Imperva waf

Confidential1 © 2014 Imperva, Inc. All rights reserved.

Решения Imperva WAF для защиты критически-важных бизнес-приложений.

Обзор основных угроз для Web

Шахлевич АлександрRSD Russia

[email protected]

mailto:[email protected]

© 2014 Imperva, Inc. All rights reserved. Confidential2

О чем говорят СМИ?

© 2014 Imperva, Inc. All rights reserved.

Industrialization of Hacking

Fraud

Hacktivism

DDoS


Независимая аналитика – Verizon DBIR 2014


Типы злоумышленников, в % от общего числа инцидентов


Мотивация и вектора атак\инцидентов, в % от общего числа инцидентов


Атаки на Web – самая распространенная разновидность атак


Обзор способов атак по различным вертикалям экономики


CISO Survey 2013: Угрозы и риски

https://owasp.org/index.php/CISO_Survey_2013:_Threats_and_risks

External threats are on the rise

More than 70% of CISOs noted that internal threats are staying pretty much on the same level, while over 80% can see external threats clearly on the rise…

…When reviewing which areas are the main areas of risk for their organizations, CISOs were very clear that Application Security concerns are now taking center stage in their risk management…

…CISOs could in fact clearly confirm that these threats are having negative impacts for their companies

The CISOs see more than 50% of their security risks coming from application security



Решения Imperva SecureSphere WAF


Вектора атак, Verizon DBIR 2013

Интеллектуальная собственность, конкурентные преимущества

Персональные данные, финансовая информация


Не забудьте защитить свой самый ценный актив – приложения, БД, файловые сервера!


InternalEmployees

Malicious InsidersCompromised Insiders

Data CenterSystems and Admins

Auditing and Reporting

AttackProtection

UsageAudit

User RightsManagement

AccessControl

Tech. AttackProtection

Logic AttackProtection

FraudPrevention

ExternalCustomers

Staff, PartnersHackers

Discovery &

Classification

Privileged User

Monitoring

Vulner

abili

ty

Scannin

g

Virtual

Patch

ing

User Rights Management

Assessment & Risk Management

Комплексный портфель решений

Единая комплексная платформа для защиты корпоративных информационных хранилищ и бизнес-систем


Комплексное решение для защиты данных

Простота развертывания и администрирования

Соответствие стандартам информационной безопасности, в том числе ФСТЭК №17, 21

Собственный исследовательский центр

Повышение эффективности

Imperva SecureSphere


Гранулированная многоуровневая защита

Простое внедрение в любую инфраструктуру

Удобное и простое управление с технологией Dynamic Profiling

И многое другое...


Пожалуй лучший Web Application Firewall


Dynamic Profiling

Attack Signatures

HTTP Protocol Validation

Cookie Protection

Web Fraud DetectionFraud Prevention

Technical Attack

Protection

Business Logic Attack Protection

Corr

ela

ted

Att

ack V

alid

ati

on

IP Geolocation

IP Reputation

Anti-Scraping Policies

Bot Mitigation Policies

Комплексная безопасность требует продуманной защиты приложений


Центр Imperva ADC исследует новые угрозы по всему миру

Imperva Application

Defense Center

Internal Users

SecureSphere

Web Servers

INTERNET

Системы SecureSphere обладают новейшими противомерами

Определение сканирования сети и самих атак с помощью сигнатур

Сигнатуры Imperva определяют попытки сканирования и сами атаки


SecureSphere надежно защищает от атак типа SQL Injection, XSS

Hacker SecureSphere WAF

/login.php?ID=5 or 1=1

SQL Injection

SQL Injection Engine with

Profile Analysis

Signature, Protocol

Violations

Блокирование однозначных соответствий,

отправка подозрительных

запросов на дополнительный

анализ

Продвинутый многоступенчатый анализ значительно снижает уровень ложных

срабатываний

SQL Injection Engine

блокирует даже

нетиповые атаки

Web Server


Анализируя трафик, SecureSphere автоматически

учит…

Directories

URLs

Параметры

Ожидаемое поведение

пользователя

Может как оповещать, так и блокировать отклонения от нормы

SecureSphere «изучает» все обращения к защищаемому приложению


1-Jun 6-Jun 11-Jun 16-Jun 21-Jun 26-Jun0

100

200

300

400

500

600

700 636

243

32 3376

55 40 25 21 11 13 28 24 1841 7 4 5 7 4 8 11 15 2 3 4 1

Сокращение сроков развертывания с месяцов до дней

Снимает нагрузку с администраторов 5-15 изменений в неделю равноценны 5-30

человекочасам конфигурирования

Дата

Изм

енени

е п

роф

ил

я

Изучение приложения и поведения

Адаптация к изменениям

Динамическое профилирование во времени


В момент слияния компания А взяла на поддержку информационные системы компании Б:

Стоимость доработки и исправления исчисляется миллионами и занимает длительный срок

Нельяза использовать в сетях общего пользования без должной защиты

Объединение компаний привело к объединению доменов и потребности дополнительной настройки прав доступа

Imperva SecureSphere WAF:

Закрытие уязвимостей

Периодическое сканирование позволяет поддерживать статус

Vulnerable Legacy Application

Наследуемые или устаревшие приложения


Dynamic Profiling

Attack Signatures

HTTP Protocol Validation

Cookie Protection

Web Fraud DetectionFraud Prevention

Technical Attack

Protection

Business Logic Attack Protection

IPS & NG Firewall Web Security Features

IP Geolocation

IP Reputation

Anti-Scraping Policies

Bot Mitigation Policies

Corr

ela

tion

(W

eb

Pro

file

C

orr

ela

tion

)

Высокий уровень ложных срабатываний из-за недостаточного понимания структуры и логики приложения

Легкая добыча для хакеров из-за уязвимостей самого приложения


Основные отличия Imperva WAF по мнению Gartner

Confidential© 2014 Imperva, Inc. All rights reserved.

Gartner MQ for Web Application Firewalls

24


WAF – единственный

ЛИДЕР в области

межсетевых экранов

для web-приложений*


Концепция WAF Testing Framework (WTF)

• Инструмент для определения реальной эффективности существующих IPS\NGFW\WAF в части защиты от атак на веб

• Комбинация легитимного и вредоносного трафика

• Оценка двух параметров:

• Блокировка полезного трафика (False Positives)

• Пропуск вредоносного трафика (False Negatives)

• Дает наглядное представление о балансе между безопасностью и непрерывностью бизнеса

• Скачивание и тестирование – бесплатно!


OWASP-TOP10, 2013


Что такое OWASP Top 10?


OWASP 2013 List




A1-Injection

OWASP Top 10 Definition

Injection flaws, such as SQL, OS, and LDAP injection, occur when an application sends untrusted data to an interpreter as part of a command or query. The attacker’s hostile data can trick the interpreter into executing unintended commands or accessing data without proper authorization.

Injection flaws are very prevalent, particularly in legacy code. The impact is usually very severe as the entire database can be read or modified.


A1 – Web Correlation Policy

The SQL injection defense algorithm developed by the ADC combines information from the Web Application Profile (positive security model) and matches this information with Attack Signatures (negative security model) using SecureSphere’s Correlated Attack Validation engine. SecureSphere using pre-defined signatures blocks additional injection attacks such as LDAP, XPath, and OS injection.

Examples of anomalies detected by the Web application profile security rules include:

• If an attacker attempts to change the values of parameters that were fixed by the Web application and should not be changed, SecureSphere will alert and block the request

• If a parameter length exceeds the expected maximum length, SecureSphere will alert and block such an evasion attempt

• If a parameter includes unexpected characters, such as quotation marks, angle brackets, and asterisks, that do not fit the application profile, SecureSphere will alert and block the request


A2 Broken Authentication and Session Management


Application functions related to authentication and session management are often not implemented correctly, allowing attackers to compromise passwords, keys, or session tokens, or to exploit other implementation flaws to assume other users’ identities.

Developers frequently build custom authentication and session management schemes, but building these correctly is hard. Authentication flaws may allow some or even all accounts to be attacked. Once successful, the attacker can do anything the victim could do. Privileged accounts are frequently targeted.


A2 Broken Authentication and Session Management cont.

SecureSphere stops session attacks such as:

• Session hijacking• Session fixation• Session tampering

• SecureSphere Tracks and Enforces Session Variables.• It learns Cookies and monitors cookie Tampering and Injection.• Application User Tracking attaches User to a session and associates a User with subsequent activity.• In Reverse Proxy, SecureSphere can sign and encrypt cookies.

Web Correlation Policy - Session Attribute Changes • Source IP Set to Exact Source IP

Cookie Signing Policy Set• Encrypt Cookie Value• Cookie Set to sessionid

Web Profile Policy• Cookie Injection enabled• Cookie Tampering enabled• Sessionid set to protect and injection selected


A3 Cross-Site Scripting (XSS)


Cross-Site Scripting (XSS) is the most prevalent Web application security flaw. XSS flaws occur whenever an application takes untrusted data and sends it to a Web browser without proper validation or escaping. XSS allows attackers to execute scripts in the victim’s browser which can hijack user sessions, deface Web sites, or redirect the user to malicious sites.

Detection of most XSS flaws is fairly easy via testing or code analysis


A3 Web Correlation Policy

SecureSphere Mitigation Summary

• Utilizing Positive (White List) and Negative (Black list) detection techniques• Accurate detection of suspicious XSS Keywords, Patterns and Signatures.• Dynamic Profiling builds accurate parameter usage baseline.• Input is normalized to detect different evasion attempts (HTML, Hex and Unicode encoding)• Out-Of-The-Box Web-Correlation XSS policy.

Imperva waf

Technology

Transcript of Imperva waf