Pull to refresh

Comments 19

Есть актуальная статистика по взломам веб-приложений?
Посмотрел на Nemesida WAF: «Не требует установки дополнительного ПО и оборудования».

Я правильно понимаю, что подключение производится через замену записи в DNS, после чего трафик идёт сначала на хосты Nemesida, а оттуда уже к реальному веб-сайту? Причём раскрытие SSL присиходит уже на стороне WAF, потому что иначе анализ был бы невозможен? Насколько я понимаю, такая схема подключения несовместима с PCI DSS.
Верно, по требованиям PCI DSS необходима standalone-версия, которая будет доступна в ближайшее время.
Nemesida WAF — это межсетевой экран прикладного уровня

Вспоминаются слова Шнура из «День выборов»: да я собственно ради этой строчки…

Какие-то банальные вещи про то, какие бывают угрозы (типичный реферат студента) а потом последней строчкой про свой продукт. Ну-ну. Если уж хотели попиарить продукт — то лучше бы написали бы сравнение с аналогами.
Мы не знаем насколько это будет корректно.
UFO just landed and posted this here
Что за категоричность? Разве автор утверждает, что это решение единственное на рынке и предлагает 100% гаранатию от взломов? Да и не одно «средство защиты» по нашей обывательской жизни 100% гарантироватий не дает.

На мой взгляд, здесь важен процент такой защищенности, а автор позиционирует свой результат как близкий к 100%, то бишь более 90%.

Дальше, про целевую аудиторию. Интересно Вы один за всех решили кому она интересна, а кому нет. Начало зацепило, значит и Вам было интересно. Читаете дальше — банальная для Вас инфа, так не насилуйте себя. А про сравнительную статью, ребята корректно себя ведут по отношению к конкурентам, чтож в этом плохого? Скорее похвально, чем лить «всякое» в открытом эфире. А вот про уникальность стоило бы раскрыть тему ИМХО, и каждый сделает выводы. Ну чтож, будем надеяться, что автор статьи предложит нам развернуый ответ.
UFO just landed and posted this here
Что для вас будет являться показателем защищенности, в таком случае? А показатель ложных запросов каким образом может отразить успешную работу функционала и качество отражения угрозы?
UFO just landed and posted this here
WAF не панацея, а одна из мер снижения рисков, для веб-приложения она наиболее эффективна.

Внезапно обнаруживается, что у WAP 3-5% ложных срабатываний (читать — отсеченных клиентов с деньгами)

Интеграция WAF с защищаемой системой проходит во взаимодействии с техническим персоналом, при 3-5% ложных срабатываний (это очень большой процент) — будут отказы, которые будут проанализированы и добавлены в виде новых правил «белого списка».

полная деградация системы на пиковых нагрузках в дни распродаж

довольно безотносительный вывод. На чём он основан?
UFO just landed and posted this here
В ближайшее время опубликую статью со сравнительным анализом защитных систем.
UFO just landed and posted this here
это межсетевой экран прикладного уровня (Web Application Firewall), позволяющий эффективно защищать сайты от хакерских атак даже в случае наличия на сайте уязвимости «нулевого дня».

Вспоминая, например, про уязвимости ffmpeg, заявление выглядит глупым маркетингом, не имеющим под собой даже теоретических предпосылок.
Пример с ffmpeg не слишком корректный — эта уязвимость by desing, и относится к бэкенду. В любом случае, с помощью белых списков, контроля внешних обращений (а ffmpeg делает обратный GET-запрос на сторонний сервер) можно заблокировать и эту уязвимость.

WAF — не панацея, а одно из средств защиты, направленное на обеспечение комплексных мер безопасности. Никакой WAF не поможет, если владельцы сайта будут «терять» пароли, оставлять служебные скрипты и т.д.
Пример как по мне весьма таки корректный — чтобы «заблокировать и эту уязвимость», о ней нужно уже знать, и ваш продукт никак не мог от неё защитить до того, как о ней узнали. Подавляющее большинство уязвимостей «нулевого дня» относятся к таким же — не говоря уже о локальных, уникальных дырах созданных неверной (небезопасной) конфигурацией или неопытными программистами, написавшими единичный код.
Впрочем, вы вряд ли сможете рассказать о том, как вы пытаетесь бороться с такими уязвимостями, поскольку раскрытие механизмов работы приведёт к снижению её эффективности. Подобно тому, как сайт «вирустотал» понижает начальную детектируемость новых вирусов и фактически сводя эффективность эвристики к нулю.
Можно заложить паттерны уязвимостей для детекта, которые не позволят провести атаку.

Кроме этого, у нас есть уникальная среда для сбора данных и составления паттернов, которую я отметил в статье:
Одним из источников, позволяющих выявлять новые сценарии и реализацию атак на веб-приложения, являются «Лаборатории тестирования на проникновение», имитирующие реальную инфраструктуру современных компаний. В лабораториях принимают участие около 9000 специалистов по информационной безопасности со всего мира, с разным уровнем подготовки, навыков и инструментария. Анализ атак, направленных на объекты лаборатории, позволяют составить модели нарушителя и реализации векторов атаки.
это может работать если используются алгоритмы поддерживающие PFS?
Sign up to leave a comment.

Articles