Файрвол уровня веб-приложений от Cloudflare (Web Application Firewall, WAF) содержит серьёзный изъян, позволяющий обойти меры защиты от межсайтового скриптинга (XSS).

Тренинг в первую очередь будет полезен администраторам и специалистам ИБ, которые:  отвечают за установку, настройку и регулярное администрирование BIG-IP и их функциональных модулей Application Security Manager, Application Firewall Manager, Access Policy;  обладают базовыми знаниями в области сетевых технологий и навыками работы в консоли и с виртуальной средой VMware, а также — уже прошли курсы по администрированию BIG-IP или TMOS;  понимают принципы формирования модели OSI и ее уровней. 

Наш центр киберзащиты отвечает за безопасность веб-инфраструктуры клиентов и отбивает атаки на клиентские сайты. Для защиты от атак мы используем файрволы веб-приложений FortiWeb (WAF). Но даже самый крутой WAF – не панацея и не защищает «из коробки» от целевых атак.

Бытует мнение, что первый компьютерный вирус появился в результате случайной ошибки в коде программы, которая привела к неконтролируемому его распространению. Но появление вслед за первыми вирусами средств борьбы с ними, было уже закономерностью – зуб дракона упал в землю, и дал всходы. Появление армии киберразбойников стало вопросом времени. Как и киберзащитников…

Компания Oberig IT- Value Added Distributor подписала дистрибьюторское соглашение с компанией Greenbone – компания, которая предлагает решения по анализу и выявлению уязвимостей – Greenbone Security Manager (GSM). В рамках дистрибьюторского соглашения, команда Oberig IT обеспечивает дистрибуцию и продвижение решений компании Greenbone на территории Украины, Грузии, Молдовы и стран СНГ.

Впервые в Европе и СНГ группа компаний БАКОТЕК и американская компания Ixia, A Keysight Business собирают украинских ИБ-специалистов на обучение в формате соревнования международного класса. Мероприятие такого рода проводилось ранее только в Сингапуре, Токио, Бангкоке и Гонконге, а теперь – и в Украине.

На сегодняшний день сложно найти компанию, которая не имела бы хотя бы веб-страницы «визитки», наоборот – всё чаще веб-сервисы представляют собой полноценные порталы с возможностью заказа услуг, отслеживания заказов, решения гарантийных проблем. Для интернет-магазинов — это каталог товаров, корзина, специальный раздел с данными о покупателях; для банков – сервисы заказа платежных карт, операций по переводу средств; для ИТ компаний – перечень услуг и порталы для обращений с проблемами.

Группа компаний МУК и компания Penta Security Systems, специализирующаяся на веб-сервисах IoT и решениях для обеспечения безопасности данных, заключили дистрибуторское соглашение на территории Украины.

Третий год подряд американская компания F5 Networks и группа компаний БАКОТЕК проводят крупнейшее мероприятие по оптимизации работы и безопасности приложений - конференцию F5 TECH SHOW.

В ответ на массовые взломы систем безопасности был создан консорциум OWASP — Open Web Application Security Project, это открытый проект обеспечения безопасности веб-приложений. Однако и злоумышленники, и специалисты в области кибербезопасности продолжают находить уязвимости в веб-приложениях, которые могут привести к серьезным потерям со стороны бизнеса. Основной причиной большинства брешей в Web-приложениях является написанный разработчиками программный код. Разработчики могут допускать ошибки при написании кода или не осознавать всю важность использования приемов безопасного программирования – все это приводит к появлению уязвимостей в приложениях. Несомненно, защита веб-инфраструктуры нужна для любой компании. Однако из множества категорий защитных решений — Firewall, IPS/IDS, NGFW (Next Generation Firewall), WAF (Web-Application Firewall) только Web Application Firewall способны обеспечить комплексную защиту веб-приложений от известных и неизвестных угроз, а также обеспечить соответствие требованиям регуляторов, например, стандартам PCI DSS. Ни классические Firewall, ни IPS/IDS не смогут обеспечить адекватной защиты веб-приложений. Эволюция брандмауэров По своей сути файрволы (также применяется термин брандмауэр и межсетевой экран) — это сетевой фильтр между внутренней (корпоративной) и внешней сетью (то есть, Интернет-средой). Первые брандмауэры были способны лишь блокировать подозрительные сетевые пакеты на сетевом и канальном уровнях исходя из IP-адреса источника и назначения, флага фрагментации и номера портов. Более продвинутые системы — такие как IPS/IDS (Intrusion Prevention System/Intrusion Prevention System) — способны анализировать содержимое сетевых пакетов и сравнивать его с сигнатурами известных атак. Кроме того, эти системы обнаруживают и блокируют отклонения в протоколах прикладного уровня.

Метод заключается в эксплуатации ошибки в регулярном выражении. Эксперты компании High-Tech Bridge обнаружили способ обхода проактивного фильтра (Bitrix WAF), используемого в системе управления сайтами Bitrix Site Manager (Bitrix24). Метод заключается в эксплуатации ошибки в регулярном выражении. В ходе одного из аудитов исследователи столкнулись с сайтом на базе Bitrix Site Manager с самописным кодом, содержащим множественные XSS-уязвимости, однако встроенный проактивный фильтр существенно затруднял их эксплуатацию.

Защита веб-приложений становится сложной задачей из-за их возрастающей интерактивности, усложняющегося поведения и поддержки новых протоколов. В этом году аналитическое агентство Gartner назвало компанию Positive Technologies одним из визионеров в рейтинге «магический квадрант для экранов защиты веб-приложений» (Magic Quadrant for Web Application Firewalls – WAFs). Такой рейтинг составляется только с прошлого года, поскольку речь идёт о новом типе средств защиты. WAF часто путают с межсетевыми экранами, системами обнаружения и предотвращения вторжений (IPS / IDS). Они умеют делать всё тоже самое, но список их возможностей гораздо шире, а сама логика работы более интеллектуальная. Существующие методы выявления сетевых атак всё чаще оказываются малоэффективными, особенно в случае использования различных эксплоитов. «По нашим оценкам, в 2014 году 60% атак на корпоративные сети осуществлялись через веб-приложения, невзирая на наличие традиционных защитных средств», – поясняет Евгений Гнедин, ведущий аналитик отдела аналитики Positive Technologies.

Исследователь безопасности Мазин Ахмед (Mazin Ahmed) опубликовал результаты анализа способов обхода XSS-защиты в популярных межсетевых экранах уровня приложения (Web application firewalls, WAF). Ахмед использовал несколько виртуальных машин, на которых запускались популярные браузеры Google Chrome, Opera, Mozilla Firefox и Internet Explorer. Исследователь изучал коммерческие и открытые продукты: F5 Big IP, Imperva Incapsula, AQTRONIX WebKnight, PHP-IDS, Mod-Security, Sucuri, QuickDefence, Barracuda WAF. Для каждого продукта был представлен хотя бы один XSS-вектор, позволявший осуществить обход защиты.

F5 Networks расширила платформу Silverline возможностями WAF. Использование обновленного облачного сервиса Silverline™ Web Application Firewall позволяет клиентам обеспечить защиту веб-приложений, увеличить скорость развертывания приложений, а также сократить расходы на обеспечение их безопасности.