Positive Technologies Application Firewall

Развитие интернет технологий и использование web в качестве  пользовательского интерфейса информационных систем привели к усложнению их архитектуры, ускоренному циклу разработки и постоянным изменениям. Это обусловило рост числа уязвимостей приложений и увеличило риски для бизнес данных, которые они обслуживают. Большинство таких уязвимостей и атак не могут быть обнаружены обычными системами обнаружения вторжений или межсетевыми экранами.

Решение Positive Technologies Application Firewall (PT AF) призвано выявлять и блокировать направленные атаки на веб-порталы, ERP-системы, мобильные и облачные приложения, онлайн-сервисы, промышленные системы управления. За счет специальных методов интеллектуального анализа система способна блокировать на 30% больше  атак, чем аналоги:

  • На основе анализа трафика, системных журналов и действий пользователей PT AF создает статистическую модель работы приложения, с помощью которой выявляются аномальные запросы и поведение.
  • Решение выстраивает потенциальные цепочки развития атак путем отсеивания и корреляции событий, применяет технологии автоматической сортировки, ранжирования и интеллектуальной предобработки информации. В результате сотрудники ИБ могут фокусироваться на нескольких реальных угрозах вместо анализа тысяч сообщений.
  • Система импортирует данные об уязвимостях приложений и создает виртуальные исправления (патчи), автоматически адаптируя политики защиты.
  • PT AF учитывает специфику защищаемых сервисов, анализирует XML, JSON и другие протоколы. Это позволяет защититься от методов обхода межсетевых экранов, таких как  HPC, HPP и Verb Tampering.
  • Решение защищает от массированных атак, подбора паролей, DDoS и бот-сетей с помощью поведенческого анализа и профилирования пользователей, анализа репутации источника запросов.
  • Система нормализует данные и заголовки HTTP/S-запросов для полного соответствия форматам защищаемых приложений. Это предотвращает обход защиты при атаках, связанных с манипуляцией данными, например HPP, HPC .
  • При помощи эвристик и алгоритмов самообучения на основе скрытых моделей Маркова  PT AF постоянно отслеживает структуру и параметры приложений, что позволяет более точно обнаруживать угрозы, уменьшает число ложных срабатываний.
  • В систему уже встроены антивирусное ядро и правила DLP. Однако, решение может быть легко интегрировано со сторонним антивирусом и DLP-системой.

Решение отличают гибкие модели развертывания, легкость настройки. PT AF может быть развернут как аппаратное или программное решение, устанавливаемое в среду виртуализации. Программный модуль обеспечивает обработку до 10 тысяч запросов в секунду, различные аппаратные конфигурации – до 100 тысяч запросов в секунду. Система может работать в одном из трех режимов:

  • Режим обратного прокси-сервера: Трафик проходит через PT AF, который активно обнаруживает и предотвращает атаки.
  • Режим мониторинга: PTAF получает копию трафика от маршрутизатора, что позволяет обнаруживать угрозы и предупреждать о них другие системы ИБ.
  • Автономный режим: PT AF анализирует системные журналы на наличие следов атак, что может быть использовано при расследовании инцидентов.

Основные преимущества:

  • Мгновенное устранение уязвимостей web приложений и порталов с помощью «виртуальных патчей»
  • Адаптивное поведение и алгоритмы самообучения PT AF снижают затраты на обеспечение ИБ.
  • Поведенческий анализ обеспечивает эффективную защиту от бот-сетей и роботов.
  • Низкое число ложных срабатываний за счет полного анализа контекста, структуры приложений и профилей пользователей.
  • Повышение эффективности работы сотрудников ИБ за счет интеллектуальной фильтрации и корреляции событий.