Imperva waf

Решения Imperva WAF для защиты
критически-важных бизнес-приложений.
Обзор основных угроз для Web
Шахлевич Александр
RSD Russia
Alexandr.Shakhlevich@imperva.com
© 2014 Imperva, Inc. All rights reserved.
1 Confidential

О чем говорят СМИ?
2 Confidential

Industrialization
of Hacking
Fraud
Hacktivism
DDoS

Независимая аналитика – Verizon DBIR 2014
4 Confidential

Типы злоумышленников, в % от общего
числа инцидентов
5 Confidential

Мотивация и вектора атакинцидентов, в
% от общего числа инцидентов
6 Confidential

Атаки на Web – самая распространенная
разновидность атак
7 Confidential

Обзор способов атак по различным
вертикалям экономики
8 Confidential

CISO Survey 2013: Угрозы и риски
The CISOs see more than 50% of their security
risks coming from application security
9 Confidential
https://owasp.org/index.php/CISO_Survey_2013:_Threats_and_risks
External threats are on the rise
More than 70% of CISOs noted that internal
threats are staying pretty much on the same
level, while over 80% can see external threats
clearly on the rise…
…When reviewing which areas are the main
areas of risk for their organizations, CISOs were
very clear that Application Security concerns are
now taking center stage in their risk
management…
…CISOs could in fact clearly confirm that these
threats are having negative impacts for their
companies

Решения Imperva SecureSphere WAF
10 Confidential

Вектора атак, Verizon DBIR 2013
Персональные данные,
финансовая
информация
Интеллектуальная
собственность,
конкурентные
преимущества

Не забудьте защитить свой самый ценный
актив – приложения, БД, файловые сервера!

Комплексный портфель решений
Единая комплексная платформа для защиты корпоративных
информационных хранилищ и бизнес-систем
Internal
Employees
Malicious Insiders
Compromised Insiders
Data Center
Systems and Admins
Auditing and
Reporting
Attack
Protection
Usage
Audit
User Rights
Management
Access
Control
Tech. Attack
Protection
Logic Attack
Protection
Fraud
Prevention
External
Customers
Staff, Partners
Hackers
User Rights
Management
Assessment & Risk Management

Imperva SecureSphere
 Комплексное решение для
защиты данных
 Простота развертывания и
администрирования
 Соответствие стандартам
информационной безопасности,
в том числе ФСТЭК №17, 21
 Собственный
исследовательский центр
 Повышение эффективности

Пожалуй лучший Web Application Firewall
Гранулированная
многоуровневая защита
Простое внедрение в любую
инфраструктуру
Удобное и простое
управление с технологией
Dynamic Profiling
И многое другое...

Комплексная безопасность требует
продуманной защиты приложений
Dynamic Profiling
Attack Signatures
HTTP Protocol Validation
Cookie Protection
IP Reputation
Anti-Scraping Policies
Bot Mitigation Policies
Web Fraud Detection
Technical Attack
Protection
Business Logic
Attack Protection
Fraud Prevention
Correlated Attack Validation
IP Geolocation

Сигнатуры Imperva определяют попытки
сканирования и сами атаки
Центр Imperva
ADC исследует
новые угрозы
по всему миру
Imperva Application
Defense Center
Internal Users
Web Servers
SecureSphere
INTERNET
Системы
SecureSphere
обладают
новейшими
противомерами
Определение сканирования сети и самих
атак с помощью сигнатур

SecureSphere надежно защищает от атак
типа SQL Injection, XSS
Hacker SecureSphere
WAF
/login.php?ID=5 or 1=1
SQL Injection
Engine
блокирует даже
нетиповые
атаки
SQL Injection SQL Injection
Engine with
Profile Analysis
Signature,
Protocol
Violations
Блокирование
однозначных
соответствий, отправка
подозрительных
запросов на
дополнительный анализ
Продвинутый многоступенчатый анализ значительно
снижает уровень ложных срабатываний
Web
Server

SecureSphere «изучает» все обращения
к защищаемому приложению
Анализируя трафик, SecureSphere
Параметры
автоматически учит…
Directories
URLs
Ожидаемое
поведение
пользователя
Может как оповещать, так и блокировать
отклонения от нормы

Динамическое профилирование во времени
 Сокращение сроков развертывания с месяцов до дней
 Снимает нагрузку с администраторов
 5-15 изменений в неделю равноценны 5-30 человекочасам
конфигурирования
700
600
500
400
300
200
100
0
636
243
32
33
76
55 40 25 21 11 13 28 24 18
1-Jun 6-Jun 11-Jun 16-Jun 21-Jun 26-Jun
41
7 4 5 7 4 8 11 15 2 3 4 1
Дата
Изменение профиля
Изучение
приложения и
поведения
Адаптация к
изменениям

Наследуемые или устаревшие приложения
В момент слияния компания А взяла на поддержку
информационные системы компании Б:
 Стоимость доработки и исправления
исчисляется миллионами и занимает
длительный срок
 Нельяза использовать в сетях общего
пользования без должной защиты
 Объединение компаний привело к объединению
доменов и потребности дополнительной
настройки прав доступа
Imperva SecureSphere WAF:
 Закрытие уязвимостей
 Периодическое
сканирование позволяет
поддерживать статус
Vulnerable Legacy Application

IPS & NG Firewall Web Security Features
Dynamic Profiling
Attack Signatures
HTTP Protocol Validation
Cookie Protection
IP Reputation
Anti-Scraping Policies
Bot Mitigation Policies
Web Fraud Detection
Technical Attack
Protection
Business Logic
Attack Protection
Fraud Prevention
IP Geolocation
Correlation (Web Profile Correlation)
 Высокий уровень ложных срабатываний
из-за недостаточного понимания
структуры и логики приложения
 Легкая добыча для хакеров из-за
уязвимостей самого приложения

Основные отличия Imperva WAF по
мнению Gartner

Gartner MQ for Web Application Firewalls
24 Confidential
WAF – единственный
ЛИДЕР в области
межсетевых экранов
для web-приложений*

Концепция WAF Testing Framework (WTF)
• Инструмент для определения реальной
эффективности существующих IPSNGFWWAF в
части защиты от атак на веб
• Комбинация легитимного и вредоносного трафика
• Оценка двух параметров:
• Блокировка полезного трафика (False Positives)
• Пропуск вредоносного трафика (False Negatives)
• Дает наглядное представление о балансе между
безопасностью и непрерывностью бизнеса
• Скачивание и тестирование – бесплатно!

OWASP-TOP10, 2013
26 Confidential

Что такое OWASP Top 10?
27 Confidential

OWASP 2013 List
28 Confidential
https://owasp.org/index.php/CISO_Survey_2013:_Threats_and_risks

A1-Injection
OWASP Top 10 Definition
Injection flaws, such as SQL, OS, and LDAP injection, occur when an application
sends untrusted data to an interpreter as part of a command or query. The
attacker’s hostile data can trick the interpreter into executing unintended
commands or accessing data without proper authorization.
Injection flaws are very prevalent, particularly in legacy code. The impact is
usually very severe as the entire database can be read or modified.
29 Confidential

A1 – Web Correlation Policy
The SQL injection defense algorithm developed by the ADC combines information from
the Web Application Profile (positive security model) and matches this information with
Attack Signatures (negative security model) using SecureSphere’s Correlated Attack
Validation engine. SecureSphere using pre-defined signatures blocks additional injection
attacks such as LDAP, XPath, and OS injection.
Examples of anomalies detected by the Web application profile security rules include:
• If an attacker attempts to change the values of parameters that were fixed by the Web
application and should not be changed, SecureSphere will alert and block the request
• If a parameter length exceeds the expected maximum length, SecureSphere will alert
and block such an evasion attempt
• If a parameter includes unexpected characters, such as quotation marks, angle brackets,
and asterisks, that do not fit the application profile, SecureSphere will alert and block
the request
30 Confidential

A2 Broken Authentication and Session Management
Application functions related to authentication and session management are often
not implemented correctly, allowing attackers to compromise passwords, keys, or
session tokens, or to exploit other implementation flaws to assume other users’
identities.
Developers frequently build custom authentication and session management
schemes, but building these correctly is hard. Authentication flaws may allow some or
even all accounts to be attacked. Once successful, the attacker can do anything the
victim could do. Privileged accounts are frequently targeted.
31 Confidential

A2 Broken Authentication and Session Management cont.
Web Correlation Policy - Session Attribute Changes
• Source IP Set to Exact Source IP
Cookie Signing Policy Set
• Encrypt Cookie Value
• Cookie Set to sessionid
SecureSphere stops session attacks such as:
• Session hijacking
• Session fixation
• Session tampering
Web Profile Policy
• Cookie Injection enabled
• Cookie Tampering enabled
• Sessionid set to protect and injection selected
• SecureSphere Tracks and Enforces Session Variables.
• It learns Cookies and monitors cookie Tampering and Injection.
• Application User Tracking attaches User to a session and associates a User with subsequent activity.
• In Reverse Proxy, SecureSphere can sign and encrypt cookies.
32 Confidential

A3 Cross-Site Scripting (XSS)
Cross-Site Scripting (XSS) is the most prevalent Web application security flaw. XSS
flaws occur whenever an application takes untrusted data and sends it to a Web
browser without proper validation or escaping. XSS allows attackers to execute
scripts in the victim’s browser which can hijack user sessions, deface Web sites, or
redirect the user to malicious sites.
Detection of most XSS flaws is fairly easy via testing or code analysis
33 Confidential

A3 Web Correlation Policy
SecureSphere Mitigation Summary
• Utilizing Positive (White List) and Negative (Black list) detection techniques
• Accurate detection of suspicious XSS Keywords, Patterns and Signatures.
• Dynamic Profiling builds accurate parameter usage baseline.
• Input is normalized to detect different evasion attempts (HTML, Hex and Unicode encoding)
• Out-Of-The-Box Web-Correlation XSS policy.
34 Confidential

Вопросы?
 www.imperva.com
 Alexandr.shakhlevich@imperva.com
35 Confidential

Imperva waf

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (20)

Similar to Imperva waf

Similar to Imperva waf (20)

Imperva waf

Editor's Notes