Центр по развитию информационной безопасности Кибердом опубликовал результаты независимого тестирования WAF-продуктов. Цель проекта — поддержка импортозамещения ключевых средств ИБ в России, стимулирование совершенствования ИБ-продуктов, помощь в выборе качественных поставщиков и раскрытие функционала WAF-решений.
В результате независимой экспертизы рынок получил возможность узнать о ключевых особенностях WAF от различных производителей в рамках тест-кейсов, в то время как разработчики решений смогли собрать информацию для совершенствования своих продуктов. С подробными результатами WAF-тестирования можно ознакомиться на сайте проекта.
Для независимого тестирования WAF-решений по результатам опроса в отраслевых клубах CISO были выбраны продукты трех российских разработчиков: Solid Wall WAF, решение PT Application Firewall и «Гарда WAF». К тестированию также были приглашены другие вендоры — проект открыт для участия еще двух производителей WAF-решений. Проводили тестирование две независимые команды опытных пентестеров: Dete Act и Singleton Security.
Директор по развитию бизнеса Solid Lab/Solid Soft Вячеслав Железняков воспринял идею проекта с энтузиазмом: «Организация подобных тестирований — хорошая идея для того, чтобы распространять лучшие практики по использованию продуктов ИБ и упрощать взаимодействие между всеми участниками рынка. А для нас это еще одна возможность, как говорят, «других посмотреть и себя показать» — собрать актуальные требования пользователей к WAF и продемонстрировать потенциальным заказчикам уникальные особенности нашего решения».
Алексей Астахов, руководитель продуктов Application Security в Positive Technologies, также прокомментировал участие в проекте: «Это очень правильная и в то же время очень сложная задача. При построении реальной защиты WAF становится частью инфраструктуры и инструментом в руках команды безопасности. Поэтому к набору возможностей и стабильности этого инструмента относятся с пристальным вниманием и команда ИТ, и команда ИБ. Однако в первую очередь WAF — это экспертиза по защите, которая первой встречает хакера, и к ней предъявляются повышенные требования. И найти способ правильно и независимо ее оценить — нетривиальная задача, решение которой важно не только тем, кто защищается, но и тем, кто эту защиту создает».
Лука Сафонов, технический директор «Гарда WAF», называет проект по тестированию WAF-систем настоящим вызовом: «Проект для смелых и сильных. Все его участники не просто заявляют о своих разработках в красивой маркетинговой упаковке, но и открыто демонстрируют ее содержимое, предоставляют на тест-драйв и, более того, готовы дорабатывать в ответ на потребности заказчика. Главное преимущество этого «состязания» в объективности, ведь методология испытаний создавалась не членами некоего жюри, а совместными усилиями производителей, заказчиков и экспертов. Для нас участие в проекте — это вызов. Мы представили продукт аудитории лишь в начале апреля, но уже смело конкурируем с игроками рынка и, опять же, не на словах, а делом».
По результатам тестирования все участники смогли продемонстрировать часть основных возможностей своих средств защиты и сформулировать те аспекты, которые еще предстоит показать и проверить. Следующие этапы тестирования будут включать демонстрацию целого ряда ключевых функций и гарантий, которые дает решение.
Консультант проекта, основатель и генеральный директор CyberEd & Singleton Security Егор Богомолов поделился своими впечатлениями от первого WAF-дня в Кибердоме: «Первый этап тестирования абсолютно точно достиг своей цели! Привлек к интерес к актуальным возможностям WAF-средств и сформировал запросы от аудитории клиентов и экспертов о том, что нужно знать о WAF пользователям и лицам, принимающим решения. Это событие обогатило опыт индустрии и продолжит работу над поиском ответа на вопрос: "Каким должен быть зрелый продукт по защите приложений?"».
«Честная конкуренция в индустрии — это качественный отраслевой скачок. С помощью проекта мы хотим оказать поддержку вендорам, которые работают по направлению импортозамещения и разрабатывают критически необходимые продукты и технологии. По итогам WAF-дня заказчики получат независимую оценку качества продуктов, а вендоры найдут дополнительные пути для их совершенствования. Задача Кибердома — заложить фундамент этого проекта и развивать его, а также вместе с вендорами, клиентами, экспертами рынка и белыми хакерами совершенствовать методику тестирования», — комментирует Александра Шадюк, заместитель генерального директора Кибердома.
Независимый тест WAF стал первым в серии испытаний отечественных продуктов информационной безопасности. Результаты опубликованы на сайте проекта. Кибердом планирует и дальше проводить подобные тестирования и приглашает производителей WAF-решений присоединиться к следующим испытаниям.
.jpg)
.png)
.png)