PT Application Firewall 3.2 - новый межсетевой экран прикладного уровня


Positive TechnologiesPT Application Firewall - новая версия межсетевого экрана прикладного уровня от компании Positive Technologies, предназначенного для выявления и блокирования атак на веб-порталы, системы ERP и ДБО, мобильные и облачные приложения.

Финальный релиз 3.2 оснащен:

  • механизмом обнаружения соединений из подозрительных источников;
  • интеграцией с репутационными сервисами;
  • улучшенным инструментом фильтрации ложных срабатываний.


В продукте появились системы отчетов, уведомлений, архивации и другие полезные функции. Мало того, новая оболочка в десятки раз сокращает время первоначальной настройки сети при интеграции в существующую сетевую инфраструктуру.


Усовершенствованная защита от фишинга
Для более эффективного отслеживания, а также блокировки переходов с фишинговых сайтов на лигитимные ресурсы, было осуществлено подключение крупнейших сервисов репутаций. Система PT AF версии 3.2 обнаруживает и блокирует переходы как с небезопасных сайтов, по заголовку Referrer, так и переходы на скомпрометированные страницы в пределах защищаемых ресурсов.

Опираясь на данные, только за 2014 год российские банки потеряли более 3,5 млрд рублей из-за различных схем онлайн-мошенничества (по данным Центробанка). При этом не последнюю роль здесь сыграл фишинг. И это понятно. Ведь в репертуаре фишеров довольно много приемов для перехвата паролей и платежной информации. Например, если пользователь пытается зайти в интернет-банк со страницы из black-листа, то вероятнее всего, он стал жертвой кликджекинга, XSS-атаки, Typosquatting и т.п. А с помощью новой функциональности PT Application Firewall банки смогут взять под контроль подобные угрозы.


Противодействие атакам из сети Tor
Также в продукте, с целью блокировки атак, появилась возможность формировать списки заблокированных IP-адресов и DNS-имен, исходящих из выходных узлов сети Tor, анонимных прокси (к примеру, по SOCKS proxy) и других подозрительных источников. Базы данных таких источников строятся на основе информации специальных служб, сервисов репутаций или honeypot-ов.

Обращаясь к цифрам, около 80% самых крупных выходных узлов сети Tor всегда фиксированы. Из них 15% принадлежит АНБ, а 10% — Китаю. И если начать отсекать хотя бы этот процент и регулярно обновлять базы Exit Nodes, тогда вероятность атаки из сети Tor сведется к минимуму.


Ложные срабатывания
Ложные срабатывания являются одной из главных проблем современных межсетевых экранов для веб-приложений (WAF). Разработчики заверяют, что PT Application Firewall способен эффективно решить эту задачу. Возможно, это стало благодаря корреляционному анализу и встроенному динамическому сканеру уязвимостей. Кроме того, в версии 3.2 неактуальные события отсеивать станет еще проще благодаря улучшенному механизму фильтрации.

В новой версии можно точнее формировать собственные правила, подстраиваясь под определенные приложения. Оператору достаточно будет один раз выделить конкретное ложное событие и механизм фильтрации PT AF дальше сможет отсеивать аналогичные срабатывания по различным шаблонам:

  • "с такой же сигнатурой";
  • "такого же типа уязвимости";
  • "от того же IP";
  • "к тому же адресу" и т.п.,

а также комбинации срабатываний. Раньше этот функционал в PT AF был скрыт от пользователя, поэтому последний не имел возможности на него влиять. В итоге, PT AF часто неправильно интерпретировал желания оператора, заставляя его добавлять правильное исключение вручную и искать фильтр, добавленный кнопкой Exclude, чтобы удалить его. В новой версии поведение механизма фильтрации полностью изменено:

  • во-первых, оператор видит, какой именно шаблон будет использоваться для классификации "аналогичных" событий;
  • во-вторых, шаблон созданного фильтра записывается в журнал активности, позволяя, если потребуется, удалить фильтр.


Быстрая настройка
Для первоначальной настройки сети новая Linux-like-оболочка не требует обязательного взаимодействия с конфигурационными файлами и командами ifconfig, ip, route и др. Теперь оболочка получила набор простых и коротких команд для легкой настройки основных параметров. Это позволяет не вводить стандартные консольные команды Linux, синтаксис которых может быть сложен для пользователя. Однако при этом сохранился доступ к тонким настройкам всех компонентов, которые есть в Linux.

Удобная утилита позволяет заказчику самостоятельно конфигурировать любую из возможных топологий. Кроме того, существует функция подсказок, автодополнение и верификация пользовательского ввода, которые помогают избежать ошибок на первоначальном этапе настройки PT AF.

Если ранее для сборки кластера приходилось отдельно настраивать левую и правую его части, а также узлы между ними, все вручную синхронизировать, то теперь эта процедура стала значительно проще. Достаточно на первой машине выставить требуемые узлы, а на второй указать присоединиться к первому узлу. После чего сохранить конфигурацию на обоих узлах — и они будут синхронизированы. Как результат - время настройки нескольких машин сокращается до 10 минут.


Интерфейс
Теперь в пользовательский интерфейс можно добавлять всю необходимую информацию о конфигурациях сети. Это позволяет не обращаться к консоли, если требуется информация об IP-адресах, маршрутах, шлюзах, ролях интерфейса, группах серверов приложений и т.п. Сейчас все эти данные удобно разложены по вкладкам.


Отчеты, уведомления и архивация
В версии 3.2 было реализовано расписание архивации, позволяющее сохранять как инциденты базы данных по определенному периоду, так и конфигурацию базы данных и отдельные действия пользователя. Также появилась и новая система отчетов со всей информацией, которая может понадобиться специалистам по безопасности. Пользователи PT AF смогут загружать свои собственные списки в формате CSV для автоматизированной подгрузки шаблонов в средства блокировки.

Система уведомлений SMTP позволяет проинформировать администратора по обычной почте. Кроме того, поддержка защищенного протокола SNMPv3 дает возможность отсылать уведомления в различные системы мониторинга, а также интегрироваться с пограничными шлюзами и отправлять им IP-адреса атакующих. Делается это для того, чтобы они их блокировали "на себе", если это нужно.


И, напоследок
Продукт продолжает активно развиваться. В следующих релизах планируется усовершенствовать и добавить новые возможности по отражению DDoS-атак на прикладном уровне, а также по отслеживанию пользователей. Все это будет основываться на методах машинного обучения.


Обновлено (11.11.2015 00:09)