SlideShare uma empresa Scribd logo

Как выбрать Web Application Firewall

Transferir como PPTX, PDF
Positive Hack Days
Positive Hack Days

Как выбрать Web Application Firewall

Tecnologia
1 de 11
Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Как выбрать Web Application Firewall Бейбутов Эльдар Центр информационной безопасности Инфосистемы Джет Магистерская программа «Управление информационной безопасностью» НИУ «Высшая Школа Экономики»
Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Как много продуктов!
Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. WAF Сигнатурный анализ Профилирование запросов Создание собственных политик DDoS защита Интеграция с другими СЗИ Проверка протокола
Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Machine learningProtocol officer DDoS ProtectionCustom rules Integration capability Signatures analyze RFC Compliant Not HTTP abnormal No Amount exceeding No Time frame anomaly No Malformed entities No Illegal bytes
Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Machine learningSignatures analyze DDoS ProtectionCustom rules Integration capability Protocol Officer Internet Разведка Well known Threats F5 BIG-IP ASM Imperva WAF 2 week period 1 week period RegExp скрыт RegExp виден Только регулярные выражения Есть корреляционные правила 2000 сигнатур 6000 сигнатур/150 правил Многофакторная уязвимость, требует корреляции с: •Частотой возникновения в разных контекстах •Значениями заголовков •Диапазоном IP-адресов •Другими сигнатурами •Другими политиками безопасности Imperva Application Defense Center (Threat analyze)
Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Signatures analyze Machine learning DDoS ProtectionCustom rules Integration capability Protocol Officer F5 BIG-IP ASM Imperva WAF Параметры обучения Профиль настроек для каждого приложения Параметр завершения обучения: Время обучения (240 часов) Условия начала и окончания обучения Выделенные диапазон IP trusted Анализ ответов Оптимизация модели Механизм отслеживания изменений (Каждый 1 час в течении 12 часов по 50 однотипных нарушений => объект переучивается) Условие начала обучения: Если в течении 20 сессий от 20 IP-адресов в течении 1 часа запрашивается схожий объект доступа => добавить объект в процесс обучения Условие завершения обучения: При получении 5000 запросов от 500 сессий и 500 IP адресов в течении 1 дня => закончить обучение объекта
Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Signatures analyze Custom rules DDoS ProtectionMachine learning Integration capability Protocol Officer Security Officer WAF WEB Server HTTP запрос Обработка запроса • Дешифровка • Парсинг • Валидация • Контроль сессии • Авторизация запроса Задачи для офицера • Учесть результаты тестирования • Внедрить разграничение доступа • Принять оперативные меры при атаках • Установить правила аудита Хочу свои механизмы защиты
Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Signatures analyze Custom rules DDoS ProtectionMachine learning Integration capability Protocol Officer
Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Integration capability Signatures analyze DDoS ProtectionCustom rulesMachine learningProtocol Officer Твоя температура? 36.6 градусов OK Твоя температура? 51.6 градус JavaScript Bot Mitigation REJECT Защита от DDoS на прикладном уровне это реально! Реагирование Proof of work challenge Проверка на доказательство работы CAPTCHA challenge Проверка на человечность Shaping or blocking Блокировка нарушителей
Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. DDoS ProtectionSignatures analyze Integration capability Custom rulesMachine learningProtocol Officer Vulnerability scanners (HP Web Inspect, IBM App Scan, WhiteHat Sentinel, QualysGuard) SIEM (ArcSight, QRadar, RSA Security Analytics) Database Activity Monitoring Reputational services Fraud prevention
Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.

Recomendados

Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Cisco Russia
 
Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством!
Альбина Минуллина
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Альбина Минуллина
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PAN
Альбина Минуллина
 
Доклад SiteSecure
Доклад SiteSecureДоклад SiteSecure
Доклад SiteSecure
Positive Hack Days
 
Построение центров ГосСОПКА
Построение центров ГосСОПКАПостроение центров ГосСОПКА
Построение центров ГосСОПКА
Альбина Минуллина
 
Можно ли обмануть DLP
Можно ли обмануть DLPМожно ли обмануть DLP
Можно ли обмануть DLP
Альбина Минуллина
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
Positive Hack Days
 

Recomendados

Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Cisco Russia
 
Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством!
Альбина Минуллина
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Альбина Минуллина
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PAN
Альбина Минуллина
 
Доклад SiteSecure
Доклад SiteSecureДоклад SiteSecure
Доклад SiteSecure
Positive Hack Days
 
Построение центров ГосСОПКА
Построение центров ГосСОПКАПостроение центров ГосСОПКА
Построение центров ГосСОПКА
Альбина Минуллина
 
Можно ли обмануть DLP
Можно ли обмануть DLPМожно ли обмануть DLP
Можно ли обмануть DLP
Альбина Минуллина
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
Positive Hack Days
 
Nexthop lab-v4
Nexthop lab-v4Nexthop lab-v4
Nexthop lab-v4
Pete Kuzeev
 
PT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыPT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объекты
Айдар Гилязов
 
Сокращаем затраты на обслуживание клиентов
Сокращаем затраты на обслуживание клиентовСокращаем затраты на обслуживание клиентов
Сокращаем затраты на обслуживание клиентов
Альбина Минуллина
 
Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)
Альбина Минуллина
 
Network Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейNetwork Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетей
ЭЛВИС-ПЛЮС
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФ
Pete Kuzeev
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...
Igor Gots
 
Будущее кибербезопасности
Будущее кибербезопасностиБудущее кибербезопасности
Будущее кибербезопасности
Альбина Минуллина
 
Защищая ключевые Интернет-ресурсы
Защищая ключевые Интернет-ресурсыЗащищая ключевые Интернет-ресурсы
Защищая ключевые Интернет-ресурсы
ЭЛВИС-ПЛЮС
 
Решения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почтыРешения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почты
Cisco Russia
 
Подход к обеспечению безопасности IoT в Enterprise
Подход к обеспечению безопасности IoT в EnterpriseПодход к обеспечению безопасности IoT в Enterprise
Подход к обеспечению безопасности IoT в Enterprise
Positive Hack Days
 
Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийТренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложений
Альбина Минуллина
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрии
Айдар Гилязов
 
Не бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТПНе бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТП
Альбина Минуллина
 
Системы предотвращения потери данных
Системы предотвращения потери данныхСистемы предотвращения потери данных
Системы предотвращения потери данных
Pete Kuzeev
 
SCADA v.0.5
SCADA v.0.5SCADA v.0.5
SCADA v.0.5
Альбина Минуллина
 
12 причин хорошего SOC
12 причин хорошего SOC12 причин хорошего SOC
12 причин хорошего SOC
Denis Batrankov, CISSP
 
Кибербезопасность АСУ ТП
Кибербезопасность АСУ ТПКибербезопасность АСУ ТП
Кибербезопасность АСУ ТП
Альбина Минуллина
 
Безопасность
БезопасностьБезопасность
Безопасность
1С-Битрикс
 
Управление кибербезопасностью
Управление кибербезопасностьюУправление кибербезопасностью
Управление кибербезопасностью
Альбина Минуллина
 
Методы выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборМетоды выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выбор
Denis Bezkorovayny
 
WAF наше все?!
WAF наше все?!WAF наше все?!
WAF наше все?!
Dmitry Evteev
 

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Nexthop lab-v4
Nexthop lab-v4Nexthop lab-v4
Nexthop lab-v4
 
PT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыPT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объекты
 
Сокращаем затраты на обслуживание клиентов
Сокращаем затраты на обслуживание клиентовСокращаем затраты на обслуживание клиентов
Сокращаем затраты на обслуживание клиентов
 
Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)
 
Network Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейNetwork Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетей
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФ
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...
 
Будущее кибербезопасности
Будущее кибербезопасностиБудущее кибербезопасности
Будущее кибербезопасности
 
Защищая ключевые Интернет-ресурсы
Защищая ключевые Интернет-ресурсыЗащищая ключевые Интернет-ресурсы
Защищая ключевые Интернет-ресурсы
 
Решения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почтыРешения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почты
 
Подход к обеспечению безопасности IoT в Enterprise
Подход к обеспечению безопасности IoT в EnterpriseПодход к обеспечению безопасности IoT в Enterprise
Подход к обеспечению безопасности IoT в Enterprise
 
Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийТренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложений
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрии
 
Не бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТПНе бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТП
 
Системы предотвращения потери данных
Системы предотвращения потери данныхСистемы предотвращения потери данных
Системы предотвращения потери данных
 
SCADA v.0.5
SCADA v.0.5SCADA v.0.5
SCADA v.0.5
 
12 причин хорошего SOC
12 причин хорошего SOC12 причин хорошего SOC
12 причин хорошего SOC
 
Кибербезопасность АСУ ТП
Кибербезопасность АСУ ТПКибербезопасность АСУ ТП
Кибербезопасность АСУ ТП
 
Безопасность
БезопасностьБезопасность
Безопасность
 
Управление кибербезопасностью
Управление кибербезопасностьюУправление кибербезопасностью
Управление кибербезопасностью
 

Destaque

Web Application Firewalls / Иван Новиков (ONsec)
Web Application Firewalls / Иван Новиков (ONsec)Web Application Firewalls / Иван Новиков (ONsec)
Web Application Firewalls / Иван Новиков (ONsec)
Ontico
 
Развитие безопасных технологий в России в условиях курса на импортозамещение
Развитие безопасных технологий в России в условиях курса на импортозамещениеРазвитие безопасных технологий в России в условиях курса на импортозамещение
Развитие безопасных технологий в России в условиях курса на импортозамещение
ЭЛВИС-ПЛЮС
 
Вирусы есть? А если найду?
Вирусы есть? А если найду?Вирусы есть? А если найду?
Вирусы есть? А если найду?
Positive Hack Days
 
Псевдобезопасность NFC-сервисов
Псевдобезопасность NFC-сервисовПсевдобезопасность NFC-сервисов
Псевдобезопасность NFC-сервисов
Positive Hack Days
 
john-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Later
john-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Laterjohn-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Later
john-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Later
Positive Hack Days
 
Если нашлась одна ошибка — есть и другие. Один способ выявить «наследуемые» у...
Если нашлась одна ошибка — есть и другие. Один способ выявить «наследуемые» у...Если нашлась одна ошибка — есть и другие. Один способ выявить «наследуемые» у...
Если нашлась одна ошибка — есть и другие. Один способ выявить «наследуемые» у...
Positive Hack Days
 
Метод машинного обучения для распознавания сгенерированных доменных имен
Метод машинного обучения для распознавания сгенерированных доменных именМетод машинного обучения для распознавания сгенерированных доменных имен
Метод машинного обучения для распознавания сгенерированных доменных имен
Positive Hack Days
 
Berezha Security
Berezha SecurityBerezha Security
Berezha Security
Vlad Styran
 
Статический анализ кода в контексте SSDL
Статический анализ кода в контексте SSDLСтатический анализ кода в контексте SSDL
Статический анализ кода в контексте SSDL
Positive Hack Days
 

Destaque (20)

Методы выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборМетоды выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выбор
 
WAF наше все?!
WAF наше все?!WAF наше все?!
WAF наше все?!
 
Cisco Advanced Malware Protection для руководителей, принимающих решения
Cisco Advanced Malware Protection для руководителей, принимающих решенияCisco Advanced Malware Protection для руководителей, принимающих решения
Cisco Advanced Malware Protection для руководителей, принимающих решения
 
Web Application Firewalls / Иван Новиков (ONsec)
Web Application Firewalls / Иван Новиков (ONsec)Web Application Firewalls / Иван Новиков (ONsec)
Web Application Firewalls / Иван Новиков (ONsec)
 
Imperva, держи марку!
Imperva, держи марку! Imperva, держи марку!
Imperva, держи марку!
 
Где заканчивается анонимность в анонимных сетях
Где заканчивается анонимность в анонимных сетях Где заканчивается анонимность в анонимных сетях
Где заканчивается анонимность в анонимных сетях
 
Мобильная «безопасность»
Мобильная «безопасность»Мобильная «безопасность»
Мобильная «безопасность»
 
Бинарный анализ с декомпиляцией и LLVM
Бинарный анализ с декомпиляцией и LLVMБинарный анализ с декомпиляцией и LLVM
Бинарный анализ с декомпиляцией и LLVM
 
защита от перехЗащита от перехвата GSM сигналавата Gsm сигнала
защита от перехЗащита от перехвата GSM сигналавата Gsm сигналазащита от перехЗащита от перехвата GSM сигналавата Gsm сигнала
защита от перехЗащита от перехвата GSM сигналавата Gsm сигнала
 
Защищённый периметр. Он есть или его нет?
Защищённый периметр. Он есть или его нет?Защищённый периметр. Он есть или его нет?
Защищённый периметр. Он есть или его нет?
 
Развитие безопасных технологий в России в условиях курса на импортозамещение
Развитие безопасных технологий в России в условиях курса на импортозамещениеРазвитие безопасных технологий в России в условиях курса на импортозамещение
Развитие безопасных технологий в России в условиях курса на импортозамещение
 
Вирусы есть? А если найду?
Вирусы есть? А если найду?Вирусы есть? А если найду?
Вирусы есть? А если найду?
 
Использование KASan для автономного гипервизора
Использование KASan для автономного гипервизораИспользование KASan для автономного гипервизора
Использование KASan для автономного гипервизора
 
Псевдобезопасность NFC-сервисов
Псевдобезопасность NFC-сервисовПсевдобезопасность NFC-сервисов
Псевдобезопасность NFC-сервисов
 
john-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Later
john-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Laterjohn-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Later
john-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Later
 
Если нашлась одна ошибка — есть и другие. Один способ выявить «наследуемые» у...
Если нашлась одна ошибка — есть и другие. Один способ выявить «наследуемые» у...Если нашлась одна ошибка — есть и другие. Один способ выявить «наследуемые» у...
Если нашлась одна ошибка — есть и другие. Один способ выявить «наследуемые» у...
 
Строим ханипот и выявляем DDoS-атаки
Строим ханипот и выявляем DDoS-атакиСтроим ханипот и выявляем DDoS-атаки
Строим ханипот и выявляем DDoS-атаки
 
Метод машинного обучения для распознавания сгенерированных доменных имен
Метод машинного обучения для распознавания сгенерированных доменных именМетод машинного обучения для распознавания сгенерированных доменных имен
Метод машинного обучения для распознавания сгенерированных доменных имен
 
Berezha Security
Berezha SecurityBerezha Security
Berezha Security
 
Статический анализ кода в контексте SSDL
Статический анализ кода в контексте SSDLСтатический анализ кода в контексте SSDL
Статический анализ кода в контексте SSDL
 

Semelhante a Как выбрать Web Application Firewall

Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...
Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...
Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...
vGate R2
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
it-people
 
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
vGate R2
 
Devexperts FIX Test Automation at TMPA-2014 (Trading Systems Testing)
Devexperts FIX Test Automation at TMPA-2014 (Trading Systems Testing)Devexperts FIX Test Automation at TMPA-2014 (Trading Systems Testing)
Devexperts FIX Test Automation at TMPA-2014 (Trading Systems Testing)
Iosif Itkin
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Dmytro Petrashchuk
 
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Dmitry Tikhovich
 

Semelhante a Как выбрать Web Application Firewall (20)

лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложений
 
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для гос
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
 
Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...
Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...
Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOC
 
Устройство и Сервисы JSOC
Устройство и Сервисы JSOCУстройство и Сервисы JSOC
Устройство и Сервисы JSOC
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
Аутсорсинг и безопасность ЦОД в контексте переноса ПДн в РФ
Аутсорсинг и безопасность ЦОД в контексте переноса ПДн в РФ Аутсорсинг и безопасность ЦОД в контексте переноса ПДн в РФ
Аутсорсинг и безопасность ЦОД в контексте переноса ПДн в РФ
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИС
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
 
Devexperts FIX Test Automation at TMPA-2014 (Trading Systems Testing)
Devexperts FIX Test Automation at TMPA-2014 (Trading Systems Testing)Devexperts FIX Test Automation at TMPA-2014 (Trading Systems Testing)
Devexperts FIX Test Automation at TMPA-2014 (Trading Systems Testing)
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
 
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
 
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
 

Mais de Positive Hack Days

Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
Positive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
Positive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
Positive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Positive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
Positive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
Positive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
Positive Hack Days
 

Mais de Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
 
Практический опыт защиты финансовых транзакций клиентов Банка
Практический опыт защиты финансовых транзакций клиентов БанкаПрактический опыт защиты финансовых транзакций клиентов Банка
Практический опыт защиты финансовых транзакций клиентов Банка
 

Как выбрать Web Application Firewall

  • 1. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Как выбрать Web Application Firewall Бейбутов Эльдар Центр информационной безопасности Инфосистемы Джет Магистерская программа «Управление информационной безопасностью» НИУ «Высшая Школа Экономики»
  • 2. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Как много продуктов!
  • 3. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. WAF Сигнатурный анализ Профилирование запросов Создание собственных политик DDoS защита Интеграция с другими СЗИ Проверка протокола
  • 4. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Machine learningProtocol officer DDoS ProtectionCustom rules Integration capability Signatures analyze RFC Compliant Not HTTP abnormal No Amount exceeding No Time frame anomaly No Malformed entities No Illegal bytes
  • 5. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Machine learningSignatures analyze DDoS ProtectionCustom rules Integration capability Protocol Officer Internet Разведка Well known Threats F5 BIG-IP ASM Imperva WAF 2 week period 1 week period RegExp скрыт RegExp виден Только регулярные выражения Есть корреляционные правила 2000 сигнатур 6000 сигнатур/150 правил Многофакторная уязвимость, требует корреляции с: •Частотой возникновения в разных контекстах •Значениями заголовков •Диапазоном IP-адресов •Другими сигнатурами •Другими политиками безопасности Imperva Application Defense Center (Threat analyze)
  • 6. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Signatures analyze Machine learning DDoS ProtectionCustom rules Integration capability Protocol Officer F5 BIG-IP ASM Imperva WAF Параметры обучения Профиль настроек для каждого приложения Параметр завершения обучения: Время обучения (240 часов) Условия начала и окончания обучения Выделенные диапазон IP trusted Анализ ответов Оптимизация модели Механизм отслеживания изменений (Каждый 1 час в течении 12 часов по 50 однотипных нарушений => объект переучивается) Условие начала обучения: Если в течении 20 сессий от 20 IP-адресов в течении 1 часа запрашивается схожий объект доступа => добавить объект в процесс обучения Условие завершения обучения: При получении 5000 запросов от 500 сессий и 500 IP адресов в течении 1 дня => закончить обучение объекта
  • 7. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Signatures analyze Custom rules DDoS ProtectionMachine learning Integration capability Protocol Officer Security Officer WAF WEB Server HTTP запрос Обработка запроса • Дешифровка • Парсинг • Валидация • Контроль сессии • Авторизация запроса Задачи для офицера • Учесть результаты тестирования • Внедрить разграничение доступа • Принять оперативные меры при атаках • Установить правила аудита Хочу свои механизмы защиты
  • 8. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Signatures analyze Custom rules DDoS ProtectionMachine learning Integration capability Protocol Officer
  • 9. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. Integration capability Signatures analyze DDoS ProtectionCustom rulesMachine learningProtocol Officer Твоя температура? 36.6 градусов OK Твоя температура? 51.6 градус JavaScript Bot Mitigation REJECT Защита от DDoS на прикладном уровне это реально! Реагирование Proof of work challenge Проверка на доказательство работы CAPTCHA challenge Проверка на человечность Shaping or blocking Блокировка нарушителей
  • 10. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015. DDoS ProtectionSignatures analyze Integration capability Custom rulesMachine learningProtocol Officer Vulnerability scanners (HP Web Inspect, IBM App Scan, WhiteHat Sentinel, QualysGuard) SIEM (ArcSight, QRadar, RSA Security Analytics) Database Activity Monitoring Reputational services Fraud prevention
  • 11. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.