Разработчики: | Positive Technologies (Позитив Текнолоджиз) |
Дата премьеры системы: | 2014 |
Дата последнего релиза: | 2020/04/28 |
Технологии: | ИБ - Межсетевые экраны |
PT Application Firewall защищает приложения от всех распространенных угроз по классификации OWASP и WASC, сложных клиентских атак (DOM-based XSS), DDoS-атак на прикладном уровне, а также может блокировать атаки нулевого дня с помощью алгоритмов машинного обучения. Продукт способен автоматически коррелировать события, что дает возможность обнаруживать атаки на ранних этапах. Механизм виртуальных патчей позволяет моментально реагировать на угрозы, не дожидаясь устранения уязвимостей. В настоящее время PT Application Firewall обеспечивает безопасность веб-сервисов банков, телекоммуникационных компаний, предприятий нефтегазовой сферы, государственных организаций, онлайн-магазинов и телеканалов.
2020: Выпуск версии PT Application Firewall 4.0
28 апреля 2020 года компания Positive Technologies сообщила о выпуске следующей версии PT Application Firewall — межсетевого экрана уровня веб-приложений (web application firewall, WAF), предназначенного для защиты веб-ресурсов от атак из списка OWASP Top 10, DDoS-атак уровня приложений, а также зловредных ботов. PT Application Firewall 4.0 получил обновленную архитектуру, возможности установки в распределенной инфраструктуре и гибкого масштабирования под любую нагрузку, инструменты глубокого машинного обучения, а также механизм интеграции с веб-сервером Nginx.
Микросервисная архитектура PT Application Firewall делает компоненты системы слабосвязанными и позволяет масштабировать продукт под любую нагрузку. Это обеспечивает высокую доступность веб-приложений — до 99,999% времени (или не более 5,5 минут простоя в год) — и работу новой версии PT AF только в режиме активного предотвращения атак.
На российском рынке бытует неоднозначное понимание назначения класса решений WAF. При работе с высоконагруженными системами компании часто используют WAF в режиме мониторинга, опасаясь ставить решение "в разрыв" с активной блокировкой атак, или применяют средства, которые по сути своей отвечают не за защиту, а доставку приложений и балансировку трафика. Мы активно меняем эту парадигму и предлагаем продукт, который способен защищать веб-ресурсы организации любого масштаба и эффективно выявлять и блокировать самые современные атаки на веб-приложения, их пользователей и инфраструктуру размещения веб-приложений, — комментирует Максим Лунгу, руководитель отдела систем защиты приложений Positive Technologies |
Еще одно отличие PT Application Firewall 4.0 от прежней версии — встроенные алгоритмы глубокого машинного обучения (deep machine learning), которые в отличие от традиционного машинного обучения (machine learning) наиболее применимы в условиях одновременной работы с десятками веб-приложений, так как не требуют тонкой настройки со стороны пользователя.TAdviser Security 100: Крупнейшие ИБ-компании в России
PT Application Firewall 4.0 подходит для установки в распределенной инфраструктуре. Это позволяет быстро интегрировать продукт с приложениями, размещенными на удаленных площадках, не перенаправляя трафик в единую точку сбора данных. Дополнительным новшеством стал механизм интеграции с веб-сервером Nginx: теперь достаточно установить легковесный модуль для веб-сервера.
Инфраструктуры, в которых сегодня "живут" приложения, могут быть разными: собственные мощности компании, ресурсы сервис-провайдеров, частные или публичные облака. Сами по себе сервисы тоже неоднородны: например, сайт компании и сервис дистанционного банковского обслуживания (ДБО) подразумевают две непересекающиеся логики взаимодействия с пользователем. Все это требует от продуктов класса WAF гибкости и прозрачного масштабирования. Именно с прицелом на решение этих задач и с учетом популярных запросов наших заказчиков создан PT Application Firewall 4.0, — комментирует Виктор Рыжков, менеджер по продуктовому маркетингу направления Application Security в компании Positive Technologies |
PT Application Firewall 4.0 получил обновленный пользовательский интерфейс. Теперь на стартовой странице предоставляются только верхнеуровневые данные об актуальных угрозах — по источникам активности, атакуемым URL, названиям атаки и уровням опасности. В то же время сохранена возможность перейти к более детальному рассмотрению каждой угрозы в отдельности — классу и описанию угрозы, заголовкам запросов и ответов. Для упрощения настройки продукта в интерфейсе появилась схема конфигурации, которая позволяет на одной странице просматривать все текущие настройки продукта и в два клика добавлять, удалять, изменять защищаемые приложения, политики, профили, а также устанавливать связи между ними.
Востребованность решений класса web application firewall подтверждают статистические данные. Продукты класса WAF входят в топ-3 обязательного списка используемых технологий крупными предприятиями и компаниями среднего и малого бизнеса. Число клиентов Positive Technologies, использующих PT Application Firewall, за последние два года достигло 250. В общем финансовом результате компании на долю PT Application Firewall приходится около 10%, при этом общее число продаж лицензий продукта увеличилось в два раза по сравнению с 2018 годом
- PT Application Firewall — решение класса web application firewall (WAF) компании Positive Technologies, продукт впервые представлен в 2014 году. В 2015 году PT Application Firewall вошел в рейтинг Magic Quadrant for Web Application Firewalls аналитического агентства Gartner и несколько лет подряд подтверждал статус визионера.
- Микросервисная архитектура — вариант архитектуры программного обеспечения, направленный на разделение программы на небольшие, слабосвязанные, легко изменяемые и масштабируемые модули (микросервисы) и их взаимодействие между собой. Такой подход противопоставлен монолитной архитектуре и, в отличие от последней, позволяет разрабатывать, обновлять, настраивать и масштабировать компоненты независимо друг от друга (насколько это возможно).
2018
Сертификация ICSA Labs
6 июня 2018 года стало известно, что PT Application Firewall (PT AF) получил сертификацию ICSA Labs - независимого подразделения Verizon, которое проводит тестирование и сертификацию продуктов разработчиков и поставщиков услуг.
По просьбе Positive Technologies, ICSA Labs дополнила свои базовые критерии проверки тестированием специализированных возможностей PT AF, которые позволяют значительно повысить эффективность работы межсетевого экрана. В частности, анализировались функции выявления вредоносного программного обеспечения, виртуальный патчинг, расследование инцидентов и выявление DDoS-атак на уровне приложений, встроенные сканеры уязвимостей, политики по обеспечению защищенности контента. Продукт PT AF успешно прошел все испытания и остается развернутым в ICSA Labs, где в любой момент может быть дополнительно протестирован по сертификационным критериям ICSA для определения уровня защищенности, соответствия стандартам и тестирования производительности.
PT AF представляет собой комплексный межсетевой экран для веб-приложений, который сочетает машинное обучение, анализ поведения пользователя в реальном времени, выявление отклонений, технологию корреляции событий. Решение может быть интегрировано с анализатором защищенности приложений PT Application Inspector и другими системами по обеспечению безопасности. Все это помогает предоставлять проактивную и непрерывную защиту как от известных, так и неизвестных атак.
Инспекционный контроль ФСТЭК
31 мая 2018 года стало известно, что межсетевой экран прикладного уровня PT Application Firewall, предназначенный для защиты веб-приложений от кибератак, успешно прошел инспекционный контроль ФСТЭК России. Наличие сертификата соответствия ФСТЭК позволяет использовать продукт в государственных информационных системах до 1-го класса защищенности включительно, а также в информационных системах персональных данных до 1-го уровня защищенности включительно. Действие сертификата соответствия № 3455 продлено до 27 октября 2021 года. Сертификат подтверждает соответствие заявленным техническим условиям и выполнение требований документов «Требования к межсетевым экранам» и «Профиль защиты межсетевых экранов типа Г четвертого класса защиты. ИТ.МЭ.Г4.ПЗ» (ФСТЭК, 2016).
Сертификат был выдан на основании результатов испытаний, проведенных лабораторией Института инженерной физики (техническое заключение от 17.06.2015), экспертного заключения от 25.08.2015 органа по сертификации научно-производственного объединения «Эшелон» и результатов инспекционного контроля, проведенного лабораторией Института инженерной физики (технические заключения от 07.04.2017 и 09.04.2018).
В 2015 году PT Application Firewall стал решением в классе web application firewalls, подтвердившим соответствие требованиям технических условий и руководящих документов по 4-му уровню контроля отсутствия недекларированных возможностей.
На 31 мая 2018 года PT Application Firewall обеспечивает безопасность веб-сервисов банков, телекоммуникационных компаний, государственных организаций, предприятий нефтегазовой сферы, онлайн-магазинов и телеканалов.
2017
Обновление июня
В продукте появились готовые шаблоны политик безопасности, а первоначальная настройка может быть выполнена быстро и без труда –– через мастер настройки системы. Также усовершенствованы защитные механизмы: наряду с возможностью быстро и тонко настраивать продукт под индивидуальные сценарии –– для более эффективной защиты, теперь можно замаскировать номера банковских карт и другие чувствительные данные так, что их не сможет увидеть даже администратор продукта.
Ключевые изменения в PT Application Firewall:
- Установить на раз, два, три - Теперь организации смогут подключить PT Application Firewall к своим IP-сетям без внесения изменений в их конфигурацию. Это возможно благодаря новым моделям развертывания — сетевому мосту L2 и прозрачному прокси-серверу. Модель сетевого моста L2 выявляет попытки проникновения, и администраторы могут своевременно их отслеживать. Режим прозрачного прокси-сервера дает администраторам возможность либо просто обнаруживать вредоносный трафик, либо незамедлительно блокировать подозрительную активность. Отдельно следует отметить возможность мгновенного переключения между моделями прямо в веб-интерфейсе.
- Настройка — дело тонкое - Для еще большего удобства и большей защищенности PT Application Firewall вводит новый подход к работе с политиками безопасности. На основании исследований эксперты Positive Technologies разработали шаблоны политик безопасности, которые теперь доступны в продукте по умолчанию. Администратор может выбирать и без лишних усилий настраивать их в самых разных модификациях: по уровню безопасности, для одного или нескольких приложений или их отдельных частей. Созданные шаблоны можно сохранять и использовать для новых сайтов.
- Быстрый запуск -Теперь вместо выполнения многочисленных команд можно легко осуществить первичную настройку параметров развертывания через мастер настройки системы. Благодаря автоматическому определению защищаемых приложений, релевантному для режимов прозрачного прокси-сервера, сетевого моста L2 и SPAN, больше не придется держать в уме все серверы и IP-адреса. Эти и другие автоматизированные функции позволяют существенно экономить время администраторов, при этом не требуя глубокой технической подготовки.
Кроме того:
- Поддержка доступности приложений при неполадках. Безопасность важна, но одновременно с этим для многих организаций не менее актуально обеспечить непрерывность работы приложений. Теперь, если в приложении обнаружены незначительные дефекты, с помощью PT Application Firewall можно поддерживать его нормальную работу, пока дефекты будут исправляться на стороне сервера.
- Защита приложений в публичном облаке. Бизнес все больше полагается на «облака» и использует их в том числе для размещения своих веб-положений. При этом надо помнить, что «в облаке» приложение подвержено не только всем тем же угрозам, что и на серверах компании, но и угрозам, специфичным для облачных сред. PT Application Firewall теперь доступен в публичном облаке Microsoft Azure и позволяет защищать приложения как от облачных, так и от традиционных «земных» угроз.
- Усовершенствованная интеграция с Check Point. Теперь в рамках интеграционного решения PT Application Firewall и межсетевого экрана Check Point стала возможна отправка данных об инцидентах и атаках из PT Application Firewall в Check Point SmartCenter. Это позволяет эффективно сопоставлять события безопасности от обоих продуктов, обеспечивая более точное обнаружение атак.
- Максимальная конфиденциальность данных конечных пользователей. Администратор может создавать правила определения конфиденциальных данных пользователей, таких как паспортные данные или номера банковских карт. Эти правила можно применить, например, для того, чтобы маскировать такую информацию от третьих лиц или даже от администраторов PT Application Firewall. В последующих версиях правила маскирования данных будут настроены уже заранее для мгновенного развертывания.
Сертификация по новым требованиям ФСТЭК
Компания Positive Technologies сообщила в 1 июня о прохождении PT Application Firewall[1] сертификационных испытаний на соответствие новым требованиями ФСТЭК России к межсетевым экранам, вступившим в силу с 1 декабря 2016 года. Продукт, предназначенный для защиты от взлома ERP-систем, интернет-банкинга, порталов госуслуг, первым получил сертификат по четвертому классу защиты для межсетевых экранов уровня веб-сервера (тип «Г»).
Полученный сертификат №3455 действителен до 27 октября 2018 года. Он удостоверяет, что PT Application Firewall соответствует требованиям документов «Требования к межсетевым экранам» (ФСТЭК России, 2016) и «Профиль защиты межсетевого экрана типа «Г» четвертого класса защиты. ИТ.МЭ.Г4.ПЗ». (ФСТЭК России, 2016).
Защита ПО в Microsoft Azure
3 мая 2017 года компания Positive Technologies сообщила о партнёрстве с с Microsoft в сфере облачных технологий. PT Application Firewall теперь доступен к установке из Microsoft Azure Marketplace.
Совместные действия вендоров позволят защищать приложения в облачной среде Azure от взлома и DDoS-атак прикладного уровня. Предложение компаний ориентировано на приложения с повышенными требованиями к безопасности, гибкости и отказоустойчивости.
Благодаря облачным платформам практически любая компания может оптимизировать затраты на ИТ-инфраструктуру и обеспечить непрерывность критичных бизнес-процессов. Сегодня клиенты одного из крупнейших в мире облачных сервисов смогут воспользоваться продвинутыми функциями безопасности защитного экрана уровня приложений PT Application Firewall в той же экосистеме, в которой развернуты их веб-приложения. Михаил Черномордиков, директор департамента стратегических технологий Microsoft |
Веб-приложения, размещенные в облаке, подвержены не только типичным для этого класса атакам, но и ряду специфичных угроз. В частности, диапазоны IP-адресов всех вычислительных центров облачных провайдеров хорошо известны и постоянно анализируются сканерами на предмет появления новых узлов с уязвимыми сервисами. Поэтому, менее через пять минут после развертывания такой сервис может подвергнуться атаке. Кроме того, эластичность облачных сервисов рискует обернуться непредвиденными пользовательскими расходами в случае DDoS-атаки на уровне приложений, эксплуатации уязвимости внедрения внешних сущностей XML или удаленного выполнением кода. PT Application Firewall может обнаружить такие действия и предотвратить напрасное расходование вычислительных мощностей. |
Продукт блокирует все распространенные атаки по классификациям OWASP и WASC, включая SQLi, XSS и XXE, HTTP Request Splitting, Clickjacking и сложные клиентские атаки.
PT Application Firewall Cloud DDoS Protection
28 марта 2017 года Positive Technologies объявила о создании сервиса защиты от интернет-атак, совмещающего anti-DDoS от сетевого до прикладного уровня и технологии противодействия взломам.
Технология создана на платформе реализованных в PT Application Firewall алгоритмов машинного обучения для защиты от DDoS-атак прикладного уровня и облачной инфраструктуры фильтрации DDoS компании Qrator Labs. Сервис блокирует многовекторные атаки, хранит конфиденциальную информацию в пределах организации и противостоит любым ботам, моделирующим поведение пользователей.
Защита основана на взаимном обмене данными и управляющими командами между продуктом Positive Technologies Application Firewall, расположенным на стороне клиента, и облаком фильтрации Qrator, которое прикрывает инфраструктуру сети Интернет.
За счет применения перекрестных моделей выявления аномалий в действиях пользователей, PT Application Firewall Cloud DDoS Protection более эффективно защищает при комбинированных атаках (DDoS прикладного, сетевого уровня и взломах) и атаках, адаптированных к эвристическим механизмам противодействия. Благодаря технологиям поведенческого анализа, реализованным в продуктах обоих вендоров, PT Application Firewall Cloud DDoS Protection отличает легитимных пользователей от роботов и обнаруживает задействованные в атаке IP-адреса.
В организациях с повышенными требованиями к конфиденциальности сервис позволяет настроить защиту от любых атак так, чтобы вся важная информация не покидала периметр организации. PT Application Firewall представлен в виде программно-аппаратного комплекса (on-premise software), что позволяет обрабатывать на стороне заказчика пароли, финансовую, медицинскую и другую информацию ограниченного доступа при фильтрации любых сетевых атак.
С развитием Интернета вещей DDoS-атаки получили второе дыхание. Под ударом все чаще оказывается критическая инфраструктура с жесткими требованиями к доступности и конфиденциальности данных:
|
Мы крайне рады видеть в наших партнерах такую сильную технологическую компанию, как Positive Technologies, и я надеюсь, что наше партнерство позволит обеим компаниям еще больше укрепить позиции в enterprise-сегменте. Александр Лямин, генеральный директор и основатель Qrator Labs |
Этот сервис - расширение PT Application Firewall и, помимо блокирования DDoS-атак, обеспечивает автоматическую защиту приложений от атак, связанных с проникновением в корпоративную сеть, фродом, перехватом информации. PT Application Firewall соответствует требованиям российских регулирующих организаций и внесен в единый реестр российских программ для ЭВМ и баз данных.
Добавлены фильтры по пользователю и геолокации
16 января 2017 года компания Positive Technologies сообщила о выпуске релиза межсетевого экрана прикладного уровня PT Application Firewall. Продукт обладает функциями блокировки на основе данных геолокации, отслеживания аутентификации пользователей защищаемого приложения и позволяет реагировать на атаки типа «подбор пароля».
В системе расширены возможности продукта по настройке защиты:
- добавлена функция, позволяющая связывать запросы к приложению с конкретной учетной записью (из-под которой они осуществляются),
- отслеживать факты успешного и неуспешного входа в систему.
Защитный экран анализирует запросы на основании данных сессии, в частности - информации о геолокации и учетной записи пользователя, из-под которой осуществлен вход в защищаемое приложение. Это дает возможность оператору PT Application Firewall добавлять правила блокировки с учетом конкретного пользователя или групп пользователей и в случае подозрительных действий создать инцидент безопасности.
Существует множество случаев, когда информация об учетной записи помогает обеспечить лучшую защиту и своевременно выявить атаки. Один из популярных сценариев — кража учетных записей. Например, посетитель сайта находится в Москве, а от его имени осуществлен вход из Сингапура. В новой версии PT Application Firewall появились инструменты, позволяющие обнаружить хищение сессии или аккаунта и оперативно принять меры — заблокировать возможность использования защищаемого приложения для конкретного пользователя или групп пользователей из определенных регионов. Или другая ситуация: посетитель сайта вошел под своими учетными данными, но проявляет нетипичную для него активность, например пытается зайти в админ-панель — PT Application Firewall зафиксирует это событие. Дмитрий Нагибин, руководитель группы разработки средств защиты приложений Positive Technologies |
Технология помогает отследить неудачные попытки входа в систему и свяжет это событие с атакой «подбор пароля» (брутфорс), что поможет ее заблокировать.
В этом релизе усовершенствован механизм самостоятельного создания правил Rule Engine: администратор, работающий с системой, может настроить правила блокировки запросов на основе атрибутов геолокации. За счет этого при массовых атаках на веб-серверы можно блокировать некорректные запросы из региона, страны или города, откуда наблюдается моментальное возрастание нагрузки. Механизм может использоваться для быстрого реагирования на DDoS-атаки.
Интеграция системы с другими системами безопасности организации стала проще. Внутренние системы безопасности могут через интерфейс REST API автоматически передавать задействованные в атаке IP-адреса напрямую в PT Application Firewall для последующей блокировки. Это повышает уровень защищенности инфраструктуры организации, а также снижает трудозатраты, ведь ранее передача данных осуществлялась администратором вручную.
В состав поддерживаемых форматов для выгрузки отчетов включено HTML-представление. Теперь можно в браузере получать всю информацию о работе продукта, просматривать сводные таблицы, графики и диаграммы.
2016
PT Application Firewall 3.4
27 октября 2016 года Positive Technologies заявила о выходе нового релиза межсетевого экрана прикладного уровня PT Application Firewall. Среди ключевых изменений версии 3.4 — поддержка наиболее популярной платформы виртуализации VMware vSphere, усовершенствованные механизмы выявления вредоносных ботов (простых и продвинутых), визуализации и формирование отчетов по расписанию.
Новая версия PT Application Firewall точнее выявляет угрозы в отношении веб-приложений и стала удобнее для пользователей. Например, функция "удаленный помощник" позволяет запрашивать помощь в службе технической поддержки Positive Technologies при настройке или решении других вопросов. Интеграция со шлюзами безопасности Check Point дает возможность передать информацию о нарушителе с PT Application Firewall на межсетевой экран Check Point и заблокировать атакующему доступ ко всем ресурсам сети. Начиная с версии 3.4 продукт поддерживает автоматические обновления и установку специальных расширений, включая профили безопасности SAP и VMware. Олег Матыков, руководитель направления развития продуктов для защиты приложений и промышленных сетей Positive Technologies |
В 2016 году исследовательский центр Positive Technologies обнаружил ряд критически опасных недостатков в специализированном веб-клиенте, предназначенном для администрирования VMware vSphere. Релиз PT Application Firewall 3.4 блокирует атаки с использованием обнаруженных уязвимостей (сейчас они устраняются специалистами компании-производителя) и защищает от других брешей в защите, опубликованных на официальном сайте VMware.
Получив привилегии администратора в незащищенной версии веб-клиента VMware vCenter Server, нарушитель может захватить контроль над всей виртуальной средой предприятия. Для перехвата доступа к виртуальным машинам достаточно выполнить межсайтовый скриптинг, с помощью социальной инженерии заманив администратора веб-клиента на вредоносную веб-страницу и перехватив идентификаторы сессии. Из корпоративной сети веб-клиент может быть атакован при эксплуатации таких серверных уязвимостей, как XXE (атака на приложения с небезопасно настроенным XML-парсером). |
По мнению разработчиков, возможности PT Application Firewall 3.4 необходимы для компаний, использующих версии веб-клиента на основе технологий Flash и AMF. Профиль безопасности для VMware будет поддерживаться в актуальном состоянии и автоматически обновляться исследовательским центром Positive Technologies.
Эта версия PT Application Firewall помогает обнаружить и заблокировать практически все известные инструменты сканирования и копирования контента сайтов.
Простые боты не исполняют JavaScript-код, не двигают мышью при переходе между страницами и не выполняют запросы в браузере так, как это делают пользователи. Это и позволяет их обнаружить и нейтрализовать. Для более продвинутых ботов, которые эмулируют действия человека в браузере, в PT Application Firewall добавлены механизмы проверки, анализирующие поведение мыши. Например, если для нажатия на ссылку мышь не перемещается (и при этом используется не мобильное устройство), межсетевой экран прикладного уровня сочтет и активность, и пользователя подозрительными |
.
В этой версии межсетевого экрана доработана отчетность и расширены механизмы визуализации. Теперь отчеты могут формироваться:
- по расписанию,
- с адаптацией для руководства или для ИТ-специалистов,
- с графиками, отображающими распределение атак
- по времени,
- типам,
- уровню опасности,
- источникам
- другим параметрам.
Positive Technologies присоединилась к программе OPSEC Check Point
Компании Positive Technologies и Check Point Software анонсировали в сентябре 2016 года технологический альянс, нацеленный на создание комплексного подхода к защите сетевого периметра организации и ее веб-ресурсов. В рамках этого партнерства компании выпустили на рынок совместное решение, основанное на интеграции PT Application Firewall и сетевых устройств Check Point[1].
«Согласно данным Positive Research 71% обследованных веб-приложений содержат критические уязвимости. Вектор атак для проникновения злоумышленников во внутреннюю сеть компании преимущественно основывается на эксплуатировании уязвимостей в коде веб-приложений. Это не позволяет традиционным системам ИБ реализовывать меры противодействия в полной мере, так как классические средства периметрального контроля здесь бессильны,− рассказывает Филиппов Максим, директор по развитию бизнеса Positive Technologies в России. – Поэтому особенно важно не просто использовать средства защиты типа Web Application Firewall и Network Firewall по отдельности, а иметь технологический тандем средств, обменивающихся информацией в онлайн-режиме. Это позволит обеспечивать защиту ресурсов компаний на принципиально новом уровне: полностью охватывая сетевой и прикладной уровни».
В рамках интеграции были реализованы правила обмена информацией между продуктами обоих производителей и разработаны соответствующие коннекторы. Взаимодействие двух технологий осуществляется в формате «машина-машина» и позволяет обеспечить комплексную защиту веб-ресурсов: PT Application Firewall выявляет и блокирует атаки, передает информацию об IP-адресе атакующего и таймаут блокировки на устройства Check Point, которые, в свою очередь, блокируют запросы от подозрительного источника на сетевом уровне.
Разработанное совместное решение по защите периметра организации (и ее веб-ресурсов в том числе) предоставляет защиту от атак «нулевого дня» (благодаря механизмам машинного обучения, заложенным в PT Application Firewall), DDoS-атак на приложения и выявляет аномалии. А также существенно расширяет возможности служб ИБ по расследованию инцидентов и гибко масштабируется.
PT Application Firewall соответствует требованиям безопасности Республики Беларусь
Самообучающийся защитный экран уровня приложений от Positive Technologies (PT Application Firewall) прошел сертификацию по требованиям безопасности в Республике Беларусь. Соответствие системы регламенту ТР 2013/027/BY (СТБ 34.101.1-2014, СТБ 34.101.2-2014 и СТБ 34.101.3-2014) подтверждено оперативно-аналитическим центром (ОАЦ) при Президенте Республики Беларусь.
Сертификат выдан компании «Аксофтбел» − эксклюзивному дистрибьютору решений Positive Technologies в Республике Беларусь, и действителен до июня 2020 года. В соответствии с ним PT Application Firewall может применяться для защиты информационных систем, обрабатывающих или содержащих открытую информацию, данные, распространение и (или) предоставление которых ограничено, а также информацию, охраняемую в соответствии с законодательством Республики Беларусь.
PT Application Firewall – второй продукт Positive Technologies, одобренный в этом для использования на объектах информатизации класса А2, Б2, В2, А3, Б3 и В3 в Беларуси. Первым стал MaxPatrol 8.0, сертифицированный в июне 2016 года.
Совместное решение Positive Technologies и «С-Терра СиЭсПи»
2 августа 2016 года Positive Technologies и «С-Терра СиЭсПи» сообщили о тестировании совместного решения для защиты корпоративных веб-приложений.
Компании завершили тестирование работы PT Application Firewall и программно-аппаратного комплекса С-Терра Шлюз на единой платформе. Испытания продемонстрировали отсутствие влияния защищенного туннеля на производительность и функциональность межсетевого экрана. Это допускает использование комплексного решения в организациях с жёсткими требованиями к защите веб-приложений.
Крупные компании и государственные организации активно используют VPN для предоставления защищенного доступа к своим информационным системам, построенным преимущественно с использованием веб-технологий. Применение PT Application Firewall позволяет решить сразу две задачи. Во-первых, это защита приложений от злоумышленников из общедоступных сетей для случаев, когда определенным группам пользователей предоставляется доступ без использования VPN-туннеля. Во-вторых, PT AF выявляет и блокирует атаки на приложения со стороны внутренних злоумышленников и обеспечивает защиту при потере пользователем контроля над АРМ. |
По статистике Positive Technologies, в 60% случаев вектор проникновения во внутреннюю сеть направлен на уязвимости в коде веб-приложений. Так, в 2013 году в США было скомпрометировано соединение между торговой сетью Target и компанией, обслуживающей ее системы кондиционирования: получив доступ к внутреннему веб-приложению Target, атакующие обнаружили в нем уязвимость и загрузили бэкдор, что привело к утечке данных 70 млн пользователей шестого по величине ритейлера США и ущербу в 162 млн долларов.
На этапе тестирования совместной работы продуктов Positive Technologies и «С-Терра СиЭсПи» проверялась базовая функциональность PT Application Firewall, работа защитных механизмов и корректность журналирования атак. В ходе тестирования выполнялось подключение из внешней сети через С-Терра Шлюз, а затем через PT Application Firewall — к веб-приложению во внутренней сети. Контрольные тесты показали одинаковую производительность PT Application Firewall как с использованием С-Терра Шлюз, так и без него.
«Применение сертифицированных VPN-продуктов "С-Терра" обеспечивает конфиденциальность и целостность передаваемой информации, причем с использованием стандартных протоколов IPsec. В сочетании с использованием межсетевого экрана прикладного уровня это позволяет пользователю обеспечить полную защиту сведений, безопасность которых регламентируется законодательством, например персональных данных, хранение которых в последнее время все чаще организовано на основе веб-технологий», — уточняет Владимир Залогин, директор по специальным проектам «С-Терра СиЭсПи».
Технологическое сотрудничество двух компаний продолжается и в рамках других проектов. В ходе совместных работ со специалистами «С-Терра СиЭсПи» обеспечена поддержка сбора событий С-Терра Шлюз в MaxPatrol SIEM версии 2.0. В настоящее время MaxPatrol SIEM поддерживает средства защиты большинства отечественных разработчиков.
Интеграция с продуктами Group-IB
14 июля 2016 года компании Positive Technologies и Group-IB сообщили об интеграции технологий защиты онлайн-платежей и веб-порталов на платформе PT Application Firewall.
Positive Technologies провела интеграцию сервисом Group-IB Bot-Trek Secure Bank и Bot-Trek Secure Portal c PT Application Firewall. Теперь пользователи сервисов Bot-Trek могут контролировать риски, возникающие на стороне их клиентов, без внесения изменений в код веб-приложений.
Системы раннего обнаружения мошенничества Bot-Trek Secure Bank и Bot-Trek Secure Portal входят в экосистему мониторинга, обнаружения и предупреждения киберугроз. Принцип их работы основан на сборе данных с клиентских устройств в момент их обращения к веб-приложению. При использовании Bot-Trek SB и Bot-Trek SP в ответы сервера веб-приложений внедряется специальный скрипт, который собирает и передает информацию в серверную инфраструктуру Bot-Trek для анализа данных различного типа, включая идентификационные, факты веб-инъекций или признаки работы подозрительных плагинов.
Внедрение пользовательского модуля у заказчиков предполагает внесение изменений в код веб-приложения, что не всегда выполнимо. К примеру, многие организации для решения своих бизнес-задач используют сторонние приложения и не имеют доступа к исходному коду. Кроме того, нельзя сбрасывать со счетов человеческий фактор: любое ошибочное изменение в уже работающем веб-приложении грозит серьезными последствиями, вплоть до отказа сервиса, что особенно важно, если речь идет о государственных порталах, e-commerce или интернет-магазинах. |
Решением проблемы стала интеграция сервисов Group-IB Bot-Trek SB и Bot-Trek SP с PT Application Firewall. Объединение технологий потребовало незначительных доработок в PT Application Firewall: модули Bot-Trek SB и Bot-Trek SP интегрированы с клиентскими модулями и внедрены в межсетевой экран уровня приложений, используемый в режиме обратного прокси-сервера.
Таким образом, при обращении пользователя к веб-порталу PT Application Firewall автоматически вставляет объединенный скрипт в ответы приложения и отправляет все собираемые модулем данные в серверную инфраструктуру Bot-Trek SB и Bot-Trek SP. Весь процесс не требует дополнительных вмешательств в исходный код веб-приложения и никак не сказывается на скорости загрузки страницы. |
Добавлен модуль P-Code
В 2016 году в продукт были добавлены дополнительные модули. В частности, модуль P-Code, поддерживающий функцию анализа безопасности исходного кода и создания виртуальных патчей, а также специальные модули, предназначенные для глубокой защиты критически важных бизнес-приложений (ERP, CRM, SRM и клиентских приложений больших данных, включая SAP HANA). Связка вышедшей в 2016 году версии анализатора кода PT Application Inspector SSDL Edition, предназначенной для построения процесса безопасной разработки ПО, с PT Application Firewall позволяет обеспечить безопасность приложения на всех этапах его жизненного цикла, от разработки до эксплуатации.
В реестр российских программ
Система мониторинга событий информационной безопасности MaxPatrol SIEM и защитный экран уровня приложений PT Application Firewall приказом Минкомсвязи РФ внесены в начале июня 2016 года в единый реестр российских программ для электронных вычислительных машин и баз данных. В соответствии с решением уполномоченного органа с 14 июня 2016 года система PT Application Firewall включена в класс ПО, к которому относятся средства обеспечения информационной безопасности предприятия. MaxPatrol SIEM помимо этого включен в класс систем мониторинга и управления и системы сбора, хранения, обработки, анализа, моделирования и визуализации массивов данных.
С мая 2016 года в единый реестр отечественного ПО также входят сканер уязвимостей XSpider (в классе средств обеспечения ИБ) и флагманское решение компании Positive Technologies – MaxPatrol 8.0 (в классе систем мониторинга и управления информационной безопасностью предприятия).
PT Application Firewall 3.3
В мае 2016 года Positive Technologies представила версию 3.3 межсетевого экрана прикладного уровня PT Application Firewall, предназначенного для обнаружения и блокирования кибератак на веб-порталы, мобильные и облачные приложения, системы ДБО и ERP. Теперь PT Application Firewall поддается более тонкой настройке и защищает от клиентских атак и прикладных DDoS-атак, отслеживает посетителей по GeoIP, выявляет хакерские инструменты, упрощает расследование инцидентов.
Защита от прикладных DDoS-атак
DDoS-атаки на уровне приложения не требуют от злоумышленника значительных ресурсов, а противодействовать им все сложнее. Боты начинают массово поддерживать веб-протоколы и эмулировать браузер, что затрудняет применение традиционных методов борьбы.
В данной редакции PT AF реализован механизм защиты от DDoS-атак на прикладном уровне, использующий технологии машинного обучения. Все события разделены на два этапа: обнаружение признаков отказа в обслуживании и поиск атакующего.
Версия 3.3 поддерживает интеграцию со специализированным решением для защиты от DDoS-атак Arbor Peakflow. Список подозрительных посетителей отправляется в систему Arbor, администратор которой может заблокировать конкретные IP-адреса на определенный промежуток времени.
Механизм создания правил
Обширный набор правил в новой версии PT AF позволяет выявлять атаки по наличию в трафике нескольких атомарных условий. Например, правила для SAP NetWeaver покрывают множество известных уязвимостей, обеспечивают контроль утечек данных, защищают от сканеров. Поддерживается также выявление атак на SAP ICM, SAP Management Console, SAP SOAP RFC.
Главное отличие механизма Rule Engine — возможность создавать правила самостоятельно, в том числе для всех известных уязвимостей из словаря CVE. Любой HTTP-запрос может быть автоматически превращен в набор правил, отредактирован и протестирован с различными параметрами. Такая функциональность позволяет решать множество задач, не обращаясь к разработчику межсетевого экрана.
Возможность не только анализировать трафик по регулярным выражениям, но и сопоставлять параметры запроса и его ответа — уникальная характеристика PT AF 3.3. Это снижает число ложных срабатываний и повышает точность выявления атак.
Группировка событий
Инструмент группировки позволяет увидеть наиболее важную информацию в общем потоке срабатываний. Это серьезно упростит расследование инцидентов и будет востребовано в центрах мониторинга ИБ. Чтобы отсечь, например, попытки сканирования с определенных адресов и за определенный период времени, специалисту достаточно выбрать сортировку по типу события и IP. Есть возможность определить IP-адрес и посмотреть все атаки с этой машины — это поможет заблокировать самых активных ботов. Когда у пользователя несколько веб-приложений, он может выбрать сортировку по профилю и типу инцидента или другим категориям, чтобы посмотреть, какие атаки представляют угрозу конкретному типу веб-приложения.
Расширенная защита от клиентских атак
Атаки на пользователей, такие как XSS, CSRF, Clickjacking, являются одной из важнейших проблем безопасности веб-приложений. Межсайтовому выполнению сценариев (XSS) в 2014 году были подвержены 54% исследованных Positive Technologies систем ДБО, а в 2015 году — 30%. С помощью XSS злоумышленник может перехватить вводимые на странице данные кредитной карты (вместе с CVC-кодом), украсть сессию, изменить реквизиты для банковского перевода.
В данной версии PT Application Firewall была обеспечена блокировка (а не только выявление) атак DOM XSS, которые считаются наиболее сложными для определения автоматизированными средствами защиты. Для этой и других атак на клиента был добавлен JavaScript-модуль для защиты на стороне клиента (waf.js), который запускается в браузере пользователя после первого посещения защищаемого сайта. Среди других возможностей waf.js: обнаружение ботов с возможностью рендеринга страниц и выявление клиентов, использующих инструменты для анализа защищенности веб-приложений (Burp Suite, ZAP Proxy, Acunetix, Netsparker и др.). Кроме того, модуль waf.js позволил расширить возможности по защите от CSRF-атак путем вставки токенов в динамические формы на клиентской стороне.
Конфигурирование
Использование API на основе протокола REST дает возможность без лишнего труда установить сколько угодно систем PT Application Firewall, настроить их сетевую конфигурацию и базовые политики безопасности. Зная имя пользователя и пароль, можно настроить PT Application Firewall через автоматизированную систему развертывания, которая имеется на стороне пользователя.
Запись действий и анализ перемещений по GeoIP
В системе продолжает развиваться функциональность отслеживания подозрительных посетителей. Если кто-то попытался атаковать ваше веб-приложение, PT AF может записывать его последующие шаги, в том числе легитимные, для последующего расследования инцидента.
В PT Application Firewall также появился механизм информирования об изменении геолокации. Резкое изменение географического положения — города, региона или страны — влечет создание инцидента безопасности. Градации доверия гибко настраиваются под нужды пользователя.
Среди других изменений версии 3.3 стоит отметить интеграцию с PT MultiScanner с целью обнаружения вирусов в файлах, загруженных на веб-портал.
2015
Продвижение PT Application Firewall на рынок РФ
22 декабря 2015 года компании Cisco, Positive Technologies и OCS заявили о начале продвижения совместного продукта PT Application Firewall.
Positive Technologies и компания Cisco выводят на рынок совместный продукт — PT Cisco UCS AF. Решение представляет собой программно-аппаратный комплекс: межсетевой экран уровня приложений PT Application Firewall, установленный на серверной платформе Cisco UCS C- или E-серий.
Адаптация PT Application Firewall к оборудованию Cisco UCS дает возможность повысить безопасность корпоративных и публичных веб-приложений, сократить трудозатраты на обслуживание. Достигнута договоренность о продвижение PT Cisco UCS AF на рынок компанией OCS с 2016 года.
PT Application Firewall имеет сертификат ФСТЭК России (сертификат соответствия № 3455 от 27 октября 2015 года).
Технологии, используемые в Cisco UCS, в том числе для серверов UCS C-серии, позволяют оптимизировать IТ-инфраструктуру, сократить затраты на приобретение, развертывание и обслуживание оборудования. ПО Cisco UCS Director обеспечивает централизованный сбор информации о физических и виртуальных ресурсах и позволяет предотвратить усложнение системы при ее расширении. Благодаря Cisco UCS Manager и технологии Cisco SingleConnect есть возможность автоматической настройки оборудования с помощью предопределенных политик.
C аппаратным решением на платформе Cisco UCS E-серии заказчики получают маршрутизатор и защитный экран сетевого и прикладного уровней в одном устройстве, что сокращает затраты на обеспечение безопасности сети и приложений. PT Cisco UCS AF на платформе Cisco UCS E-серии подходит для крупной распределенной организации.
В качестве дистрибутора выступит компания OCS - с 1997 года компания занимается продвижением всех технологий Cisco на российском рынке.
Российский рынок является для нас одним из ключевых. Именно поэтому мы очень тщательно подходим к выбору наших технологических партнеров. Особый интерес для нас представляют компании, предлагающие высокотехнологичные и эффективные решения. Наше сотрудничество с Positive Technologies и OCS продолжается на протяжении многих лет, мы с большим уважением относимся к тому, что делают эти компании для развития рынка информационной безопасности, и не понаслышке знаем о высокой компетенции экспертов, а также качестве продуктов Positive Technologies и партнерских сервисов OCS Distribution. Михаил Кадер, заслуженный системный инженер Cisco
|
Мы рады пополнить своё продуктовое портфолио новым не только высокотехнологичным, но и востребованным рынком продуктом. Это хороший пример, когда кросс-компетенции дистрибутора в области сетей, ЦОД и информационной безопасности интересны одновременно и двум вендорам, и широкому кругу партнеров. В наше трудное для рынка время это отличный — и абсолютно реальный — пример синергии технологий, продуктов и сервисов разных рыночных игроков. Наша роль в этом — "доставить" преимущества до партнеров. Мы уверены в успешном будущем этого направления и будем активно развивать его. Руслан Чиняков, вице-президент OCS Distribution
|
Компания Cisco наш давний технологический партнер. Наши эксперты отлично знакомы с технологиями Cisco, которые, как правило, становятся де-факто стандартами индустрии. Мы вместе работаем над тем, чтобы обеспечить эффективное и безопасное функционирование бизнес-приложений заказчиков. Это касается не только исследования уязвимостей или поддержки в MaxPatrol рекомендаций Cisco по сетевой безопасности в виде проверок соответствия. Отдельное направление совместных работ — органичное включение продуктов Positive Technologies в архитектуру решений Cisco. Поддержка серверов Cisco UCS C- и E-серий в качестве аппаратной платформы для Positive Technologies Application Firewall стала значимым шагом в этом направлении. А партнерство с OCS открывает возможности взаимодействия с компаниями, которые занимаются проектированием ИТ-инфраструктуры на базе решений Cisco. Это особенно актуально в контексте осознания проблемы защиты веб-приложений сотрудниками ИТ и ИБ-подразделений наших заказчиков. Максим Филиппов, директор Positive Technologies по развитию бизнеса в России
|
PT Application Firewall 3.2
10 ноября 2015 года компания Positive Technologies объявила о выходе версии 3.2 экрана для защиты веб-приложений PT Application Firewall (PT AF).
Релиз продукта 3.2 содержит механизм обнаружения соединений из подозрительных источников, возможность интеграции с репутационными сервисами, улучшенный инструмент фильтрации ложных срабатываний. В продукте появились системы отчетов, уведомлений, архивации и другие полезные функции. Оболочка в десятки раз сокращает время первоначальной настройки сети при интеграции в существующую сетевую инфраструктуру.
Диаграмма взаимодействия продукта (2015)
Защита от фишинга
Подключение крупнейших сервисов репутаций позволяет эффективнее отслеживать и блокировать переходы с фишинговых сайтов на легитимные ресурсы. Система PT AF версии 3.2 обнаруживает и блокирует переходы как с небезопасных сайтов, по заголовку Referrer, так и переходы на скомпрометированные страницы в пределах защищаемых ресурсов.
Противодействие атакам из анонимных сетей
Помимо доступа к сервисам репутаций, в продукте появилась возможность формировать списки заблокированных IP-адресов и DNS-имен для блокирования атак, исходящих из выходных узлов сети Tor, анонимных прокси (к примеру, по SOCKS proxy) и других подозрительных источников. Базы данных таких источников создаются на основе информации специальных служб, сервисов репутаций или honeypot-ов.
Снижение числа ложных срабатываний
Ложные срабатывания — одна из главных проблем современных межсетевых экранов для веб-приложений (WAF). PT AF эффективно решает эту задачу посредством корреляционного анализа и встроенного динамического сканера уязвимостей, а в версии 3.2 неактуальные события отсеивать станет еще проще с использованием механизма фильтрации.
Настройка за несколько минут
Linux-подобная оболочка для первоначальной настройки сети не требует обязательного взаимодействия с конфигурационными файлами и командами ifconfig, ip, route и др. Оболочка получила набор простых и коротких команд для легкой настройки основных параметров, что позволяет не вводить стандартные консольные команды Linux, синтаксис которых может быть сложен для пользователя. При этом сохранился доступ к тонким настройкам всех компонентов, которые есть в Linux.
Утилита помогает заказчику самостоятельно конфигурировать любую из возможных топологий, а функции подсказок, автодополнения и верификации пользовательского ввода помогают избежать ошибок на первоначальном этапе настройки PT AF.
Интерфейс
Изменения произошли в пользовательском интерфейсе. Теперь в него можно добавлять всю необходимую информацию о конфигурациях сети, что позволяет не обращаться к консоли, если требуется информация об IP-адресах, маршрутах, шлюзах, ролях интерфейса, группах серверов приложений и т. п. Сейчас все эти данные удобно разложены по вкладкам.
Отчеты, уведомления и архивация
В версию 3.2 добавлено расписание архивации, которое позволяет сохранять как инциденты базы данных по определенному периоду, так и конфигурацию базы данных и отдельные действия пользователя. Появилась и новая система отчетов со всей информацией, которая может понадобится специалистам по безопасности. Пользователи PT AF смогут загружать свои собственные списки в формате CSV для автоматизированной подгрузки шаблонов в средства блокировки. Стоит отметить также систему уведомлений: SMTP позволяет проинформировать администратора по обычной почте, а поддержка защищенного протокола SNMPv3 дает возможность отсылать уведомления в различные системы мониторинга, а также интегрироваться с пограничными шлюзами и отправлять им IP-адреса атакующих для того, чтобы они их блокировали «на себе», если это нужно.
«Высокая конкуренция на рынке средств защиты веб-приложений и попадание в визионерский сектор квадранта Gartner обязывают нас ежедневно работать над улучшением PT Application Firewall, — заявил Михаил Башлыков, заместитель генерального директора по развитию продуктов Positive Technologies. — Сегодня возможности PT Application Firewall уже оценили почти 50 компаний, включая таких гигантов, как "Мегафон" и ВГТРК. Кроме того, десятки компаний участвуют в нашей открытой программе пилотного тестирования (af.ptsecurity.ru). Обратная связь с заказчиками — один из основных источников наших знаний: именно так разрабатывалась функциональность новой версии, принимались решения о необходимости технической поддержки в режиме 24/7 и об улучшении модуля защиты XML-трафика. Продукт продолжает активно развиваться: в следующих релизах будут усовершенствованы и добавлены новые возможности по отражению DDoS-атак на прикладном уровне и отслеживанию пользователей, основанные на методах машинного обучения».
XML-расширение PT Application Firewall
Positive: XML-расширение PT Application Firewall - решение для защиты информационного взаимодействия бизнес-приложений, которое расширяет возможности PT Application Firewall при работе с разрозненными системами заказчиков.
4 августа 2015 года компания Positive Tеchnologies сообщила о выводе на рынок отечественного решения для защиты информационного взаимодействия бизнес-приложений, расширяющее возможности PT Application Firewall при работе с разрозненными системами заказчиков. Передовые компоненты модуля защиты XML-трафика позволяют повысить безопасность внутренних и внешних бизнес-процессов, значительная часть которых осуществляется с помощью XML.
Схема взаимодействия, 2014
Протоколы, использующие XML (SOAP, HTTP и другие), применяются сегодня для взаимодействия приложений в самых различных отраслях — в энергетике, госуправлении, телекоммуникациях, образовании, в банках, здравоохранении и на транспорте. Посредством универсальности и гибкости XML сервис-ориентированные платформы помогают связывать воедино разнородные приложения и службы, решая внутри- и межкорпоративные проблемы интеграции.
Распространенность XML в критически важных узлах инфраструктуры (ERP, АСУ ТП, АБС, порталах государственных услуг, системах межведомственного взаимодействия) делает уязвимости этого языка особенно опасными. К примеру, в 2014 году, по статистике Positive Technologies, критически опасная уязвимость «Внедрение внешних сущностей XML» обнаружена почти в половине систем ДБО (в 46%). Воспользовавшись такой ошибкой, злоумышленник может получить содержимое файлов на атакуемом сервере посредством внедрения произвольного XML-кода.
Противодействовать подобным атакам на веб-сервисы готов модуль защиты XML в системе PT Application Firewall. Он позволяет обнаружить несанкционированные и вредоносные включения в содержимом XML-сообщений, проводить валидацию и профилирование SOA-вызовов и XML-сообщений. При анализе XML используются механизмы автоматического самообучения, что значительно уменьшает вероятность эксплуатации уязвимостей.
Вторая важная особенность нового решения заключается в возможности управления доступом пользователей и анализа их поведения. Администратор системы может разграничить права доступа внутренних или внешних пользователей в соответствии с политикой организации, блокировать нелегитимные или ошибочные запросы с их стороны.
Олег Матыков, руководитель отдела проектных решений Positive Technologies, отметил: «Интеграция приложений как с внутренними, так и с внешними системами — важнейшая задача для любого предприятия. Сервисные шины и SOA-платформы сегодня являются своеобразным мостом между разрозненными "островами": страховые сервисы взаимодействуют с банковскими, промышленные системы управления — с системами управления предприятиями, центральные подразделения организации автоматизируют работу с филиалами и т.д. В информационном обмене между различными службами XML-транспорт занял одну из доминирующих ролей, что заставляет обратить пристальное внимание на специфические проблемы безопасности. Решение, которое мы предлагаем, позволит защищать информационное взаимодействие распределенных сервисов любого уровня сложности как внутри организации, так и за ее пределами».
PT Application Firewall интегрирована с Zecurion Zgate
13 апреля 2015 года стало известно о взаимной интеграции межсетевого экрана прикладного уровня PT Application Firewall и DLP-системы Zecurion Zgate (Traffic Control) компании Zecurion.
Взаимодействие
Совместное использование Application Firewall и Zecurion Zgate обеспечивает поток данных из системы Zgate о наличии конфиденциальных данных в пересылаемых сообщениях и файлах. DLP-система проводит анализ полученной информации по заданным правилам фильтрации и определяет несоответствия политикам безопасности, используя более 10 специализированных технологий обнаружения угроз. После анализа Zgate генерирует для Application Firewall специальное сообщение с информацией о пользователе, секретных данных и сработавшем правиле.
В случае выявления сообщения, нарушающего политики безопасности, межсетевой экран PT AF блокирует передачу информации, предотвращая утечку секретных данных.
Посредством механизма выявления атак, действующего на основе анализа аномалий, межсетевой экран прикладного уровня PT Application Firewall обеспечивает защиту от всех распространенных уязвимостей по классификации OWASP и WASC, включая SQLi, XSS и XXE, а также от популярных атак HTTP Request Splitting, Clickjacking и сложных клиентских атак (DOM-based XSS).
Система Application Firewall идентифицирует уязвимости нулевого дня, в том числе ошибки, подобные Heartbleed, Shellshock и GHOST, и блокирует связанные с ними атаки даже без обновления сигнатур. Функция виртуального патчинга дает возможность быстрой настройки защиты, пока команда разработчиков уязвимого приложения трудится над созданием обновления.
Интеграция двух аналитических инструментов - Zecurion Zgate) и PT Application Firewall помогает выполнить ряд сценариев использования:
- фильтрация спама в клиентских приложениях,
- контроль доступа к конфиденциальным документам,
- верификация контента на различных корпоративных площадках.
PT Application Firewall в квадранте Gartner Visionaries
Компания Positive Technologies включена аналитической компанией Gartner в «магический квадрант», объединяющий мировых производителей решений для защиты веб-приложений (2015 Magic Quadrant for Web Application Firewalls). Российский продукт PT Application Firewall попал в квадрант Visionaries. Согласно методике Gartner такие продукты имеют инновационные функции и решения, определяющие развитие рынка.
2014: Описание
PT Application Inspector и PT Application Firewall - решения для обеспечения безопасности систем ДБО и АБС, а также корпоративных приложений и порталов электронного правительства. Продукты используются для защиты веб-приложений и предоставляемых онлайн-сервисов не только в России, но и в Индии, Италии, Корее. Такие компании, как «Мегафон» и Postel (подразделение государственной почтовой службы Италии), уже применяют продукты Application Security.
В качестве одного из самых значимых примеров можно привести внедрение PT Application Firewall для обеспечения бесперебойности трансляций самого знакового для России события прошлого года — Олимпийских игр «Сочи-2014». Несмотря на огромное количество попыток атаковать ресурсы ВГТРК, трансляцию удалось обеспечить на высочайшем уровне.
Как показывает практика, основной мишенью киберпреступников сегодня являются прикладные сервисы, ставшие неотъемлемой частью IT-систем крупного и среднего бизнеса. Все активнее используются веб-технологи: интернет-банкинг, мобильные сервисы для клиентов, портальные ERP-решения для взаимодействия с поставщиками, онлайновые сервисы операторов связи, удаленные терминалы АСУ ТП. Однако они не только повышают эффективность бизнес-процессов, но и дают новые возможности злоумышленникам.
Согласно исследованию Positive Technologies, в 2014 году свыше половины инцидентов ИБ в крупных российских компаниях были связаны с интернетом, причем большая их часть привела к серьезным проблемам, включая финансовые и репутационные потери. На ситуацию не влияет применение компаниями традиционных межсетевых экранов и систем предотвращения вторжений. Злоумышленники успешно обходят классические сигнатурные методы защиты, используя уязвимости нулевого дня. Исправление обнаруженных ошибок и уязвимостей в бизнес-приложениях и установка обновлений в системах ERP, АСУ ТП, ДБО может занимать месяцы, а иногда и более года, и все это время уязвимость остается незакрытой.
Отличие самообучающегося межсетевого экрана PT AF заключается в том, что он способен устранять угрозы без обновления ПО защищаемого приложения. Механизм виртуальных патчей блокирует атаки через известные уязвимости до того, как будет исправлен небезопасный код. Вместе с системой анализа исходного кода PT AI данная функция обеспечивает непрерывный процесс выявления и блокирования уязвимостей. При этом вместо применения классического сигнатурного метода PT AF анализирует сетевой трафик и системные журналы для создания актуальной модели функционирования приложений и на ее основе выявляет аномальное поведение системы. В сочетании с другими защитными механизмами это позволяет блокировать 80% атак нулевого дня «из коробки» без специальной настройки и адаптации под защищаемую прикладную систему.
Системы PT Application Firewall и PT Application Inspector эффективно взаимодействуют друг с другом и могут использоваться на оборудовании различных производителей. Например, межсетевой экран PT AF полностью совместим с платформой Cisco Unified Computing System Express.
При совместном использовании систем межсетевой экран PT AF может получать информацию о наличии уязвимостей в приложении непосредственно из системы анализа исходного кода и выявления уязвимостей PT AI, в которой реализован уникальный гибридный подход, сочетающий преимущества статического, динамического и интерактивного анализа, а также использующий огромную базу знаний уязвимостей, накопленную экспертами Positive Technologies.
Количество используемых современными компаниями приложений (мобильных, ERP- и веб-) неуклонно растет, а вместе с ним увеличивается и число критичных уязвимостей, которыми могут воспользоваться злоумышленники. Современные межсетевые экраны и системы предотвращения вторжений (IPS) не обеспечивают необходимый уровень защиты веб-приложений: векторы атак, эксплуатирующие уязвимости веб-приложений в корпоративных сетях, по-прежнему используются злоумышленниками наиболее часто и эффективно. Ответом на этот вызов стал продукт PT Application Firewall: опыт исследований защищенности веб-приложений, использование инновационных технологий машинного обучения и поведенческого анализа, вместе с применением новейших методов обеспечения безопасности (например, виртуального патчинга и построения цепочек атак), позволили Positive Technologies создать продукт, эффективность которого подтверждается практикой — а также ведущим мировым аналитическим агентством.
PT AF автоматически сортирует и ранжирует выявленные атаки, визуализирует угрозы таким образом, чтобы выделить действительно важные, — c помощью уникальной технологии построения цепочек атак. Его функции (такие как автоматическая корреляция инцидентов) позволяют организациям обнаруживать и останавливать атаки на ранних этапах их развития, отсеивая нерелевантные события и концентрируя внимание на действительно опасных атаках, а также существенно сокращать время их обнаружения. Благодаря механизму машинного самообучения PT AF выявляет и неизвестные ранее атаки (атаки нулевого дня).
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (144)
ESET (ИСЕТ Софтвеа) (65)
Инфосистемы Джет (64)
ДиалогНаука (56)
Информзащита (41)
Другие (1203)
Смарт-Софт (Smart-Soft) (5)
Национальный аттестационный центр (НАЦ) (4)
Card Security (Кард Сек) (4)
R-Vision (Р-Вижн) (4)
Softline (Софтлайн) (4)
Другие (72)
Солар (ранее Ростелеком-Солар) (8)
А-Реал Консалтинг (6)
Softline (Софтлайн) (3)
Лаборатория Касперского (Kaspersky) (2)
TUV Austria (2)
Другие (55)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (22, 170)
ESET (ИСЕТ Софтвеа) (11, 79)
Positive Technologies (Позитив Текнолоджиз) (13, 68)
Смарт-Софт (Smart-Soft) (5, 47)
Доктор Веб (Dr.Web) (7, 45)
Другие (720, 500)
Смарт-Софт (Smart-Soft) (1, 5)
R-Vision (Р-Вижн) (1, 4)
Trend Micro (2, 3)
Ngenix (Современные сетевые технологии, ССТ) (2, 3)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
Другие (13, 12)
Солар (ранее Ростелеком-Солар) (3, 7)
А-Реал Консалтинг (3, 6)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (2, 4)
R-Vision (Р-Вижн) (1, 1)
Другие (12, 12)
UserGate, Юзергейт (ранее Entensys) (3, 8)
Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
Лаборатория Касперского (Kaspersky) (1, 3)
А-Реал Консалтинг (1, 2)
Бифит (Bifit) (1, 1)
Другие (6, 6)
UserGate, Юзергейт (ранее Entensys) (6, 9)
Positive Technologies (Позитив Текнолоджиз) (4, 5)
ИВК (1, 4)
А-Реал Консалтинг (2, 3)
Вебмониторэкс (ранее WebmonitorX) (1, 2)
Другие (7, 8)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Endpoint Security - 82
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Kaspersky Enterprise Space Security - 34
MaxPatrol SIEM - 33
Другие 673
Смарт-софт: Traffic Inspector Next Generation - 5
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
MaxPatrol SIEM - 2
Ngenix Облачная платформа - 2
StormWall: Многоуровневая распределенная система фильтрации - 2
Другие 16
Solar JSOC - 3
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Solar MSS - 3
Kaspersky Endpoint Security - 3
А-Реал Консалтинг: Межсетевой экран ИКС - 2
Другие 20