Tradycyjne Rozwiązania VS. Inteligentny WAF

Okazało się, że jesteś odpowiedzialny/a za ogólno pojęte bezpieczeństwo strony internetowej. Może nie słyszałeś/aś o LFI (Local File Inclusion), ale raczej obił ci się o uszy atak typu XSS (Cross Site Scripting), a już na pewno SQLi (SQL Injection). Przyszła pora na zabezpieczenie twojej strony. Co robisz? Ściągasz darmowego WAF’a, albo kupujesz Cloudflare i po sprawie. Teraz jesteś bezpieczny/a i możesz zapomnieć o problemie. Nieprawda.

Po wpisaniu Web Application Firewall w Googlu znajdziesz pewnie parędziesiąt firm oferujących WAF’a. Są takie rozwiązania, które można sobie ściągnąć za darmo, są takie za które trzeba zapłacić i takie, za które trzeba zapłacić trochę więcej. Większość nie lubi płacić, więc je ściąga. Wszystkie chronią przed zagrożeniami, o których mowa w OWASP Top 10, więc wszystkie są tak samo skuteczne. Nieprawda. Różnica w jakości ochrony jest i to dość spora. Zaraz wytłumaczę dlaczego.

Zacznijmy może od początku. Skąd się wzięły popularne rozwiązania WAF’a? Część z nich jest oparta na ModSecurity, czyli projekcie Open Source wydawanym na licencji Apache 2.0. To rozszerzenie, które powstało w 2002 roku i służyło do monitorowania ruchu HTTP w Apache, a następnie zostało również przystosowane do pracy w ramach innych webserwerów. ModSecurity jest najczęściej wykorzystywane z zestawem podstawowych reguł (Core Rule Set) udostępnianych przez projekt OWASP, czyli Open Web Application Security Project. Teraz trochę szczegółów o działaniu.

Zestawy reguł zbudowane są z tysięcy sygnatur,wzorów i wyrażeń regularnych. Dokonują one prostych dopasowań lub porównań ekspresji, aby wykryć popularne ataki jak SQLi, XSS czy inne ataki aplikacyjne. W czym problem? Funkcjonowanie obarczone jest ciągłą pracą nad regułami, modyfikowaniem ich, dodawaniem nowych i usuwaniem tych, które zaczynają blokować właściwy ruch i powodować błędy. (z angielskiego false positives)

Dzisiaj wielu dostawców usług Content Delivery Network takich jak Cloudflare, Fastly czy NGINX Load Balancer używa WAFa zbudowanego właśnie na ModSecurity. Wszystko po to żeby wypromować się jako centrum usług dla stron internetowych i firma od cyberbezpieczeństwa.

Grey Wizard jest inny. W przeciwieństwie do ModSecurity nasz Inteligenty WAF był zaprojektowany od zera, aby chronić automatycznie aplikacje webowe i API przed najgroźniejszymi czy najbardziej zaawansowanymi atakami. Nie zrozumcie nas źle. Sami uważamy, że Cloudflare dostarcza świetną usługę CDN i często sugerujemy to rozwiązanie naszym klientom, którzy wymagają globalnego dostępu dla klientów. Wtedy używają naszego WAF’a a CDN dostarcza im Cloudflare’a. To naszym zdaniem najlepsze rozwiązanie.

Sygnatury
Zatrzymuje znane ataki
Nieprzygotowany na nieznane ataki
Brak automatycznego przygotowania na ataki Zero-Day
Wymaga częstej pracy manualnej przy regułach
Bardzo łatwe do obejścia
Sygnatury + Nauczanie Maszynowe + Heurystyka + A.I.
Zatrzymuje znane ataki
Zatrzymuje NIEznane ataki
Przygotowany na ataki Zero-Day za pomocą A.I.
Niewymagana praca manualna
Ekstremalnie trudne do obejścia
Rozwiązania oparte tylko na sygnaturach

Tradycyjne WAFy często wykorzystują wyłącznie sygnatury pochodzące z darmowego zestawu reguł ModSecurity (Core Rule Set) albo ich komercyjnych alternatyw. To powoduje, że przeważnie zatrzymywane są tylko znane ataki, a w efekcie strona nadal może być pomyślnie zhakowana.

Grey Wizard WAF oprócz sygnatur używa też mechanizmów Machine Learning, Heurystyki i Sztucznej Inteligencji przez co jest odporny na obejścia. Właśnie za pomocą tych technologii chroni przed tak zwanymi zero-day exploits. Grey Wizard analizuje 63 różne metryki zachowań, przez co jest w stanie wychwycić ataki, które nie były wcześniej dokładnie zdefiniowane.

Żmudna manualna praca vs pełna automatyzacja

Tradycyjne rozwiązania wymagają żmudnej pracy manualnej, którą trzeba cyklicznie wykonywać. Najlepiej raz dziennie. Dodawanie nowych reguł, modyfikacje starych, usuwanie błędnych, szybka weryfikacji false positives, itp. To wymaga ciągłej czujności.

Nauczanie maszynowe to skuteczna technologia, która automatyzuje ten cały proces. “Doszkalanie ochrony” jest dokonywane co godzinę co powoduje, że system cały czas się uczy i optymalizuje ochronę. Dzięki niej, cenny czas można przeznaczyć na ciekawsze zadania.

Wgląd w ataki / incydenty

Tradycyjne WAFy czasami nawet nie oferują identyfikacji grup reguł lub w ogóle nie dają w wglądu w zatrzymane ataki.

Grey Wizard daje pełny wgląd w szczegóły każdego ataku czy incydentu wykrytego w ciągu ostatnich 30 dni z możliwością eksportowania danych do SIEM. Dodatkowo informuje jak dany atak/incydent został zatrzymany, skąd pochodzi i jaka reguła go zatrzymała.

Ochrona API

Tradycyjne WAFy nie mają możliwości prawidłowej analizy bardziej skomplikowanych formatów API takich jak REST/JSON/SOAP/XML. Wynikiem tego jest brak ochrony dla rozproszonych aplikacji.

Grey Wizard dokonuje głębokiej analizy każdego żądania Https (np.XML->JSON->Base64 itp)

Indywidualne podejście do klienta

Jednym z atutów Grey Wizard jest możliwość dużej modyfikacji dostarczanej usługi. Dopasowanie może wykraczać daleko poza spersonalizowane reguły. Dodatkowo nasi eksperci regularnie analizują charakterystykę ruchu każdego klienta i modyfikują tarczę w taki sposób, aby zapewnić maximum bezpieczeństwa. Tak profesjonalne podejście jest rzadko spotykane na rynku.

chcę otrzymać ofertę specjalną

Wypróbuj Grey Wizard na 10 dni.
Za darmo.

Zgłoszenie przyjęte

Skontaktujemy się z Tobą niezwłocznie po otrzymaniu wysłanych danych

×

Dla mediów

Podaj nam dane kontaktowe,
na które automatycznie wyślemy materiały.

Dziękujemy