© 2012 Presented by: WebDefend – Web Application Firewall Докладчик: Мичкин Андрей Smart Network Distribution
© 2012 О Trustwave Основана в 1995 Более 1000 сотрудников, 20 стран, 6 континентов Сотни тысяч заказчиков по всему миру, включая 8 из списка Fortune 10 Обширное портфолио, состоящее из решений по Compliance, Web, безопасности приложений, данных и почты Один из самых крупных поставщиков по облачной безопасности > 1 миллиона подписчиков в облаке TrustKeeper Ведущий поставщик услуг Managed Security Services: глобальная работа 365x24x7 SpiderLabs выполняет >14,000 тестов проникновений и >1,500 расследований Один из Top 10 поставщиков цифровых сертификатов
© 2012 Фокус компании Trustwave
© 2012 SQL Injection Cross-Site Scipting (XSS) Broken Session Management Insecure Direct Object References Cross-Site Request Forgery (CSRF) Insecure Cryptographic Storage Failure to Restrict URL Access Unvalidated Redirects and Forwards Insecure Automatic Data Inclusion Improper Buffer Checking Broken Session Management Insecure Automatic Data Inclusion Buffer Overflow Malicious File Execution Почему безопасность приложений важна? Directory Traversal Cookie Poisoning Session Hijacking Brute Force Login
© 2012 Реалии Выход и применение обновления может произойти спустя недели или даже месяцы после того, как ошибка будет обнаружена Злоумышленники не ждут, пока выйдет и будет установлено новое обновление Ошибки при создании Обнаружение уязвимости
© 2012 Реалии PCI DSS требует мер по обеспечению безопасности приложений(Раздел 6.6) Законы о защите частной жизни требуют обеспечения безопасности данных Угрозы постоянны и продолжительны
© 2012 Безопасность приложения
© 2012 Trustwave WebDefend Непрерывная защита приложений
© 2012 WebDefend Мгновенная, непрерывная защита Защита начинается сразу с момента внедрения. Модуль адаптации автоматически строит профили. ExitControl предотвращает потерю важных данных. Номера кредитных карт, медицинские данные, интеллектуальная собственность. Соответствие PCI сразу «из коробки». Соответствие требованиям PCI раздел 6.6.
© 2012 Внутри WebDefend SSL / HTTP - Ответ SSL / HTTP - Запрос + Позитивная модель безопасности Запатентованный модуль динамического составления профиля нормального функционирования web приложения. Позитивная модель безопасности Запатентованный модуль динамического составления профиля нормального функционирования web приложения. Негативная модель безопасности Для определения слабых мест приложения, данных подверженных риску утраты используются как сигнатуры приложений, так и BreachMarks Негативная модель безопасности Для определения слабых мест приложения, данных подверженных риску утраты используются как сигнатуры приложений, так и BreachMarks Защита входящего трафика События/ Дефекты приложения HTTP SSL HTTP SSL Модуль корреляции Сочетает данные о позитивных и негативных событиях, группирует одинаковые события и самостоятельно их приоритезирует Модуль корреляции Сочетает данные о позитивных и негативных событиях, группирует одинаковые события и самостоятельно их приоритезирует Оповещение/ Действие Настраиваемая политика безопасности по оповещению, блокированию и сбору в третьих системах Оповещение/ Действие Настраиваемая политика безопасности по оповещению, блокированию и сбору в третьих системах
© 2012 WebDefend ExitControl ExitControl коррелирует входящие запросы и исходящие ответы 1=1/../../ Session ID =UX8serwderakv Script%23%.asp Hacker.exe VISA $1,500, Patient Data404 Заголовок Запрос Модуль корреляции Заголовок Ответ Стандартный вид FW
© 2012 Модуль адаптации WebDefend Динамическое построение профиля приложения Патентуемый модуль для построения позитивной модели безопасности Профилирование HTML, XML и SOAP Автоматическое обнаружение изменений приложения, запоминание и применение профиля Адаптация гарантирует непрерывную защиту приложений Обнаружение Адаптация Изучение
© 2012 Наглядность приложения WebDefend identifies problems and trends at the site, URL and session levels Отчеты в реальном времени по ключевым показателям Время транзакции Уровень ошибок Пропускная способность по HTTP и HTTPs Оповещения по изменениям приложений Показывает где используются критичные данные Номера паспортов, кредитных карт и т.д. Целостность приложения Поврежденные ссылки Утечки сходного кода WebDefend определяет проблемы и тенденции на уровне сайта, URL и сессии
© 2012 Виртуальный Patching Удаленно защищает приложение в то время как: Разрабатываются и тестируются обновления Обновления операционных систем устанавливаются IT службой Разрабатываются обновления третьими поставщиками Виртуальный patching закрывает длительный цикл доработки, удаленно защищая приложения при обнаружении новых уязвимостей.
© 2012 Простота использования, скорость внедрения Интуитивно понятный интерфейс WebDefend делает внедрение максимально простым Не требуется специализированный персонал или обучение Развертывание за минуты WebDefend обучается самостоятельно Специализированная защита без ручной настройки Архитектура не требующая перерыва Установка и запуск без остановки сервиса
© 2012 Модели внедрения Внедрение в стороне Внедрение в разрыв
© 2012 WebDefend закрывает 10 из 12 требований PCI Требования 1 Установить и поддерживать конфигурацию брандмауэров для защиты данных владельцев карт Требование 2 Не использовать пароли по - умолчанию и другие параметры безопасности Требование 3 Защищать хранимые данные Требование 4 Шифровать данные владельцев карт и подобной информации при передаче через общественные сети Требование 5 Использовать и регулярно обновлять антивирусное программное обеспечение Требование 6 Разработать и поддерживать системы приложения безопасности Требование 7 Ограничить доступ к данным на основании должностных обязанностей Требование 8 Присвоить уникальный ID каждому пользователю имеющему доступ Требование 10 Контролировать и отслеживать весь сетевой доступ к ресурсам содержащим данные владельцев карт Требование 9 Ограничить физический доступ к информации и данным владельцев карт Требование 11 Регулярное проводить тестирование систем безопасности Требование 12 Развивать политику, отвечающую за информационную безопасность Требование 1 Установить и поддерживать конфигурацию брандмауэров для защиты данных владельцев карт N/A Требование 10 Установить и поддерживать конфигурацию брандмауэров для защиты данных владельцев карт N/A
© 2012 Спасибо!