо знакомыми уязвимостями.

Выводы из тестов:

  • При настройке "по умолчанию", IPS решения были не очень эффективными при
    защите веб-приложений от уязвимостей. Однако, когда системы IPS работали с
    фильтрами DAST, их показатели улучшились в среднем на 60%, дойдя до уровня,
    а то и выше, чем отконфигурированные файрволы, общая эффективность
    блокировки в среднем достигла 82%.
  • Базово настроенные файрволы довольно эффективно обнаруживали и защищали
    от веб-атак. Наиболее эффективное решение обнаружило 88% уязвимостей,
    известных в тестовом приложении, средняя эффективность по всем решениям
    составила 79%. В среднем блокировалось на 19% больше уязвимостей когда
    фильтры DAST были применены к решениям WAF.
  • Исследование показало, что высококвалифицированному эксперту потребуется
    в среднем 3,5 часа для того, чтобы настроить WAF или достичь приемлемого
    уровня блокировки, это значительно больше времени, которое обычно тратят
    организации.

"Файрволы для веб-приложений могут быть очень ценной частью организации если
они должным образом настроены и эффективно совмещены с DAST фильтрами, экономя
время и значительно повышая их эффективность", — говорит Суто. "Я также
обнаружил, что хотя системы предотвращения вторжения "по умолчанию" и не
предназначены для защиты веб-приложений, их можно сделать очень полезными в
качестве части более широкой стратегии безопасности или альтернативны WAF".

В исследовании рассматривались современные файрволы и системы IPS, как
закрытые, так и с открытым исходным кодом. Тестировалось:  Barracuda 360,
Citrix NetScaler, DenyAll rWeb, F5 АНМ, Imperva SecureSphere, ModSecurity,
Sourcefire Next-Generation IPS и неназванное IPS решение.

В ходе исследования был использован один продукт DAST, NTOSpider, который
способен создавать фильтры для большинства из этих продуктов безопасности.
Продукт NTODefend от NT OBJECTive был использован для создания фильтров.



Оставить мнение