33. Кто уже использует?

36. Appendix

21. Преимущества WAPPLES

27. WAPPLES управление и сетевые сервисы

40. Инженер по Информационной Безопасности Илья Головацкий email: ilg@muk.ua

14. Защищаемся с WAPPLES Предотвращаем атаки

38. WAPPLES Виртуальные устройства для Публичных и Приватных облаков Hypervisor Cloud platform

29. Support for Inline & Proxy Deployment WAPPLES provides both inline (bridged) and proxy deployment Inline mode Out of Path mode Client Client

1. Илья Головацкий ilg@muk.ua +380 63 569 - 52 - 41 Web Application Firewall

13. Инциденты утечки данных Цель кражи данных  Данные учетной записи пользователя имеют личную информацию, которая включает имя, дату рождения, электронную почту и платежную информацию  Данные продаются на черном рынке, для возможности использовать для других атак  Он использует для того, чтобы снизить репутацию взломанной компании

30. Support for High Availability deployment with cross - failover  Two appliances are protecting different network legs, and sharing TCP session information via “HA hotline”.  The deployment can be “active - active” (both appliances detecting traffic) or “active - standby” (only one appliance is working, the other waiting for the other one to have an issue.) HA hotline

32. WAPPLES Графический интерфейс управления 38 WAPPLES Introduction • Предопределенные политики делают WAPPPLES по существу решением plug - and - play • Ежедневное управление осуществляется с помощью подробных журналов и редактируемой системы управленческой отчетности

34. Используется National Tax Service (S. Korea) • One of the tax organizations in S. Korea • Deployed to protect main web service from web attacks Ministry of Health (Malaysia) • Responsible for health system: medical research and patient safety • Deployed to protect web service and medical information Maritime Port Authority • Regulates and manages port and marine services, facilities and activities • Deployed to protect web service and related vulnerabilities

12. Инциденты утечки данных Цель несанкционированного доступа  У язвимости правительственной системы используются по ряду причин: • Хактивизм - использование компьютеров и компьютерных сетей для продвижения политических идей, свободы слова, защиты прав человека и обеспечения свободы информации[1]. • Правительственный кибер - шпионаж

6. OWASP Testing Guide Руководство по тестированию веб приложений • методы, способы и инструментарий этапа сбора информации о приложениях • принципы проведения тестирования, объясняют смысл и общую концепцию управления процессами тестирования безопасности веб - приложений. • технические аспекты тестирования на проникновение веб - приложений. • Методы , способы и инструментарий тестирования

28. Поддержка обхода аппаратного и программного обеспечения What is Bypass? The WAPPLES H/W and S/W bypass options enable web access even in the case of H/W or S/W problems respectively. Software (S/W) Bypass : The network traffic will be bypassed at the Kernel (S/W) level without being touched by the Detection Engine. Hardware (H/W) Bypass : The physical Network Interface Card(NIC) link downtime occurs. The network traffic Detection Engine NP Kernel (Network Filter) H/W NIC WAPPLES Webserver Client Normal Traffic S/W Bypass H/W Bypass

16. Защищаемся с WAPPLES Предотвращение атак  SQL Injection • WAPPLES обнаруживает грамматику SQL в HTTP - запросе (предварительно расшифровывая при необходимости) с использованием выделенного синтаксического анализатора SQL и блокирует запрос, если найдены синтаксически допустимые и потенциально вредоносные SQL - выражения. http://victim.com?voter=abc “ or 1=1; Attacker Grammatical SQL analysis w/ dedicated SQL parser ① Inject SQL ② Error page Webserver

35. Используется Samsung group(South Korea) • Conglomerate company • As a part of standardization of IT and security infrastructure, WAPPLES deployed to all subsidiary company by policy of Samsung IT subsidiary company, Samsung SDS in South Korea LG Electronics(South Korea) • A subsidiary company of LG group, manufacturer for home appliance, IT device and mobile • Deployed to protect customer and internal webservice against from external attack ASTRA International Tbk .(Indonesia) • Holding company to deal in automotive, financial services, heavy equipment, agribusiness, information technology • Deployed to protect internal webservice against from external attack

31. Support for External Logging • Most modern network and security products support remote logging protocols which enable them to send logs to remote event management solutions such as SIEM. • WAPPLES supports a number of standard and proprietary protocols to send detection logs, audit logs, system information, etc. • Standard protocols supported by WAPPLES: • Syslog • SNMP • Email • Proprietary integration: • Archsight (HPE) • Splunk Logs sent through protocol custom port WAPPLES external logging can be configured on the GUI

4. Инциденты утечки данных Скомпрометированные организации Avid Life Media(U.S) • Mother company of Ashley Madison • A company to provide online date and social networking service • 37 million private data exposed Adult Friend Finder (U.S) • A company to primarily deal in adult entertainment, online dating and social networking service • 412 million account exposed Yahoo(U.S) • Portal, directory and, e - mail service provider • 5 million user account data exposed Korea Telecom(South Korea) • Telecommunication and internet service Provider • 12 million user data exposed

39. WAPPLES Control Center Центр управления WAPPLES - это интегрированная система управления для нескольких WAPPLES .  Когда в одной сети существуют различные типы развертывания, управление каждой из них по отдельности может быть большой проблемой  Центр управления WAPPLES позволяет вам управлять несколькими WAPPLES ( Appliance & Virtual Machine ) WAPPLES Control Center Policy/detection setting synchronization Centralized system status, statistic and monitoring Combined log management Web GUI Combined report generation

17. Защищаемся с WAPPLES  Cross Site Scripting • WAPPLES запрещает использовать тегов скрипов, которые могут быть выполнены в веб - приложении, путем проверки пакета HTTP - запроса • WAPPLES блокирует не только основные теги HTML, но и различные типы исполняемых функций для приложений ① Attempt XSS Webserver Hacker ② Error page <script>(document...)</script>

7. OWASP TOP10 2017 Список самых опасных рисков (уязвимостей) веб - приложений от 2017 года: • A1 Внедрение кода • A2 Некорректная аутентификация и управление сессией • A3 Утечка чувствительных данных • A4 Внедрение внешних XML - сущностей (XXE) • A5 Нарушение контроля доступа • A6 Небезопасная конфигурация • A7 Межсайтовый скриптинг • A8 Небезопасная десериализация • A9 Использование компонентов с известными уязвимостями • A10 Отсутствие журналирования и мониторинга

8. Инциденты утечки данных : А1 Внедрение кода  Webshell Upload • Хакер пытается загрузить веб - страницу, чтобы отправить системную команду или ввести вредоносный код в уязвимую систему. • Хакер доминирует над системой, принимая учетную запись системного администратора, внедряя вредоносный код из удаленного и веб - сайта с помощью веб - браузера ① Attempt webshell upload PUT...HTTP/1.1 POST...HTTP/1.1 Webserver Webshell Hacker ② System command execution

5. OWASP https://www.owasp.org/ Open Web Application Security Project (OWASP) — это открытый проект обеспечения безопасности веб - приложений OWASP был основан 9 сентября 2001 года Марком Керфи и Дэннисом Грувзом . Сообщество OWASP включает в себя корпорации, образовательные организации и частных лиц со всего мира. Сообщество работает над созданием статей, учебных пособий, документации, инструментов и технологий, находящихся в свободном доступе. Фонд OWASP — это благотворительная организация по 501(c)(3) organization [ en ], которая оказывает поддержку и осуществляет управление проектами и инфраструктурой OWASP. Кроме того, Фонд зарегистрирован как некоммерческая организация в Европе с июня 2011 года.

19. WAPPLES Rules Buffer Overflow Cookie Poisoning Cross Site Request Forgery Cross Site Scripting Directory Listing Directory Traversal Error Handling Extension Filtering File Upload Include Injection Input Content Filtering Invalid HTTP Invalid URL IP Filtering Parameter Tampering Privacy File/ Input/Output Filtering Request Method Filtering Request/Response Header Filtering SQL Injection Stealth Commanding Suspicious Access Unvalidated Redirects URL Access Control User Defined Pattern Website Defacement Web Servers Исходящие чувствительные данные Входящие атаки Web Client

11. Инциденты утечки данных  Обход аутентификации и прав доступа • Внедрение случайных идентификаторов и паролей с использованием автоматизированной атаки по словарю для взлома учетной записи администратора и неправильного использования учетной записи • Перехват и неправомерное использование информации о клиентах путем доступа к конфиденциальным данным и информации с анонимной учетной записью пользователя из - за нарушения (слабого) контроля доступа ① Attempt login Webserver Dictionary attack Hacker ② Admin page ① Access webpage with user account Webserver Hacker ② Customer data exposure Customer DB

15. Defense with WAPPLES  Webshell Upload • WAPPLES предотвращает попытку загрузки веб - страниц, проверяя содержимое файла. Используя механизм анализа типа данных, находит скрытые под веб - оболочкой изображения , и может быть обнаружена WAPPLES • WAPPLES также обеспечивает предотвращение выполнения системных команд с помощью ранее загруженной веб - оболочки или вредоносного ПО ① Attempt webshell upload PUT...HTTP/1.1 POST...HTTP/1.1 Webserver Webshell Hacker ② System command execution ② Error page

24. Проблемы с WAF на основе сигнатур (1 - е и 2 - е поколение) Открыта новая веб - атака Разработка сигнатуры для блокирования атаки Загрузка сигнатуры в WAF  Оборона всегда будет отставать от преступной деятельности  Сигнатуры накладывают административную нагрузку на администратора  Сигнатуры могут быть к конкретными приложениям и не иметь отношения к другим пользователям  Невозможно предотвратить атаки нулевого дня или модифицированные атаки  Больше сигнатур подразумевает увеличение числа ложных срабатываний  Увеличение числа сигнатур приводит к ухудшению производительности Технические нюансы Операционные нюансы

3. Инциденты утечки данных Скомпрометированные организации Legacy Health(U.S) • Non - profit health system with hospitals • 38,000 patient records exposed UnityPoint Health(U.S) • A network of hospitals, clinics and homecare service • 1.4 million patient records exposed LifeBridge Healthcare(U.S) • Non - profit healthcare cooperation, operates several medical institutions • 500,000 patient records exposed Sing Health(Singapore) • Singapore’s largest group of healthcare institution • Operates 4 general hospitals and 5 national specialty centers • 1.5 million patient records exposed Norway(South - East Regional Health Authority, RHF) • A state enterprise responsible for specialist healthcare in one of our regions of Norway • More than half of the Norway population(2.9 million) healthcare data exposed

18. Защищаемся с WAPPLES  Broken Authentication and Access Control • WAPPLES предотвращает автоматическую атаку по словарю через функцию предотвращения атак с использованием грубой силы • WAPPLES поддерживает интеграцию SSO для идентификации авторизованного пользователя для проверки подлинности и управления привилегиями авторизованного пользователя с различным и протоколами ① Attempt login Webserver Dictionary attack Hacker ② Error page ① Access DB with internal user privilege Webserver Hacker Customer DB Single Sign - On ② Redirect page

9. Инциденты утечки данных: A7 Межсайтовый скриптинг  Межсайтовый скриптинг • Передает код вредоносного скрипта с помощью HTTP - запроса, чтобы вставить его на веб - страницу или веб - приложение . • Переданный код позволяет выполнять скрипт на стороне клиента, когда клиент обращается к веб - сайту. Затем информация о клиенте будет передана хакерам через C&C сервер ( Command and Control ). ① Attempt XSS Webserver <script>(document...)</script> Hacker ① Access web site Webserver Client ② Response web page C&C server ③ Send client information

2. Отчет о расследовании нарушений данных Отчет о реальных нарушениях от Verizon  Доля атак на веб - приложения составляет примерно 20% от общего числа зарегистрированных инцидентов  Объем нарушений данных при атаках веб - приложений по - прежнему находится на вершине  WAF может помочь предотвратить различные популярные атаки: XSS , SQL - инъекции, CSRF и другие атаки на веб - приложения  Главный фокус: • Финансовая отрасль • Государственные службы • Информационные порталы

23. Что должен делать хороший WAF ? • Легкая настройка и настройка • Легко интерпретировать журналы • Получить время для разработки / аудита • Минимальная задержка веб - трафика • Обеспечить максимальную TPS / CPS • Нет перерывов обслуживания • ИБ означает больше работы • Необходимо научиться читать журналы WAF • Отслеживать весь трафик веб - уровня • Различные контрмеры • Предотвращение утечки информации Область безопасности Точное обнаружение Usability Производительность

10. Инциденты утечки данных Предполагаемый характер нападения  SQL Injection • Широко используемый вектор атаки для веб - сайтов, где злоумышленник вставляет SQL - запросы в поля ввода для непосредственного взаимодействия с внутренней базой данных для достижения любой из следующих целей : - Обход аутентификации - Дамп базы данных - Подделка существующих данных - И другие .. http://victim.com?voter=abc “ or 1=1; SELECT * FROM users WHERE user=“ abc ” or 1=1; -- “; ALL user data returned ALL user data returned Web Application Server Database Server Attacker ① Inject SQL ② Data exposed

25. 3 rd Поколение WAF : Обнаружение на основе логического анализа  WAPPLES COCEP*: Механизм обнаружения на основе запатентованного протокола логического анализа  Минимальные ошибочные сработки : Он проверяет содержимое веб - трафика и анализирует каждую транзакцию по существу .  Обнаружение и Блокирование ранее не известных атак потому что его метод обнаружения основан на анализе логики атаки, а не сигнатуры  Минимальная потеря производительности : 27 предопределенных правил в отличие от тысяч сигнатур. WAPPLES проверяет трафик за менее чем 1/1000 секунды  Уменьшите административную нагрузку на администраторов по сравнению с сигнатурным анализом *COCEP: CO ntents C lassification and E valuation P rocessing)

20. PCI - DSS Payment Card Industry Data Security Standard 20 WAPPLES Introduction Соответствие PCI - DSS  PCI - DSS определяет набор требований для обеспечения безопасности данных держателей карт  WAPPLES обеспечивает покрытие значительного подмножества требований безопасности, установленных PCI - DSS, включая следующие:  Маскирование карточных данных  Предотвращение атак на веб приложения таких как buffer overflow, XSS, CSRF, и других .  Непрерывный контроль трафика  Управление доступом к Web - приложениям, разделам сайтов  Подробный журнал доступа, учет изменений * Детальная информация о соответствии PCI - DSS и покрытии требований по запросу.

22. WAF’s advantage for OWASP Top 10 vulnerability OWASP Top 10 (2017) Network Firewall IDS / IPS WAF A1: Injection X △ ○ A2: Broken Authentication X △ ○ A3: Sensitive Data Exposure X △ ○ A4: XML External(XXE) Entities X X ○ A5: Broken Access Control X X ○ A6: Security Misconfiguration X X ○ A7: Cross Site Scripting(XSS) X X ○ A8: Insecure Deserialization X X ○ A9: Using Components with Known Vulnerabilities X ○ ○ A10 : Insufficient Logging & Monitoring X X ○

26. Как работает ядро обнаружения WAPPLES • Первый этап - проверить, является ли это действительной фразой SQL . • Если исходная строка не является фразой SQL, строка не может использоваться для атаки; в противном случае WAPPLES проверяет, может ли SQL - фраза иметь доступ к уязвимым процедурам или функциям . Parse() Expression() queryTerm () queryTerm () Expression() queryTerm () queryTerm () ( ) or name Penta name security and keyword pentasec = = = Emit “(“ Emit “)“ Emit “Union“ Emit “Intersect“ Emit “equal condition SQL“ Emit “equal condition SQL“ Emit “equal condition SQL“ Пример: Обработка SQL - инъекций посредством разбора грамматики SQL

37. 1. Сколько хитов на страницах сайта в пиковые нагрузки? Выберите модель, максимальная пропускная способность которой достаточна для покрытия входящего / исходящего трафика . Общее количество запросов и ответов HTTP в пиковое время не должно превышать TPS WAPPLES. 2. Необходимо ли использовать оптические байпасы в сетевой инфраструктуре? Выберите модель WAPPLES - 700 или выше для поддержки сетевого интерфейса оптического байпаса. 3. Нужны ли интерфейсы 10G ( SFP+)? Выберите модель WAPPLES - 2400 или выше с поддержкой байпас интерфейсов 10G Основные вопросы выбора модели оборудования Reference Table Class Value Performance High - End Model WAPPLES - 700 WAPPLES - 1400 WAPPLES - 2400 WAPPLES - 4000 WAPPLES - 5200 WAPPLES - 10000 Maximum Throughput 500 Mbps 1Gbps 2 Gbps 4 Gbps 5 Gbps 8 Gbps HTTP TPS 35,000 70,000 100,000 150,000 200,000 250,000 HTTPS TPS 15,000 27,000 35,000 45,000 60,000 80,000 Specification • HA Support • 1G Copper bypass • 1G Optical bypass • VLAN Tagging • HA Support • 1G Optical bypass • 1G Copper bypass • VLAN Tagging • Redundant RSU • HA Support • 1G Copper bypass • 1G Optical bypass • 10G Optical bypass • VLAN Tagging • Redundant RSU • HA Support • 1G Copper bypass • 1G Optical bypass • 10G Optical bypass • VLAN Tagging • Redundant RSU • HA Support • 1G Copper bypass • 1G Optical bypass • 10G Optical bypass • VLAN Tagging • Redundant RSU • HA Support • 1G Copper bypass • 1G Optical bypass • 10G Optical bypass • VLAN Tagging • Redundant RSU Подбор оборудования WAPPLES