Защита от кибератак

Фильтрующие узлы «Weblock.» пропускают через себя все HTTP/HTTPs-запросы к защищаемым веб-ресурсам и выявляют попытки проведения кибератак.

Обнаружение кибератак

«Weblock.» поддерживает следующие механизмы при обнаружении кибератак:

Сигнатурный анализ – осуществляется обнаружение вредоносных сигнатур на основе правил путем анализа входящего HTTP-трафика на предмет наличия в нем шаблонов или сигнатур, соответствующих заранее определенным правилам. Эти правила создаются для выявления известных шаблонов атак или вредоносных данных, обычно связанных с уязвимостями веб-приложений. «Weblock.» анализирует различные компоненты HTTP-запроса, такие как URI, заголовки, cookie и тело запроса, сравнивая их с определенными сигнатурами. При обнаружении соответствия принимается решение о блокировании запроса или генерации предупреждения в соответствии с имеющимися правилами. Правила могут охватывать широкий спектр векторов атак, включая SQL-инъекции, межсайтовые сценарии (XSS), внедрение команд и т.д. «Weblock.» использует, как собственный, постоянно обновляющийся набор правил, так и правила разрабатываемые сообществом.

Поведенческий анализ – позволяет блокировать вредоносные запросы на основе «поведенческих маркеров» либо запускать сервис капчи для доступа к защищаемому сайту по геолокации источника трафика.

Например, блокировка может быть настроена:

  • на достижение N-запросов, которые были заблокированы сигнатурным анализом;

  • на достижение N-запросов, игнорирующих установку cookie;

  • на достижение N-случаев превышения лимитов Anti-DDos.

Репутационный анализ – подразумевает использование сторонних источников информации при принятии решения о блокировке или разрешении входящих запросов. Например, применяя сервис капчи, проводится дополнительная проверка по базе репутации IP-адресов этого сервиса.

Фильтрация трафика веб-приложений

«Weblock.» осуществляет фильтрацию трафика веб-приложения: допуск прошедших контроль информационных потоков и блокирование вредоносного трафика, а также производится поддержка контроля и анализа запросов и ответов при доступе к веб-серверу. Фильтрующие узлы «Weblock.» пропускают через себя все пользовательские HTTP-запросы к защищаемым веб-ресурсам и выявляют попытки проведения кибератак. «Weblock.» в процессе отложенной фильтрации производит глубокий анализ каждого поля запроса, в результате чего запросы классифицируются как легитимные или вредоносные.

Доступно функционирование в одном из следующих режимов:

Активный режим фильтрации – режим, при котором все зафиксированные атаки будут заблокированы.

Пассивный режим фильтрации – режим, при котором атаки детектируются, но не блокируются.

В основе принципов функционирования узлов фильтрации лежат методы сигнатурного и поведенческого анализа. Благодаря их совместному использованию «Weblock.» обеспечивает максимально эффективную защиту от большинства современных кибератак. Совокупность функциональных особенностей узлов фильтрации «Weblock.» позволяет максимально точно противостоять вредоносной активности по отношению к защищаемым веб-ресурсам, а именно:

  • происходит фильтрация HTTP/HTTPs запросов,

  • анализ поведения пользователя в реальном времени,

  • выявление отклонений.

Активный режим фильтрации применяется в следующих случаях:

  • веб-приложение функционирует в обычном режиме и нуждается в защите от кибератак.

Пассивный режим фильтрации применяется в следующих случаях:

  • на основе трафика пользователей формируется модель бизнес-логики защищаемого веб-приложения;

  • при релизе нового функционала на стороне защищаемого ресурса (для снижения количества ложных срабатываний);

  • в других случаях, при отсутствии необходимости в превентивной блокировке вредоносных запросов.

Механизмы защиты

«Weblock.» реализует набор механизмов защиты:

  • собственная база сигнатур,

  • ограничение скорости обработки запросов,

  • сбор информации об удаленных устройствах, осуществляющих запрос, к защищаемым веб-ресурсам,

  • анализ бизнес-логики приложения, в процессе реализации,

  • защита API,

  • виртуальный патчинг.

Виды нейтрализуемых угроз

«Weblock.» защищает веб-ресурсы от целого ряда кибератак.

Защита пользователя от атак

Защита серверной части от атак

CSRF

Infoleak

XML bomb

Open redirect

Path traversal

Brute force

Clickjacking

Web shell

SSTI

DOM-based XSS

HTTP response splitting

IDOR

Session hijacking

Local file inclusion

Dirbust

OS command

CRLF injection

RCE

LDAP injection

SSRF

NoSQL injection

XXE

SQL injection

L7 DDoS

0-day (в процессе реализации)

Credential stuffing

_images/Weblock_Logos_small.png