WAAP (Web Application and API Protection) является брандмауэром веб-приложений следующего поколения WAF (Web Application Firewall). Термин впервые начал использовать Gartner для описания защиты современных, постоянно меняющихся веб-сервисов. Так как, в мире CI/CD, динамики и API first компаний, функций традиционного WAF (Web Application Firewall) уже недостаточно.
Термин «WAAP» более точно соответствует тому, как изменился рынок. Клиенты стали требовать и ожидать дополнительных средств защиты для борьбы с быстро растущим и развивающимся ландшафтом угроз, который чаще включает в себя воздействие на интерфейс программирования приложений (API), использование средств автоматизации (ботов) для организации атак и распределенного отказа в обслуживвании (DDoS-атаки). Это также отражает тенденцию к консолидации функциональности, поскольку организации стремятся к большей операционной и финансовой эффективности.
API-First, WAF-next
Многие компании, у которых уже есть веб-приложения, приносящие доход, запускают программу «API-First». Теперь старые монолитные приложения разбиваются на микросервисы, разработанные в эластичной и гибкой архитектуре сервисной сети.
API-First — это подход к разработке серверных приложений, при котором API является наиболее важной частью продукта. При применении такого подхода у API вашего продукта есть собственный цикл разработки, соответственно создается его артефакт. Очевидно, что в вашем сервисе присутствует зависимость от артефакта API, чем обеспечивается актуальность спецификации в этом артефакте. Как видно, необходимо сначала разработать API, а потом уже работать над реализацией этого API в вашем сервисе. Указанная очередность разработки является необходимостью при приверженности к подходу API‑First, но не определением самого подхода. First в наименовании означает, что API — это первый по важности продукт. В том числе и с точки зрения защиты.
Общий вопрос, с которым сталкивается большинство организаций: как повысить безопасность веб-приложений, в том числе API?
Развитие средств защиты для противодействия современным атакам
Защита API от современных киберугроз требует выхода за рамки традиционных решений. На помощь приходит защита веб-приложений и API (WAAP) — брандмауэр веб-приложений следующего поколения (WAF-NG).
Угрозы веб-приложениям постоянно меняются, что делает решения на основе сигнатур немасштабируемыми. Решения WAAP помогают организациям опережать среду угроз безопасности приложений, которая развивается благодаря аналитике в реальном времени и постоянному самообучению.
Компоненты WAAP
WAAP — это совокупность методов и технологий, которые используются для защиты веб-приложений и сервисов от атак и уязвимостей. WAAP включает в себя такие технологии, как WAF-NG, сканер уязвимостей, автоматическое обнаружение и блокирование атак 0-дня (в том числе с помощью виртуального патчинга), выявление аномалий с помощью технологий Machine Learning и смарт-капчи.
WAAP является эволюцией классического WAF и предлагает продвинутые автоматизированные механизмы защиты для постоянно меняющихся веб-приложений.
Брандмауэр веб-приложений следующего поколения (Next-Gen WAF) защищает и контролирует веб-приложения от широкого спектра атак в точке их развертывания на уровне приложений.
Самозащита приложений во время выполнения (RASP), встроенная в домен среды выполнения приложений, обеспечивает защиту от атак в реальном времени для API и веб-приложений.
Защита микросервисов и API обеспечивает безопасность микросервиса, приложения или бессерверной функции для создания микропериметра с учетом контекста и данных вокруг всех отдельных сервисов.
То есть к традиционным средствам защиты (WAF) должны быть добавлены следующие возможности:
Защита от ботов/скрепинга (доля ботов (хороших + вредоносных) в мировом интернет-трафике почти достигла 50%)
Защита от DDoS-атак уровня L7 (в 2023 году количество DDoS-атак во всем мире увеличилось на 63% — в основном из-за геополитических факторов. На Россию пришлось 7,3% от общего количества нападений)
Защита от угроз OWASP top 10
Использование TI-feed'ов для блокировок
Использование продвинутых механизмов ограничения количества запросов
Использование смарт-капчи
Использование ML механизмов для выявления аномалий, мутаций и построения датасетов
WAF + ML = WAAP
Оптимальным вариантом использования полученных данных будет профилирование трафика: WAF обычно принимают решения на основе отдельных запросов или группы запросов, например, всех запросов в рамках сеанса HTTP или с одного и того же исходного IP-адреса. Если выявить группу запросов в рамках HTTP-сеанса, можно определить и статистически оценить некие свойства. Например, можно проверить вероятность определенной последовательности HTTP-запросов в рамках сеанса. В типичных последовательностях обычно преобладает обычное поведение пользователя. Атипичные последовательности могут указывать на нежелательные действия, например, на веб-сканер, вызывающий ссылки в необычном порядке.
Основным отличием WAAP от WAF является использование машинного обучения (ML) и/или поведенческого анализа, а не только предоставленных правил безопасности или известных шаблонов атак».
Чтобы обнаружить нежелательный HTTP-сеанс с помощью методов машинного обучения, сначала необходимо определить соответствующие функции (инжиниринг функций). Здесь базовые данные используются для идентификации атрибутов, для которых модель впоследствии делает прогнозы. Этот шаг важен для успеха модели. Примеры таких функций веб-трафика включают распределение временных интервалов запросов, размеров объектов HTTP или распределение кодов состояния HTTP. Как видно из этих примеров, отдельные базовые атрибуты необработанных данных, такие как отметки времени, можно использовать для создания более сложных функций в несколько этапов. На основе этих функций затем выбираются, настраиваются и обучаются подходящие модели машинного обучения. Подходящая комбинация различных моделей приводит к созданию системы, способной выявлять определенные отклонения в веб-сеансе. Эта система может отвечать на такие вопросы, как: выполнялись ли отдельные запросы в сеансе человеком или это делалось только программным обеспечением? Это обычный пользователь или его поведение говорит о том, что он злоумышленник? Если запросы были вызваны каким-либо программным обеспечением или ботом, была ли это легитимная поисковая система, инструмент мониторинга или, возможно, нежелательный сканер сайта, бот или даже инструмент атаки?
В этом контексте каждое веб-приложение можно обучать и защищать с помощью собственной специальной модели. Например, определенная аномалия в одном приложении может быть совершенно нормальным поведением в другом. Это дает дополнительное преимущество WAAP по сравнению со статическими функциями безопасности (классический WAF), которые требуют больших усилий для настройки и оптимизации для каждого отдельного веб-приложения. При обучении моделей также необходимо предпринять меры безопасности, чтобы гарантировать, что злоумышленник не сможет повлиять на этап обучения и построения датасетов.
Web Application and API Protection снижает риск компрометации, кражи данных, захвата учетных записей и простоя за счет интеграции различных элементов управления безопасностью защиты веб-приложений.
