Защита от кибератак

Фильтрующие узлы Weblock lk_small_simbol пропускают через себя все HTTP/HTTPs-запросы к защищаемым веб-ресурсам и выявляют попытки проведения кибератак.

Обнаружение кибератак

«Weblock.» поддерживает следующие механизмы при обнаружении кибератак:

Сигнатурный анализ – осуществляется обнаружение вредоносных сигнатур на основе правил путем анализа входящего HTTP-трафика на предмет наличия в нем шаблонов или сигнатур, соответствующих заранее определенным правилам. Эти правила создаются для выявления известных шаблонов атак или вредоносных данных, обычно связанных с уязвимостями веб-приложений. «Weblock.» анализирует различные компоненты HTTP-запроса, такие как URI, заголовки, cookie и тело запроса, сравнивая их с определенными сигнатурами. При обнаружении соответствия принимается решение о блокировании запроса или генерации предупреждения в соответствии с имеющимися правилами. Правила могут охватывать широкий спектр векторов атак, включая SQL-инъекции, межсайтовые сценарии (XSS), внедрение команд и т.д. «Weblock.» использует, как собственный, постоянно обновляющийся набор правил, так и правила разрабатываемые сообществом.

Поведенческий анализ – позволяет блокировать вредоносные запросы на основе «поведенческих маркеров» либо запускать сервис капчи для доступа к защищаемому сайту по геолокации источника трафика.

Например, блокировка может быть настроена:

  • на достижение N-запросов, которые были заблокированы сигнатурным анализом;

  • на достижение N-запросов, игнорирующих установку cookie;

  • на достижение N-случаев превышения лимитов Anti-DDos.

Репутационный анализ – подразумевает использование сторонних источников информации при принятии решения о блокировке или разрешении входящих запросов. Например, применяя сервис капчи, проводится дополнительная проверка по базе репутации IP-адресов этого сервиса.

Фильтрация трафика веб-приложений

«Weblock.» осуществляет фильтрацию трафика веб-приложения: допуск прошедших контроль информационных потоков и блокирование вредоносного трафика, а также производится поддержка контроля и анализа запросов и ответов при доступе к веб-серверу. Фильтрующие узлы «Weblock.» пропускают через себя все пользовательские HTTP-запросы к защищаемым веб-ресурсам и выявляют попытки проведения кибератак. «Weblock.» в процессе отложенной фильтрации производит глубокий анализ каждого поля запроса, в результате чего запросы классифицируются как легитимные или вредоносные.

Доступно функционирование в одном из следующих режимов:

Активный режим фильтрации – режим, при котором все зафиксированные атаки будут заблокированы.

Пассивный режим фильтрации – режим, при котором атаки детектируются, но не блокируются.

В основе принципов функционирования узлов фильтрации лежат методы сигнатурного и поведенческого анализа. Благодаря их совместному использованию «Weblock.» обеспечивает максимально эффективную защиту от большинства современных кибератак. Совокупность функциональных особенностей узлов фильтрации «Weblock.» позволяет максимально точно противостоять вредоносной активности по отношению к защищаемым веб-ресурсам, а именно:

  • происходит фильтрация HTTP/HTTPs запросов,

  • анализ поведения пользователя в реальном времени,

  • выявление отклонений.

Активный режим фильтрации применяется в следующих случаях:

  • веб-приложение функционирует в обычном режиме и нуждается в защите от кибератак.

Пассивный режим фильтрации применяется в следующих случаях:

  • на основе трафика пользователей формируется модель бизнес-логики защищаемого веб-приложения;

  • при релизе нового функционала на стороне защищаемого ресурса (для снижения количества ложных срабатываний);

  • в других случаях, при отсутствии необходимости в превентивной блокировке вредоносных запросов.

Механизмы защиты

«Weblock.» реализует набор механизмов защиты:

  • собственная база сигнатур,

  • ограничение скорости обработки запросов,

  • сбор информации об удаленных устройствах, осуществляющих запрос, к защищаемым веб-ресурсам,

  • защита API,

  • виртуальный патчинг.

Виды нейтрализуемых угроз

«Weblock.» защищает веб-ресурсы от целого ряда кибератак.

Защита пользователя от атак

Защита серверной части от атак

CSRF

Infoleak

Brute force

Open redirect

Path traversal

SSTI

Clickjacking

L7 DDoS

IDOR

Session hijacking

HTTP response splitting

SQL injection

OWASP Top 10 / api security

Local file inclusion

CRLF injection

OS command

LDAP injection

XXE

NoSQL injection

Dirbust

Credential stuffing

0-day (в процессе реализации)
_images/Weblock_Logos_small.png