PT Application Firewall

Positive Technologies Application Firewall (PT AF) - динамический межсетевой экран, который снижает риски атак при их появлении, так же изучает особенности трафика и деятельности пользователей, взаимодействующих с бизнес-приложениями, и использует полученные данные для обнаружения потенциальных атак. Система сочетает в себе традиционные методы черного и белого списков с новейшим подходом к самообучению.
PT AF может блокировать на 30% больше сетевых атак, чем другие экраны, благодаря нескольким новым технологиям безопасности:

  • Быстрая адаптация к вашей системе
  • Акцент на основных угрозах
  • Устранение угроз без обновления ПО
  • Поведенческий анализ против роботов

Дополнительные возможности

  • Защита от всех распространенных уязвимостей по классификации OWASP и WASC, включая SQLi, XSS и XXE, а также от популярных атак HTTP Request Splitting, Clickjacking и сложных клиентских атак (DOM-based XSS)
  • Проактивная защита запросов, данных и cookie-файлов позволяет блокировать такие атаки, как CSRF, даже если противодействие им было упущено разработчиками
  • Выполнение требований стандарта ЦБ РС БР ИББС-2.6-2014, приказов ФСТЭК No 17 и 21 и стандарта PCI DSS
  • Эффективное встраивание в СУИБ организации: интеграция с антивирусами  и  DLP,  анти-DDoS и SIEM, а также со всеми продуктами PT AppSec Ecosystem
  • Механизмы антифрода, помимо защиты об ботов, включают репутационный и профайлинговый сервисы, которые выявляют аномальное поведение клиента (например, вход с необычного адреса)
  • Поддержка политики безопасности контента (Content Security Policy, CSP)
  • Работа с SSL-трафиком как дополнительный уровень защиты

Application Firewall: принцип действия

Positive Technologies Application Firewall

  • Отслеживание активности пользователей: позволяет идентифицировать (fingerprint) пользователя, браузер и связанную с ними активность для обнаружения программ - роботов и автоматизированных инструментов, а также контролировать доступ через списки контроля доступа и предотвращать интернет-мошенничество.
  • Web Engine: встроенный модуль динамического тестирования безопасности приложений (dynamic application security testing, DAST), предназначенный для активной идентификации компонентов приложений (CMS, фреймворка, библиотек), подготовки самообучающегося ядра и обнаружения уязвимостей в приложении. Он может работать в режиме реального времени для быстрой проверки уязвимостей, которые «прощупывают» злоумышленники.
  • Пассивное сканирование: идентифицирует в пассивном режиме компоненты приложений (CMS, фреймворки, библиотеки) для настройки модуля нормализации и обнаружения утечки данных и известных уязвимостей на базе CVE.
  • Механизм нормализации: переписывает данные и заголовки HTTP-запросов так, чтобы они соответствовали формату защищаемых веб-приложений и их компонентов (веб-сервера, языка, фреймворка), для того чтобы предотвратить обход защиты при помощи HPP, HPC и других атак, связанных с манипуляцией данными.
  • Механизм виртуального патчинга: автоматически создает виртуальный патч на основе данных системы анализа исходного кода PT Application Inspector.
  • Интеграция со сторонними решениями: PT AF использует встроенное антивирусное ядро и правила обнаружения конфиденциальной информации, но может быть при необходимости интегрирован со сторонним антивирусом и DLP-решением. Для борьбы с DDoS-атаками межсетевой экран может сообщать задействованные в атаке IP-адреса специализированным программам, например решениям Arbor Networks.
  • Черный и белый списки: обычные правила безопасности, основанные на сигнатурах, могут создаваться автоматически путем интеграции со статическими и динамическими инструментами тестирования безопасности приложений (application security testing) или движками обнаружения аномалий (anomaly detection).
  • Эвристика: при помощи самообучающихся алгоритмов искусственного интеллекта PT AF постоянно отслеживает структуру и параметры приложений для обнаружения обычных атак и атак нулевого дня.
  • Обнаружение аномалий, мошенничества и программ-роботов: модули PT AF позволяют защититься от интернет-мошенничества, автоматизированного сбора данных и подбора URL, а также обнаруживать подозрительную активность пользователей или серверов, например множественный вход пользователей и выполнение однотипных действий.
  • Корреляция: позволяет уменьшить количество срабатываний и приоритизировать важные инциденты на основе идентифицированных особенностей приложений, уязвимостей, отслеживания пользователей и истории атак. Выстраивает метрику цепочек атак для упрощения расследования инцидентов

Подробнее о продукте Positive Technologies Application Firewall