Приходится констатировать, что обеспечение сетевой безопасности по-прежнему носит реактивный характер, а ИБ-специалисты тратят большую часть времени на ручную приоритезацию инцидентов и реагирование на них; у них остается мало времени на разработку стратегий, проактивных действий, которые необходимы ввиду усложнения атак и увеличения их числа.
Необходимость в качественной ИБ-стратегии особенно важна с учетом распространения мобильных устройств доступа и развития концепции Интернета вещей (IoT), поскольку эти, а также другие аспекты цифровой трансформации увеличивают количество векторов для проведения кибератак, одновременно снижая прозрачность ИТ-инфраструктуры и возможности по её контролю.
Автоматизации рабочих ИБ-процессов препятствуют разрозненность и отсутствие интеграции между инструментами ИБ. Регулирование на государственном и отраслевом уровне требует прозрачности, централизованного контроля и отчетности в режиме реального времени, что дополнительно усложняет задачи обеспечения ИБ.
Сложность защиты веб-приложений
В эпоху масштабной цифровизации бизнеса для большинства организаций веб-приложения имеют огромное значения. В то же время традиционные ИБ-технологии, такие как IPS и межсетевые экраны, ориентированные на защиту от атак сетевого и транспортного уровней, оставляют веб-приложения привлекательными объектами для кибератак.
В ответ на изменение ландшафта угроз веб-приложениям и растущую изощренность злоумышленников разработчики межсетевых экранов улучшили защиту уровня приложений, реализовав глубокую инспекцию пакетов (DPI).
Упомянутые технологии не защищают веб-приложения от атак типа SQL-инъекций и межсайтового скриптинга и от атак «нулевого дня», а также не обладают гибкостью, необходимой для обеспечения прозрачности и контроля каждого используемого веб-приложения (согласно исследованиям Ponemon Institute, на это указывают более 70% организаций).
Около 73% компаний были атакованы в I квартале 2018 г. сложными эксплойтами с использованием веб-ориентированных технологий. Атаки на веб становятся полиморфными и используют одновременно несколько векторов. Большая часть атакуемых приложений подключены к базам данных, которые содержат конфиденциальную информацию или персональные данные.
Исследования компании Verizon говорят о том, что 48% всех успешных атак на данные вызваны взломом веб-приложений, а согласно данным компании Acunetix, 42% веб-приложений имеют хотя бы одну серьезную уязвимость. Следовательно, чем больше бизнес опирается на веб-приложения, тем больше ему нужен межсетевой экран для защиты веб-приложений (WAF) от внешних и внутренних угроз.
В основе многих решений WAF лежит изучение поведения приложений (application learning, AL), нацеленное на устранение угроз «нулевого дня». Для этого WAF создает профиль структуры приложения и того, как оно используется, контролирует доступ к приложениям и стремится понять, как он осуществляется. Таким образом, WAF имеет возможность отслеживать, как используются поля форм ввода данных, контролирует введенные типы значений, способы использования HTTP, созданные cookie и т. п.
Как только WAF обнаруживает высокий уровень аномальной активности какого-либо компонента приложения, он переводит этот компонент в защищенный режим и организует доступ к нему в соответствии с составленным на WAF профилем. Если запрос на доступ отличается от составленного профиля, WAF блокирует запрос. В результате автоматически и прозрачно, без участия администратора, WAF способен защитить веб-ресурсы от атак, обходящих сигнатуры, и атак «нулевого дня».
Вместе с тем нужно учитывать, что AL создает проблему ложных срабатываний, поскольку многие аномалии в поведении и использовании приложений могут быть связаны с ранее ненаблюдаемыми вариантами безопасного трафика.
Для обработки ложных срабатываний требуется вмешательство администраторов. Специалисты ИБ-службы должны просматривать все сообщения о заблокированном трафике, чтобы определить, какие из них являются действительно вредоносными. Чтобы избежать повтора ложных срабатываний, нужно изучить каждый профиль, перед тем как перевести его в режим блокировки. Эта серьезная нагрузка на ИБ-персонал, требующая к тому же высокой квалификации. Она отвлекает ИБ-специалистов от построения проактивной защиты, от работы над важными для бизнеса инициативами, такими как поддержка проектов цифровой трансформации, что увеличивает время вывода на рынок новых разработок.
Следует отметить, что многие WAF-решения сложно интегрируются с другими ИБ-компонентами. Это затрудняет обмен данными об угрозах в режиме реального времени, что крайне важно для опережения действий киберпреступников.
ИБ-специалистам нужна альтернатива, в которой используется искусственный интеллект (ИИ) и машинное обучение для профилактики и обнаружения угроз, которая хорошо интегрируется с корпоративной системой обеспечения информационной безопасности для совместного использования информации об угрозах в реальном времени всеми ИБ-компонентами.
Как выбрать WAF
Прежде всего нужно ориентироваться на функциональные возможности WAF. Набор основных возможностей WAF включает антивирус, защиту от вредоносных программ, механизм поиска сигнатур вредоносов, проверку репутации ИТ-ресурсов, контроль протоколов, а также построенный на ИИ и машинном обучении поведенческий анализ приложений для обнаружения наиболее сложных угроз (включая использующих уязвимости «нулевого дня») с механизмом, уменьшающим число ложных срабатываний.
WAF также должен иметь возможности интегрироваться с конкретной корпоративной ИБ-архитектурой, учитывать перспективы ее масштабирования, минимально влиять на пропускную способность сети и быть простым в использовании.
Защита от вирусов и вредоносных программ. Такой классический функционал, как антивирус и механизм обнаружения вредоносных программ, ‒ важный компонент любого современного WAF. Для обнаружения возможных заражений устройств, подключенных к корпоративной сети, соответствующие движки должны сканировать весь трафик веб-приложений.
Частые обновления сигнатур. WAF должен сравнивать содержимое входящих пакетов с сигнатурами известных веб-атак. Для эффективного обнаружения сигнатур решению WAF требуется доступ к ресурсам авторитетной организации, занимающейся исследованием в области киберугроз, возможность включать информацию об угрозах в свою базу данных сигнатур. В идеале обновления этой базы должны поступать в WAF в режиме реального времени. WAF должен уметь перенаправлять потенциально вредоносные пакеты в «песочницы» и блокировать их распространение в корпоративной сети.
Проверка IP-репутации. Механизмы проверки репутации IP-ресурсов сравнивают входящий трафик с известными угрозами, подобно тому, как это делает движок проверки сигнатур вредоносов. Разница в том, что они смотрят не на содержимое входящих пакетов, а на их источник. WAF сравнивает трафик защищаемых веб-приложений с «черным» списком вредоносных IP-источников и, когда обнаруживает совпадение, блокирует прохождение трафика в сеть.
Как и при сигнатурном анализе, требуется, чтобы WAF был привязан к службе изучения и реагирования на киберугрозы, которая обеспечивает частое обновление «черных» списков. Более сложные WAF могут идентифицировать и заносить в «черный» список источники вредоносных пакетов, обнаруженных сигнатурным механизмом.
Проверка протокола. При взаимодействии нескольких веб-приложений, использующих разные протоколы связи, появляются уязвимости. Атака может обойти защиту одного приложения, имитируя протокол другого. Чтобы пресечь использование подобных эксплойтов, WAF должен проверять протокол любого HTTP-кода, который защищаемое приложение пытается выполнить.
Интеграция. WAF должен интегрировать все реализованные в нем функции защиты, прежде всего через корреляцию данных: сигнатурные данные уровня приложений, данные о вредоносных ботах, подозрительных IP-адресах и новых вирусах должны сопоставляться, с тем чтобы информация об угрозах становилась доступной всем компонентам ИБ-системы.
Обмен ИБ-данными. Многие кибератаки являются многовекторными и используют одновременно полиморфные вредоносные программы. Борьба с ними требует обмена данными, получаемыми со всех сетевых компонентов, в режиме реального времени. К примеру, атака может быть нацелена на уязвимости конечных точек, электронной почты и облачных сервисов и использовать при этом машинное обучение для точной настройки эксплойтов на основе получаемой в процессе информации. WAF должен уметь использовать информацию об угрозах в реальном времени от каждого ИБ-компонента, защищающего атакованные узлы и службы, и блокировать такие сложные атаки.
Пропускная способность. Немногие заказчики могут допустить снижение скорости сетевого трафика, когда WAF работает с «черными» и «белыми» списками и поведенческими профилями. Специалисты, выбирающие WAF, должны учитывать не только среднюю пропускную способность решения при выполнении этих операций, но также характеристики сети и архитектуру корпоративной системы ИБ, которые могут снизить пропускную способность WAF в конкретной ИТ-среде.
Масштабируемость. Большинство компаний прогнозируют рост объемов своих данных. Следовательно, используемый ими WAF должен масштабироваться пропорционально предполагаемому росту количества данных, чтобы и в будущем поддерживать пропускную способность на требуемом уровне.
Административные ресурсы. Помимо затрат на обработку ложных срабатываний при использовании механизма изучения поведения приложений, пользователи WAF должны учитывать простоту эксплуатации решения.
Отчетность и соответствие регуляторным требованиям. Отчетность, представляемая WAF, должна соответствовать действующим регуляторным требованиям и стандартам безопасности.
Искусственный интеллект в WAF
Чтобы обнаруживать не только известные эксплойты, но и уязвимости «нулевого дня», WAF должен использовать механизмы защиты, работающие на основе AL, сравнивающие действия пользователей и приложений с ожидаемыми и выявляющие в них аномалии.
Решения, которые используют подобные технологии, отслеживают отклики приложений на определенные воздействия на протяжении некоторого времени, экстраполируют накопленные данные, «учатся», чтобы «понимать», какие допустимые отклики можно ожидать в будущем. Аномальное поведение может привести к блокировке входящего трафика веб-приложения.
Проблемы применения AL. Проблема применения WAF с возможностями AL заключается в том, что любое поведение, которое не вписывается в разработанный WAF профиль (другими словами, любое поведение, которое он ранее не наблюдал), приводит к чрезмерно высокому уровню ложных срабатываний при обнаружении угроз. Трафик приложений может оказаться заблокированным до тех пор, пока специалисты не оценят ситуацию вручную.
Преимущества машинного обучения на основе ИИ. Машинное обучение на основе ИИ позволяет WAF рассматривать отклонения от обычного поведения пользователя и приложения не как причину для немедленной тревоги, а как контекст для более детального рассмотрения возникшей аномалии. Предупреждения оцениваются не с позиции «нарушение есть» или «нарушения нет» — они информируют автоматизированный инструмент расчета вероятности, подтверждающий или нет то, что поведение пользователя или приложения представляет угрозу, требующую реагирования.
Немногие WAF имеют такой тип машинного обучения. Они могут реагировать на поведенческие аномалии в соответствии с заданными правилами в зависимости от вероятности угрозы, определяемой по нескольким параметрам, что может устранить проблему большого числа ложных срабатываний.
В отличие от заказчиков, полагающихся на WAF с функционалом AL, те, кто используют машинное обучение с ИИ, могут избежать дополнительных затрат на квалифицированных ИБ-специалистов и на ручную обработку ложных срабатываний. Более того, машинное обучение с ИИ позволяет точнее классифицировать файлы и источники данных. В сочетании с основными возможностями WAF машинное обучение может обнаруживать почти все угрозы.
СПЕЦПРОЕКТ КОМПАНИИ FORTINET