Web Application Firewall (WAF): что это такое и когда он нужен

В 2023 году злоумышленники стали чаще применять сложные инструменты в атаках на веб-приложения. Об этом рассказали участники прямого эфира AM Life. По их словам, сложные атаки теперь требуют усиленной защиты.

На этом фоне компании стали чаще интересоваться решениями класса WAF (Web Application Firewall). Что представляют собой такие файрволы и от каких именно угроз они защищают, рассказываем далее.

А жертвы кто?

Веб-приложения — ценные активы для многих компаний в мире. От доступности  личных кабинетов, сервисов оплаты, мобильных приложений и других онлайн-продуктов зачастую зависят основные доходы бизнеса. И если веб-ресурсы выходят из строя, то вместе с прибылью компании теряют доверие покупателей, лояльных клиентов и репутацию на рынке.

Традиционно от нападений на веб-ресурсы страдают финансовые организации, ритейл и сфера услуг. Пример — DDoS-атака на банк «Открытие», о которой стало известно в 2022 году. Злоумышленникам удалось временно вывести из строя интернет-банк, мобильное приложение и сайт «Открытие Инвестиции».

В последнее время жертвами атак на веб-приложения также часто становятся ИТ-, телеком-компании и организации ТЭК. Только в 2024 году в их числе оказались MTC, «Яндекс», НСПК (оператор карт «МИР») и другие отраслевые гиганты.

При этом хакеры заинтересованы в атаках не только на бизнес. Иногда проблемы приобретают государственный масштаб. Так, например, в 2023 году более 120 тысяч граждан Эквадора не смогли принять участие в едином онлайн-голосовании. Причиной стали атаки на сайт Национального избирательного совета страны.

WAF: что это такое и как работает

Чтобы обезопасить веб-ресурсы от атак, компании и госструктуры все чаще подключают решения класса Web Application Firewall (WAF). Это межсетевой экран для веб-приложений, который фильтрует и отслеживает трафик на прикладном уровне по сетевой модели OSI. В частности, к нему относится передача данных по протоколам HTTP/HTTPS.

Такой файрвол размещают между веб-приложением и интернетом. Межсетевой экран анализирует все входящие запросы по различным критериям, в том числе основанным на списке OWASP-10. При этом почти во всех WAF можно создавать собственные правила. С их помощью можно закрывать уязвимости, которые еще не вошли в обновленные сигнатуры файрвола.

Если запрос к веб-ресурсу признается потенциально опасным, то WAF может удалить из него подозрительные данные или заблокировать его целиком. Кроме того, возможна блокировка источника запроса по IP. В этом случае пользователь больше не сможет обращаться к веб-ресурсу. В любом случае цель WAF будет выполненной — в приложение поступит уже очищенный трафик.

От чего защищает

Web Application Firewall — комплексное решение, которое используют для защиты веб-приложений от множества разнообразных атак. Вот лишь самые популярные угрозы, с которыми справляется любой современный WAF:

• SQL-инъекции,
• XSS, или межсайтовый скриптинг,
• инъекция локальных или удаленных файлов (LFI/RFI),
• RCE,
• PHP-инъекции,
• боты,
• брутфорс и другие методы перебора данных.

Используя перечисленные техники, злоумышленники получают доступ к базе данных приложения, в том числе к паспортным данным пользователей, логинам и паролям, номерам кредиток, медицинским записям и другой конфиденциальной информации. Утечка таких сведений обычно приводит к дополнительным угрозам для компании, а точнее — к административной и уголовной ответственности. Также злоумышленники часто при атаках стремятся инициировать удаленное выполнение кода и вызвать отказ приложения для пользователей.

WAF по подписке

Многие разработчики предоставляют облачные версии своих WAF. Благодаря этому компании могут использовать арендованные файрволы и исключать крупные затраты на покупку решения. Кроме того, используя WAF по подписке, можно закрыть кадровый вопрос. Первоначальную настройку, обновление и мониторинг WAF берут на себя опытные ИБ-инженеры провайдера. Нанимать дополнительных сотрудников в штат или нагружать уже имеющихся специалистов не придется.

Более того, облачный WAF — это более гибкое финансовое решение. Если нагрузка на веб-приложение резко увеличится, то межсетевой экран все равно с ней справится — нужно лишь изменить тариф. Причем компании не нужно дожидаться поставки оборудования и долгой настройки. Подключить облачный файрвол можно за сутки.