Компания Positive Technologies обновила межсетевой экран прикладного уровня PT Application Firewall: теперь он обладает функциями блокировки на основе данных геолокации, отслеживания аутентификации пользователей защищаемого приложения и позволяет реагировать на атаки типа «подбор пароля».
Также расширены возможности продукта по настройке защиты: добавлена функция, позволяющая связывать запросы к приложению с конкретной учетной записью (из-под которой они осуществляются), а также отслеживать факты успешного и неуспешного входа в систему. Теперь защитный экран анализирует запросы на основании данных сессии, в частности информации о геолокации и учетной записи пользователя, из-под которой осуществлен вход в защищаемое приложение. Это дает возможность оператору PT Application Firewall добавлять правила блокировки с учетом конкретного пользователя или групп пользователей и в случае подозрительных действий создать инцидент безопасности.
«Существует множество случаев, когда информация об учетной записи помогает обеспечить лучшую защиту и своевременно выявить атаки. Один из популярных сценариев — кража учетных записей. Например, посетитель сайта находится в Москве, а от его имени осуществлен вход из Сингапура. В новой версии PT Application Firewall появились инструменты, позволяющие обнаружить хищение сессии или аккаунта и оперативно принять меры — заблокировать возможность использования защищаемого приложения для конкретного пользователя или групп пользователей из определенных регионов. Или другая ситуация: посетитель сайта вошел под своими учетными данными, но проявляет нетипичную для него активность, например пытается зайти в админ-панель, — PT Application Firewall зафиксирует это событие», — пояснил Дмитрий Нагибин, руководитель группы разработки средств защиты приложений Positive Technologies.
Также PT Application Firewall отследит неудачные попытки входа в систему и свяжет текущее событие с атакой «подбор пароля» (брутфорс), что позволит оперативно ее заблокировать. Защита приложения от атак этого типа сегодня очень актуальна. Так, согласно отчету Verizon за 2016 год, 63% утечек связаны со слабыми паролями: большинство пользователей используют простые пароли от учетных записей, что упрощает злоумышленникам кражу учетных данных с помощью брутфорса.
В PT Application Firewall усовершенствован механизм самостоятельного создания правил Rule Engine: администратор, работающий с системой, может настроить правила блокировки запросов на основе атрибутов геолокации. За счет этого при массовых атаках на веб-серверы можно блокировать некорректные запросы из региона, страны или города, откуда наблюдается моментальное возрастание нагрузки. Механизм может использоваться для быстрого реагирования на DDoS-атаки.
Упростилась интеграция PT Application Firewall с другими системами безопасности организации. Так, например, внутренние системы безопасности могут через интерфейс REST API автоматически передавать задействованные в атаке IP-адреса напрямую в PT Application Firewall для последующей блокировки. Это повышает уровень защищенности инфраструктуры организации, а также снижает трудозатраты, ведь ранее передача данных осуществлялась администратором вручную.
Набор поддерживаемых PT Application Firewall форматов для выгрузки отчетов расширился форматом HTML. Теперь можно получать всю информацию о работе продукта, просматривать сводные таблицы, графики и диаграммы, без предоставления доступа к UI — прямо в браузере. Такой формат отчетов наиболее удобен для работы и будет актуальным, например, для провайдеров, которые предоставляют защиту приложения как дополнительную услугу.