Презентация WAF - наше все?! Дмитрий Евтеев Positive Technologies онлайн

Содержание слайда: WAF - наше все?! Дмитрий Евтеев Positive Technologies

Содержание слайда: Безопасность веб-приложений как она есть

Содержание слайда: Куда мы движемся?

Содержание слайда: Что в итоге? ScanSafe сообщила о массовом взломе веб-сайтов …таковых могло оказаться до 114 тыс… Скорее всего для взлома веб-страниц злоумышленники использовали методику внедрения SQL-кода… http://www.securitylab.ru/news/394644.php Клиенты Network Solutions подверглись массированной атаке …согласно отчетам Securi Security и Stop Malvertising, массовой компрометации подверглись ресурсы, работающие на платформах WordPress, Joomla… http://xakep.ru/post/51852/ Стоимость одной неприкрытой SQL-инъекции …Heartland Payment Systems сообщила, что понесла убытки в размере 129 миллионов долларов… Инцидент был связан с крупной кражей данных кредитных и дебетовых карт, которая стала возможной по причине использования злоумышленником методики внедрения SQL-кода… http://www.bytemag.ru/articles/detail.php?ID=14366 Хакер осуществил массовый дефейс сайтов …несколько сотен сайтов были подвергнуты дефейсу… дефейс был осуществлён посредством эксплуатации уязвимостей типа Remote File Inclusion… http://www.securitylab.ru/news/390028.php Ботнет Asprox заражает веб-сайты …Net-Worm.Win32.Aspxor отыскивают уязвимые веб-сайты…и, используя SQL-инъекции, внедряют iframe-редиректы… http://www.securitylab.ru/news/395378.php

Содержание слайда: …как следствие…

Содержание слайда: Уязвимости, используемые для массовых атак

Содержание слайда: Динамика устранения уязвимостей на сайтах

Содержание слайда: А может WAF?

Содержание слайда: Что такое Web Application Firewall (WAF)

Содержание слайда: Какие они бывают По режиму работы: Мост/Маршрутизатор/Обратный прокси-сервер Встроенный (в CMS/на стороне клиента) По модели защиты: Основанные на сигнатуре (Signatures&Negative Security) Основанные на правилах (Rules&Positive Model) Обучающиеся (Learning) По реакции на «плохой» запрос: Очистка «опасных» данных Блокировка запроса или источника атаки

Содержание слайда: «Ложка дегтя в бочке меда» За универсальность фильтров приходится расплачиваться ошибками первого и второго рода Не все фильтры одинаково полезны Ряд уязвимостей в веб-приложениях нельзя выявить сигнатурным путем

Содержание слайда: Уязвимость уязвимости рознь Неполный список администраторов такого приложения: **admin, user**, r**t , …

Содержание слайда: Трудности обнаружения наиболее распространенных уязвимостей Внедрение операторов SQL Огромное разнообразие СУБД (гибкость языка SQL) Межсайтовое выполнение сценариев Помимо постоянного развития браузеров – Dom-based XSS Выход за каталог («выше») Local File Including, PHP wrappers, замена null-byte Remote File Including, когда требуется «полный» URL

Содержание слайда: PHPIDS??! Мое приложение сможет работать? REGEXP: (?:%c0%ae\/)|(?:(?:\/|\\)(home|conf|usr|etc|proc|opt|s?bin|local|dev|tmp|kern|[br]oot|sys|system|windows|winnt|program|%[a-z_-]{3,}%)(?:\/|\\))|(?:(?:\/|\\)inetpub|localstart\.asp|boot\.ini)

Содержание слайда: ModSecurity??! Универсальный способ проведения SQL-инъекций с обходом фильтров по умолчанию /*!sql-code*/ и /*!12345sql-code*/ XSS over SQLi /?id=-1/*!+union+select+'%3Cscri'+'pt%3Eal'+'ert(1)%3C/script%3E',2,3*/ Выполнение команд на сервере over unserialize(), пример: O:8:"Database":1:{s:8:"shutdown";a:2:{i:0;s:6:"system";i:1;s:2:"ls";}} cookie[sessid]=Tzo4OiJEYXRhYmFzZSI6MTp7czo4OiJzaHV0ZG93biI7YToyOntpOjA7czo2OiJzeXN0ZW0iO2k6MTtzOjI6ImxzIjt9fQ0KDQo= HTTP Parameter Pollution, HTTP Parameter Fragmentation, замена null-byte, etc

Содержание слайда: KIS??!

Содержание слайда: Защита веб-приложений должна быть комплексной Требования к ИБ Архитектура Разработка (SDLC) Внедрение (CIS, etc) Поддержка Оценка защищенности Превентивный контроль

Содержание слайда: Эффективное использование WAF (Virtual Patching) Обнаружение уязвимостей

Содержание слайда: Эффективное использование WAF (Virtual Patching) Система контроля защищенности (eq MaxPatrol) Обнаружение уязвимости, решение по устранению, правила фильтрации для Web Application Firewall Пример: <Location /injectblind.asp> SecRule ARGS:id "!^\d{1,8}$" "deny,log,status:403,msg:'just-in-time patching #1'" </Location> WAF (eq ModSecurity), закрытие вектора атаки до момента устранения

Содержание слайда: Резюме WAF – это не долгожданная "серебряная пуля" В силу своих функциональных ограничений WAF не способен защитить веб-приложение от всех возможных уязвимостей, которым оно может быть подвержено Необходимо проведение адаптации фильтров WAF под защищаемое веб-приложение WAF не устраняет уязвимость, а лишь (частично) прикрывает вектор атаки WAF является полезным инструментом в контексте построения эшелонированной защиты веб-приложений Закрытие вектора атаки до момента выхода исправления от разработчика, которое устранит уязвимость

Содержание слайда: Спасибо за внимание! devteev@ptsecurity.ru http://devteev.blogspot.com/