Программа поддается более тонкой настройке и защищает от клиентских атак и прикладных DDoS-атак, отслеживает посетителей по GeoIP, выявляет хакерские инструменты, упрощает расследование инцидентов. Защита от прикладных DDoS-атак DDoS-атаки на уровне приложения не требуют от злоумышленника значительных ресурсов, а противодействовать им все сложнее. Боты начинают массово поддерживать веб-протоколы и эмулировать браузер, что затрудняет применение традиционных методов борьбы.
В новой версии PT AF используется механизм защиты от DDoS-атак на прикладном уровне, где используются технологии машинного обучения. Все события разделены на два этапа: обнаружение признаков отказа в обслуживании и поиск атакующего. Также приложение поддерживает интеграцию со специализированным решением для защиты от DDoS-атак Arbor Peakflow. Список подозрительных посетителей отправляется в систему Arbor, администратор которой может заблокировать конкретные IP-адреса на определенный промежуток времени.
Обширный набор правил новой версии позволяет выявлять атаки по наличию в трафике нескольких атомарных условий. Например, правила для SAP NetWeaver покрывают множество известных уязвимостей, обеспечивают контроль утечек данных, защищают от сканеров. Поддерживается также выявление атак на SAP ICM, SAP Management Console, SAP SOAP RFC. Однако главное отличие нового механизма Rule Engine — возможность создавать правила самостоятельно, в том числе для всех известных уязвимостей из словаря CVE. Данная возможность позволяет решать множество задач, не обращаясь к разработчику межсетевого экрана.
Атаки на пользователей, такие как XSS, CSRF, Clickjacking, являются одной из важнейших проблем безопасности веб-приложений. Межсайтовому выполнению сценариев (XSS) в 2014 году были подвержены 54% исследованных Positive Technologies систем ДБО, а в 2015 году — 30%. С помощью XSS злоумышленник может перехватить вводимые на странице данные кредитной карты (вместе с CVC-кодом), украсть сессию, изменить реквизиты для банковского перевода. В новой редакции Application Firewall была обеспечена блокировка (а не только выявление) атак DOM XSS, которые считаются наиболее сложными для определения автоматизированными средствами защиты. Для этой и других атак на клиента был добавлен JavaScript-модуль для защиты на стороне клиента (waf.js), который запускается в браузере пользователя после первого посещения защищаемого сайта. Среди других возможностей waf.js: обнаружение ботов с возможностью рендеринга страниц и выявление клиентов, использующих инструменты для анализа защищенности веб-приложений (Burp Suite, ZAP Proxy, Acunetix, Netsparker и др.). Кроме того, модуль waf.js позволил расширить возможности по защите от CSRF-атак путем вставки токенов в динамические формы на клиентской стороне.
Среди других изменений версии 3.3 стоит отметить интеграцию с PT MultiScanner с целью обнаружения вирусов в файлах, загруженных на веб-портал. «Система PT Application Firewall становится не только функциональнее и удобнее, но и быстрее, — отмечает Олег Матыков, руководитель направления безопасности приложений Positive Technologies. — Скорость обработки защищенного трафика выросла на 30% за счет новой линейки аппаратных платформ. Благодаря рефакторингу эвристического модуля пользователи могут сократить время обучения под трафик приложения. Легче стало конфигурировать систему, что позволяет сэкономить время инженеров. В ближайших планах — улучшение защиты от ботов, интеграция с DBFW, появление полноценного пассивного сканера и других важных модулей».
.jpg)
