PT Application
Firewall

PT Application Firewall — самообучающийся защитный экран уровня приложений, предназначенный для выявления и блокирования современных атак на веб-порталы, ERP-системы и мобильные приложения. Благодаря встроенному сканеру уязвимостей и механизму корреляции он отсеивает неактуальные попытки взлома и выявляет цепочки развития реальных атак.

Ключевые задачи

С каждым годом крупный бизнес все активнее использует интернет, включая мобильные службы и ERP-приложения, тем самым повышая производительность работы и оперативность услуг. Но с увеличением числа приложений растет и количество уязвимостей, которыми могут воспользоваться злоумышленники для нанесения ущерба организации. Согласно отчету компании Verizon о компрометации данных за 2014 год, 35 % инцидентов безопасности были связаны c атаками на веб-приложения.


Большинство угроз используют уязвимости, возникающие вследствие ошибок разработчиков, и не всегда могут быть выявлены обычными сканерами, системами обнаружения вторжений и межсетевыми экранами:

  • Злоумышленники активно используют уязвимости нулевого дня (0-days), что делает бесполезными сигнатурные методы анализа.
  • Традиционный межсетевой экран дает тысячи срабатываний на подозрительные события, в которых необходимо разбираться вручную, чтобы выявить реальную угрозу.
  • Многие корпоративные сайты и онлайн-сервисы используют нестандартные решения, которые включают сторонние модули и имеют оригинальные уязвимости. Защита таких приложений требует глубокого анализа их структуры, схем взаимодействия с пользователями и контекста эксплуатации.
  • Даже известные уязвимости невозможно устранить сразу: исправление кода требует средств и времени, а зачастую и остановки важных бизнес-процессов. Установка патчей в системах ERP и ДБО может занимать месяцы, и все это время злоумышленники могут использовать уязвимость.

Где применяется PT Application Firewall?

Каждое внедрение Application Firewall осуществляется с учетом специфики инфраструктуры заказчика. Экран способен защищать:

Банки и финансовые учреждения

Многие критически важные приложения, используемые как клиентами, так и их партнерами (ДБО, банковские системы, CRM, приложения для трейдинга) должны соответствовать стандартам безопасности данных индустрии платежных карт (PCI DSS) и стандартам регулирующих организаций. Однако существует множество сторонних приложений, в которых банки сами не могут устранить уязвимости. Непрерывная работа практически не оставляет возможности для установки актуальных обновлений безопасности, кроме того часто используются системы, обладающие малой (или нулевой) степенью защищенности. Они представляют большой интерес для злоумышленников: на них совершаются автоматизированные и ручные атаки. Производятся также атаки на клиентов банковских приложений.

Медиа

Доступные для всех интернет-пользователей приложения, интеграция с большим числом сайтов (рекламные и партнерские сайты, социальные сети), онлайн-вещание и XML-шлюзы для передачи данных делают медиаресурсы привлекательной мишенью для хактивистов, конкурентов и преступников.

Телеком-операторы

Имеют множество различных приложений, включая порталы самообслуживания, VAS/MSS-порталы для клиентов, мобильные и облачные приложения. Конвергенция и тесная интеграция приводят к эффекту домино, когда отказ одного элемента приводит к возникновению проблем во всех других. Тем временем интеграция систем массового обслуживания с платежными шлюзами увеличивает угрозу мошенничества.

Инженерные сети и коммуникации

В основе любого современного предприятия лежит ERP-система, при помощи которой осуществляются бухгалтерский учет, управление, контроль поставок и другие процессы. Такие системы часто имеют доступ в интернет (например, SRM, CRM и HCM) и связаны через интеграционные шлюзы. Системы часто обслуживаются компаниями-посредниками и контролируются удаленно, а механизмы их защиты ослаблены для упрощения эксплуатации. Разработчики кода бизнес-приложений больше заботятся о функциональности, чем о безопасности. Такие системы часто подвергаются специфической модификации и адаптации к нуждам заказчика. Требования к непрерывности работы подобных систем практически не оставляют возможности для разработки и установки актуальных обновлений безопасности.

Принцип действия: модули и механизмы

Отслеживание активности пользователей:

позволяет идентифицировать (fingerprint) пользователя, браузер и связанную с ними активность для обнаружения программ-роботов и автоматизированных инструментов, а также контролировать доступ через списки контроля доступа и предотвращать интернет-мошенничество.

Web Engine:

встроенный модуль динамического тестирования безопасности приложений (dynamic application security testing, DAST), предназначенный для активной идентификации компонентов приложений (CMS, фреймворка, библиотек), подготовки самообучающегося ядра и обнаружения уязвимостей в приложении. Он может работать в режиме реального времени для быстрой проверки уязвимостей, которые «прощупывают» злоумышленники.

Пассивное сканирование:

идентифицирует в пассивном режиме компоненты приложений (CMS, фреймворки, библиотеки) для настройки модуля нормализации и обнаружения утечки данных и известных уязвимостей на базе CVE.

Механизм нормализации:

переписывает данные и заголовки HTTP-запросов так, чтобы они соответствовали формату защищаемых веб-приложений и их компонентов (веб-сервера, языка, фреймворка), для того чтобы предотвратить обход защиты при помощи HPP, HPC и других атак, связанных с манипуляцией данными. Механизм виртуального патчинга: автоматически создает виртуальный патч на основе данных системы анализа исходного кода PT Application Inspector.

Интеграция со сторонними решениями:

PT AF использует встроенное антивирусное ядро и правила обнаружения конфиденциальной информации, но может быть при необходимости интегрирован со сторонним антивирусом и DLP-решением. Для борьбы с DDoS-атаками межсетевой экран может сообщать задействованные в атаке IP-адреса специализированным программам, например решениям Arbor Networks.

Черный и белый списки:

обычные правила безопасности, основанные на сигнатурах, могут создаваться автоматически путем интеграции со статическими и динамическими инструментами тестирования безопасности приложений (application security testing) или движками обнаружения аномалий (anomaly detection).

Эвристика:

при помощи самообучающихся алгоритмов искусственного интеллекта PT AF постоянно отслеживает структуру и параметры приложений для обнаружения обычных атак и атак нулевого дня. Обнаружение аномалий, мошенничества и программ-роботов: модули PT AF позволяют защититься от интернет-мошенничества, автоматизированного сбора данных и подбора URL, а также обнаруживать подозрительную активность пользователей или серверов, например множественный вход пользователей и выполнение однотипных действий.

Корреляция:

позволяет уменьшить количество срабатываний и приоритизировать важные инциденты на основе идентифицированных особенностей приложений, уязвимостей, отслеживания пользователей и истории атак. Выстраивает метрику цепочек атак для упрощения расследования инцидентов.

Показать особенности
Остались вопросы?

Воспользуйтесь формой обратной связи
или позвоните нам по телефону:

+7 (495) 744-01-44
Имя
Электронная почта
Сообщение
Спасибо!

Вы также можете связаться с нами
по телефону:

+7 (495) 744-01-44 Задать другой вопрос
Преимущества
  • Самообучение вместо сигнатур

PT AF создает статистическую модель функционирования приложения и на ее основе выявляет аномальное поведение, что позволяет блокировать атаки нулевого дня.

  • Защита отраслевого бизнеса

Предобученные модули PT AF для ERP-систем (в частности SAP), интернет-банкинга, телекомов, порталов госуслуг и СМИ обеспечивают повышенную безопасность критически важных инфраструктур — благодаря учету отраслевых особенностей.

  • Актуальные угрозы вместо ложных срабатываний

С помощью корреляционного анализа PT AF отсеивает неактуальные срабатывания и выстраивает цепочки развития реальных атак, а модуль DAST может на лету проверять атакуемые уязвимости.

  • Мгновенная защита (виртуальный патчинг)

Совместная работа с анализатором кода PT Application Inspector позволяет обнаруживать атаки, направленные на уязвимости конкретного приложения, и блокировать их до исправления кода.

  • Выявление ботов и мошенников

Поведенческий анализ обеспечивает противодействие автоматизированным атакам (сканированию, подбору паролей, DDoS-атакам, фроду, утечкам) и выявление подозрительной активности пользователей.

  • Сокращение расходов

Связка PT AF и PT AI позволяет автоматизировать обнаружение и исправление уязвимостей на самых ранних стадиях создания кода — в рамках практик безопасной разработки (SSDL). Это в сотни раз снижает цену устранения ошибок и последствий атак.

Новости продукта
23 мая 2016
Эксперты Positive Technologies расскажут о всех тонкостях работы с такими продуктами, как MaxPatr...
16 мая 2016
Компания Positive Technologies представила версию 3.3 межсетевого экрана прикладного уровня PT Ap...
Исследования
20 октября 2015
В этом году компанию Positive Technologies назвали «визионером» в рейтинге Gartner Magic Quadrant for Web Application Firewalls.
25 сентября 2015
Сетевые экраны и системы обнаружения вторжений не обеспечивают достаточной защиты общедоступных веб-сайтов и важных внутренних веб-приложений.
Истории успеха

Лидер телекоммуникации «МегаФон» защищает свои веб-службы с помощью PT Application Firewall

ВГТРК на Олимпиаде-2014 защищает свое вещание при помощи PT Application Firewall