Upload
alexandr-shakhlevich
View
459
Download
8
Embed Size (px)
DESCRIPTION
Презентация продукта Web Application Firewall (WAF) от одного из "пионеров" и нынешнего лидера* отрасли (*по версии квадранта Gartner для WAF от 2014 года) Russian presentation of WAF solution from the leader of the market (*according to Gartner MG from 2014).
Citation preview
Confidential1 © 2014 Imperva, Inc. All rights reserved.
Решения Imperva WAF для защиты критически-важных бизнес-приложений.
Обзор основных угроз для Web
Шахлевич АлександрRSD Russia
© 2014 Imperva, Inc. All rights reserved. Confidential2
О чем говорят СМИ?
© 2014 Imperva, Inc. All rights reserved.
Industrialization of Hacking
Fraud
Hacktivism
DDoS
© 2014 Imperva, Inc. All rights reserved. Confidential4
Независимая аналитика – Verizon DBIR 2014
© 2014 Imperva, Inc. All rights reserved. Confidential5
Типы злоумышленников, в % от общего числа инцидентов
© 2014 Imperva, Inc. All rights reserved. Confidential6
Мотивация и вектора атак\инцидентов, в % от общего числа инцидентов
© 2014 Imperva, Inc. All rights reserved. Confidential7
Атаки на Web – самая распространенная разновидность атак
© 2014 Imperva, Inc. All rights reserved. Confidential8
Обзор способов атак по различным вертикалям экономики
© 2014 Imperva, Inc. All rights reserved. Confidential9
CISO Survey 2013: Угрозы и риски
https://owasp.org/index.php/CISO_Survey_2013:_Threats_and_risks
External threats are on the rise
More than 70% of CISOs noted that internal threats are staying pretty much on the same level, while over 80% can see external threats clearly on the rise…
…When reviewing which areas are the main areas of risk for their organizations, CISOs were very clear that Application Security concerns are now taking center stage in their risk management…
…CISOs could in fact clearly confirm that these threats are having negative impacts for their companies
The CISOs see more than 50% of their security risks coming from application security
© 2014 Imperva, Inc. All rights reserved. Confidential10
Решения Imperva SecureSphere WAF
© 2014 Imperva, Inc. All rights reserved.
Вектора атак, Verizon DBIR 2013
Интеллектуальная собственность, конкурентные преимущества
Персональные данные, финансовая информация
© 2014 Imperva, Inc. All rights reserved.
Не забудьте защитить свой самый ценный актив – приложения, БД, файловые сервера!
© 2014 Imperva, Inc. All rights reserved.
InternalEmployees
Malicious InsidersCompromised Insiders
Data CenterSystems and Admins
Auditing and Reporting
AttackProtection
UsageAudit
User RightsManagement
AccessControl
Tech. AttackProtection
Logic AttackProtection
FraudPrevention
ExternalCustomers
Staff, PartnersHackers
Discovery &
Classification
Privileged User
Monitoring
Vulner
abili
ty
Scannin
g
Virtual
Patch
ing
User Rights Management
Assessment & Risk Management
Комплексный портфель решений
Единая комплексная платформа для защиты корпоративных информационных хранилищ и бизнес-систем
© 2014 Imperva, Inc. All rights reserved.
Комплексное решение для защиты данных
Простота развертывания и администрирования
Соответствие стандартам информационной безопасности, в том числе ФСТЭК №17, 21
Собственный исследовательский центр
Повышение эффективности
Imperva SecureSphere
© 2014 Imperva, Inc. All rights reserved.
Гранулированная многоуровневая защита
Простое внедрение в любую инфраструктуру
Удобное и простое управление с технологией Dynamic Profiling
И многое другое...
Imperva SecureSphere
Пожалуй лучший Web Application Firewall
© 2014 Imperva, Inc. All rights reserved.
Dynamic Profiling
Attack Signatures
HTTP Protocol Validation
Cookie Protection
Web Fraud DetectionFraud Prevention
Technical Attack
Protection
Business Logic Attack Protection
Corr
ela
ted
Att
ack V
alid
ati
on
IP Geolocation
IP Reputation
Anti-Scraping Policies
Bot Mitigation Policies
Комплексная безопасность требует продуманной защиты приложений
© 2014 Imperva, Inc. All rights reserved.
Центр Imperva ADC исследует новые угрозы по всему миру
Imperva Application
Defense Center
Internal Users
SecureSphere
Web Servers
INTERNET
Системы SecureSphere обладают новейшими противомерами
Определение сканирования сети и самих атак с помощью сигнатур
Сигнатуры Imperva определяют попытки сканирования и сами атаки
© 2014 Imperva, Inc. All rights reserved.
SecureSphere надежно защищает от атак типа SQL Injection, XSS
Hacker SecureSphere WAF
/login.php?ID=5 or 1=1
SQL Injection
SQL Injection Engine with
Profile Analysis
Signature, Protocol
Violations
Блокирование однозначных соответствий,
отправка подозрительных
запросов на дополнительный
анализ
Продвинутый многоступенчатый анализ значительно снижает уровень ложных
срабатываний
SQL Injection Engine
блокирует даже
нетиповые атаки
Web Server
© 2014 Imperva, Inc. All rights reserved.
Анализируя трафик, SecureSphere автоматически
учит…
Directories
URLs
Параметры
Ожидаемое поведение
пользователя
Может как оповещать, так и блокировать отклонения от нормы
SecureSphere «изучает» все обращения к защищаемому приложению
© 2014 Imperva, Inc. All rights reserved.
1-Jun 6-Jun 11-Jun 16-Jun 21-Jun 26-Jun0
100
200
300
400
500
600
700 636
243
32 3376
55 40 25 21 11 13 28 24 1841 7 4 5 7 4 8 11 15 2 3 4 1
Сокращение сроков развертывания с месяцов до дней
Снимает нагрузку с администраторов 5-15 изменений в неделю равноценны 5-30
человекочасам конфигурирования
Дата
Изм
енени
е п
роф
ил
я
Изучение приложения и поведения
Адаптация к изменениям
Динамическое профилирование во времени
© 2014 Imperva, Inc. All rights reserved.
В момент слияния компания А взяла на поддержку информационные системы компании Б:
Стоимость доработки и исправления исчисляется миллионами и занимает длительный срок
Нельяза использовать в сетях общего пользования без должной защиты
Объединение компаний привело к объединению доменов и потребности дополнительной настройки прав доступа
Imperva SecureSphere WAF:
Закрытие уязвимостей
Периодическое сканирование позволяет поддерживать статус
Vulnerable Legacy Application
Наследуемые или устаревшие приложения
© 2014 Imperva, Inc. All rights reserved.
Dynamic Profiling
Attack Signatures
HTTP Protocol Validation
Cookie Protection
Web Fraud DetectionFraud Prevention
Technical Attack
Protection
Business Logic Attack Protection
IPS & NG Firewall Web Security Features
IP Geolocation
IP Reputation
Anti-Scraping Policies
Bot Mitigation Policies
Corr
ela
tion
(W
eb
Pro
file
C
orr
ela
tion
)
Высокий уровень ложных срабатываний из-за недостаточного понимания структуры и логики приложения
Легкая добыча для хакеров из-за уязвимостей самого приложения
© 2014 Imperva, Inc. All rights reserved.
Основные отличия Imperva WAF по мнению Gartner
Confidential© 2014 Imperva, Inc. All rights reserved.
Gartner MQ for Web Application Firewalls
24
Imperva SecureSphere
WAF – единственный
ЛИДЕР в области
межсетевых экранов
для web-приложений*
© 2014 Imperva, Inc. All rights reserved.
Концепция WAF Testing Framework (WTF)
• Инструмент для определения реальной эффективности существующих IPS\NGFW\WAF в части защиты от атак на веб
• Комбинация легитимного и вредоносного трафика
• Оценка двух параметров:
• Блокировка полезного трафика (False Positives)
• Пропуск вредоносного трафика (False Negatives)
• Дает наглядное представление о балансе между безопасностью и непрерывностью бизнеса
• Скачивание и тестирование – бесплатно!
© 2014 Imperva, Inc. All rights reserved. Confidential26
OWASP-TOP10, 2013
© 2014 Imperva, Inc. All rights reserved. Confidential27
Что такое OWASP Top 10?
© 2014 Imperva, Inc. All rights reserved. Confidential28
OWASP 2013 List
https://owasp.org/index.php/CISO_Survey_2013:_Threats_and_risks
© 2014 Imperva, Inc. All rights reserved. Confidential29
A1-Injection
OWASP Top 10 Definition
Injection flaws, such as SQL, OS, and LDAP injection, occur when an application sends untrusted data to an interpreter as part of a command or query. The attacker’s hostile data can trick the interpreter into executing unintended commands or accessing data without proper authorization.
Injection flaws are very prevalent, particularly in legacy code. The impact is usually very severe as the entire database can be read or modified.
© 2014 Imperva, Inc. All rights reserved. Confidential30
A1 – Web Correlation Policy
The SQL injection defense algorithm developed by the ADC combines information from the Web Application Profile (positive security model) and matches this information with Attack Signatures (negative security model) using SecureSphere’s Correlated Attack Validation engine. SecureSphere using pre-defined signatures blocks additional injection attacks such as LDAP, XPath, and OS injection.
Examples of anomalies detected by the Web application profile security rules include:
• If an attacker attempts to change the values of parameters that were fixed by the Web application and should not be changed, SecureSphere will alert and block the request
• If a parameter length exceeds the expected maximum length, SecureSphere will alert and block such an evasion attempt
• If a parameter includes unexpected characters, such as quotation marks, angle brackets, and asterisks, that do not fit the application profile, SecureSphere will alert and block the request
© 2014 Imperva, Inc. All rights reserved. Confidential31
A2 Broken Authentication and Session Management
OWASP Top 10 Definition
Application functions related to authentication and session management are often not implemented correctly, allowing attackers to compromise passwords, keys, or session tokens, or to exploit other implementation flaws to assume other users’ identities.
Developers frequently build custom authentication and session management schemes, but building these correctly is hard. Authentication flaws may allow some or even all accounts to be attacked. Once successful, the attacker can do anything the victim could do. Privileged accounts are frequently targeted.
© 2014 Imperva, Inc. All rights reserved. Confidential32
A2 Broken Authentication and Session Management cont.
SecureSphere stops session attacks such as:
• Session hijacking• Session fixation• Session tampering
• SecureSphere Tracks and Enforces Session Variables.• It learns Cookies and monitors cookie Tampering and Injection.• Application User Tracking attaches User to a session and associates a User with subsequent activity.• In Reverse Proxy, SecureSphere can sign and encrypt cookies.
Web Correlation Policy - Session Attribute Changes • Source IP Set to Exact Source IP
Cookie Signing Policy Set• Encrypt Cookie Value• Cookie Set to sessionid
Web Profile Policy• Cookie Injection enabled• Cookie Tampering enabled• Sessionid set to protect and injection selected
© 2014 Imperva, Inc. All rights reserved. Confidential33
A3 Cross-Site Scripting (XSS)
OWASP Top 10 Definition
Cross-Site Scripting (XSS) is the most prevalent Web application security flaw. XSS flaws occur whenever an application takes untrusted data and sends it to a Web browser without proper validation or escaping. XSS allows attackers to execute scripts in the victim’s browser which can hijack user sessions, deface Web sites, or redirect the user to malicious sites.
Detection of most XSS flaws is fairly easy via testing or code analysis
© 2014 Imperva, Inc. All rights reserved. Confidential34
A3 Web Correlation Policy
SecureSphere Mitigation Summary
• Utilizing Positive (White List) and Negative (Black list) detection techniques• Accurate detection of suspicious XSS Keywords, Patterns and Signatures.• Dynamic Profiling builds accurate parameter usage baseline.• Input is normalized to detect different evasion attempts (HTML, Hex and Unicode encoding)• Out-Of-The-Box Web-Correlation XSS policy.
© 2014 Imperva, Inc. All rights reserved. Confidential
Вопросы?
35
www.imperva.com [email protected]