Практический опыт защиты финансовых транзакций клиентов Банка
Как выбрать Web Application Firewall
1. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.
Как выбрать
Web Application Firewall
Бейбутов Эльдар
Центр информационной безопасности
Инфосистемы Джет
Магистерская программа «Управление информационной безопасностью»
НИУ «Высшая Школа Экономики»
3. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.
WAF
Сигнатурный
анализ
Профилирование
запросов
Создание
собственных
политик
DDoS защита
Интеграция с
другими СЗИ
Проверка
протокола
4. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.
Machine learningProtocol officer DDoS ProtectionCustom rules
Integration
capability
Signatures analyze
RFC Compliant
Not HTTP
abnormal
No Amount
exceeding
No Time frame
anomaly
No Malformed
entities
No Illegal
bytes
5. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.
Machine learningSignatures analyze DDoS ProtectionCustom rules
Integration
capability
Protocol Officer
Internet
Разведка
Well
known
Threats
F5 BIG-IP ASM Imperva WAF
2 week period 1 week period
RegExp скрыт RegExp виден
Только регулярные выражения Есть корреляционные правила
2000 сигнатур 6000 сигнатур/150 правил
Многофакторная уязвимость,
требует корреляции с:
•Частотой возникновения в разных
контекстах
•Значениями заголовков
•Диапазоном IP-адресов
•Другими сигнатурами
•Другими политиками
безопасности
Imperva
Application
Defense
Center
(Threat
analyze)
6. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.
Signatures analyze Machine learning DDoS ProtectionCustom rules
Integration
capability
Protocol Officer
F5 BIG-IP ASM Imperva WAF
Параметры
обучения
Профиль настроек для каждого приложения
Параметр завершения
обучения:
Время обучения
(240 часов)
Условия начала и окончания обучения
Выделенные диапазон IP trusted
Анализ ответов
Оптимизация
модели
Механизм отслеживания изменений
(Каждый 1 час в течении 12 часов по 50 однотипных нарушений
=> объект переучивается)
Условие начала обучения:
Если в течении 20 сессий от 20 IP-адресов в течении 1
часа запрашивается схожий объект доступа
=> добавить объект в процесс обучения
Условие завершения обучения:
При получении 5000 запросов от 500 сессий и
500 IP адресов в течении 1 дня
=> закончить обучение объекта
7. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.
Signatures analyze Custom rules DDoS ProtectionMachine learning
Integration
capability
Protocol Officer
Security Officer
WAF WEB Server
HTTP запрос
Обработка запроса
• Дешифровка
• Парсинг
• Валидация
• Контроль сессии
• Авторизация запроса
Задачи для офицера
• Учесть результаты тестирования
• Внедрить разграничение доступа
• Принять оперативные меры при
атаках
• Установить правила аудита
Хочу свои
механизмы
защиты
8. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.
Signatures analyze Custom rules DDoS ProtectionMachine learning
Integration
capability
Protocol Officer
9. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.
Integration
capability
Signatures analyze DDoS ProtectionCustom rulesMachine learningProtocol Officer
Твоя
температура?
36.6 градусов
OK
Твоя
температура?
51.6 градус
JavaScript
Bot Mitigation
REJECT
Защита от DDoS
на прикладном уровне
это реально!
Реагирование
Proof of work
challenge
Проверка на
доказательство
работы
CAPTCHA
challenge
Проверка на
человечность
Shaping or
blocking
Блокировка
нарушителей
10. Бейбутов Эльдар. Инфосистемы Джет. НИУ «Высшая Школа Экономики» PHDays V. Москва 2015.
DDoS ProtectionSignatures analyze
Integration
capability
Custom rulesMachine learningProtocol Officer
Vulnerability scanners (HP Web Inspect, IBM
App Scan, WhiteHat Sentinel, QualysGuard)
SIEM (ArcSight, QRadar, RSA Security Analytics)
Database Activity Monitoring
Reputational services
Fraud prevention