Эффективность Web Application Firewall

Картинка: 

Согласно недавнему аналитическому исследованию, лучшая защита от уязвимостей и угроз для веб-приложений - профессиональное внедрение WAF (Web Application Firewall) и внедрение Dynamic Application Security Testing (DAST), создающих автоматические фильтры. Исследование также показало, что системы предотвращения вторжений (IPS), работающие с фильтрами DAST, также создают эффективный фаервол WAF.

Консультант по безопасности Ларри Суто провёл сравнительное исследование восьми файрволов для веб-приложений (WAF) и систем предотвращения вторжений (IPS), а также оценил их относительную эффективность в выявлении, регистрации и пресечении веб-атак.

Каждая из восьми систем оценивалась при помощи двух отдельных тестов. Первым делом проверяли насколько эффективно работали IPS или WAF против внешних атак при конфигурации, которая была настроена в течение одного дня или менее опытным специалистом по безопасности. Второе испытание выявило то, как работали IPS или WAF при обучении фильтрами DAST (NTOSpider).

В ходе исследования было протестировано каждое решение против одинакового набора веб-сайтов и прототипов веб-приложений, и чтобы подстраховаться эксперименты проводились с известными и хорошо знакомыми уязвимостями.

Выводы из тестов:
При настройке "по умолчанию", IPS решения были не очень эффективными при защите веб-приложений от уязвимостей. Однако, когда системы IPS работали с фильтрами DAST, их показатели улучшились в среднем на 60%, дойдя до уровня, а то и выше, чем отконфигурированные файрволы, общая эффективность блокировки в среднем достигла 82%.
Базово настроенные файрволы довольно эффективно обнаруживали и защищали от веб-атак. Наиболее эффективное решение обнаружило 88% уязвимостей, известных в тестовом приложении, средняя эффективность по всем решениям составила 79%. В среднем блокировалось на 19% больше уязвимостей когда фильтры DAST были применены к решениям WAF.
Исследование показало, что высококвалифицированному эксперту потребуется в среднем 3,5 часа для того, чтобы настроить WAF или достичь приемлемого уровня блокировки, это значительно больше времени, которое обычно тратят организации.

"Файрволы для веб-приложений могут быть очень ценной частью организации если они должным образом настроены и эффективно совмещены с DAST фильтрами, экономя время и значительно повышая их эффективность", - говорит Суто. "Я также обнаружил, что хотя системы предотвращения вторжения "по умолчанию" и не предназначены для защиты веб-приложений, их можно сделать очень полезными в качестве части более широкой стратегии безопасности или альтернативны WAF".

В исследовании рассматривались современные файрволы и системы IPS, как закрытые, так и с открытым исходным кодом. Тестировалось: Barracuda 360, Citrix NetScaler, DenyAll rWeb, F5 АНМ, Imperva SecureSphere, ModSecurity, Sourcefire Next-Generation IPS и неназванное IPS решение.

В ходе исследования был использован один продукт DAST, NTOSpider, который способен создавать фильтры для большинства из этих продуктов безопасности. Продукт NTODefend от NT OBJECTive был использован для создания фильтров.

xakep.ru