Базовый минимум: зачем вашей компании WAF

В beeline cloud мы пишем про настройку сетевых сервисов, управление облачной инфраструктурой и информационную безопасность. Сегодня поговорим про корпоративные веб-приложения: почему они так «нравятся» злоумышленникам и что для их защиты предлагают решения класса Web Application Firewall (WAF).

Материал подойдет начинающим администраторам и тем, кто делает первые шаги в сфере ИБ. А еще менеджерам, если им нужно оперативно разобраться в вопросе.

В прошлом году количество кибератак на российский бизнес выросло в 2,5 раза. В основном злоумышленников интересовали объекты критической и промышленной инфраструктуры, финансовые организации и телекомы, но под удар нередко попадали и другие компании из самых разных сфер деятельности. При этом чаще атаковали веб-приложения, что ожидаемо, так как подавляющее их большинство содержит простые для обнаружения уязвимости или ошибки в конфигурации.

Во всяком случае специалисты из «Лаборатории Касперского», которые проанализировали степень защищенности веб-приложений на основе данных за 2021–2023 годы [в выборку попали проекты из России, Китая и стран Ближнего Востока], отметили, что 70% приложений имели недостатки, связанные с контролем доступа, а 61% — были подвержены межсайтовому скриптингу. Наши исследования показывают более внушительные цифры — доля веб-приложений, которые содержат уязвимости, позволяющие успешно атаковать их и пользователей, может доходить до 98%.

Так, руководствуясь тем, что новое — (не очень) хорошо забытое старое, возобновил работу крупный ботнет Mozi, который использует известные уязвимости вроде CVE-2017-9841, CVE-2018-15133 и CVE-2021-41773, позволяющие атаковать незащищенные сайты. В частности, первая уязвимость даёт возможность удалённо выполнять PHP-код и получать несанкционированный доступ к серверу веб-приложения. Злоумышленникам достаточно направить ресурсу специально подготовленный HTTP POST-запрос.

Еще пять лет назад этот ботнет включал порядка 1,5 млн зараженных устройств. Считалось, что с ним было покончено в 2023-м, когда вся сеть перешла в неактивный режим после рассылки специального UDP-сообщения. Но некоторые технические издания писали, что ботнет может вернуться, а человек, разославший команду, готовит зараженные системы к новой «полезной» нагрузке. Так и произошло — судя по всему, элементы инфраструктуры Mozi были интегрированы в новый ботнет Androxgh0st.

Хуже всего то, что реализация и проведение подобного рода атак с каждым годом становятся все дешевле. Да, стоимость эксплойтов на черном рынке варьируется от десятков до сотен тысяч долларов, но по оценкам ИБ-специалистов, их приобретение, к сожалению, практически всегда окупается. Чистая прибыль хакеров от реализованной атаки может в пять раз превышать затраты на её подготовку.

Ложку дегтя добавляет и растущая популярность систем ИИ. Согласно отчету Национального центра кибербезопасности Великобритании, развитие нейронок подстегивает рост частоты и мощности кибератак [в том числе на веб-приложения]. Системы ИИ снижают порог входа в сферу киберпреступлений, а также открывают «новые возможности» тем, кто занимается противоправной деятельностью на потоке.

Справедливости ради стоит отметить: по данным IBM, злоумышленники пока не нашли способ эффективно использовать системы ИИ для разработки принципиально нового вредоносного ПО. Но успешно используют AI/ML-инструменты для работы «по классике». Как отмечают в CERT-подразделении Университета Карнеги — Меллона, ИИ-решения применяют для рекогносцировок: поиска известных уязвимостей в инфраструктуре или «прочесывания» баз в поисках доступов к админкам сайтов.

Необходимая и (порой) достаточная мера предосторожности для защиты приложения — своевременная установка патчей. Еще в 2018-м компания ServiceNow опросила 3 тыс. специалистов по ИБ в организациях, столкнувшихся с утечками данных. Половина из них признала: инцидента можно было избежать, если бы нужное обновление было установлено вовремя. Справедливо и обратное: восстанавливаться после атак дороже и больнее, чем обеспечить профилактику: IBM и Ponemon Institute утверждают, что на устранение последствий атак на веб-приложения бизнесу требуется в среднем 292 дня.

Хорошо известным инструментом профилактики являются решения класса WAF (Web Application Firewall), которые защищают веб-приложения, обнаруживая и блокируя вредоносные HTTP-запросы, направленные на эксплуатацию уязвимостей и ошибок конфигурации. Вообще считается, что первые WAF вышли на рынок в конце 1990-х, когда участились атаки на веб-серверы. В 2002 году проект ModSecurity сделал эту технологию доступной для всех. И уже в 2003 году специалисты OWASP сформировали список самых распространенных уязвимостей для приложений — OWASP Top 10, который стал стандартом для обеспечения веб-безопасности. Можно сказать, что все поставщики технологий класса WAF ориентируются на этот стандарт при разработке своих инструментов защиты.

С тех пор рынок WAF продолжил развиваться, особенно в финансовой сфере. С марта 2025 года наличие WAF станет обязательным для компаний, которые работают с банковскими картами. Это — новое требование стандарта PCI DSS. Но защита финансовых данных — не единственная задача WAF. Помимо банков и финтеха, среди ключевых пользователей числятся: медицинские и логистические организации, гос. компании, а также телекомы и ритейл. Они применяют WAF для обеспечения защиты веб-приложений на периметре и недопущения проникновения хакеров во внутреннюю сеть за счет эксплуатации их уязвимостей. Современные WAF-инструменты могут проводить:

Несмотря на то, что принцип работы WAF не нов, а сама технология давно стала де-факто индустриальным стандартом, рынок развивается и трансформируется. Некоторые компании обращаются к открытым WAF-решениям вроде Wafris, который может блокировать атаки, использующие уязвимости во фреймворках, HTTP-серверах или Kubernetes Ingress Controller. Другой пример — SafeLine от китайской компании Chaitin Tech, специализирующейся на кибербезе. Однако файрволы с открытым кодом требуют определенного опыта и экспертизы в плане настройки и обслуживания.

Обычно новым ИТ-проектам или не ИТ-ориентированным компаниям проще использовать готовый управляемый сервис, который предоставляет провайдер — в этом случае он берет на себя развертывание и мониторинг решения, снижая нагрузку на внутренние команды. В beeline cloud такой сервис называется Cloud WAF Pro.

Решение Cloud WAF Pro анализирует и фильтрует трафик на прикладном уровне. Оно блокирует SQL-инъекции и межсайтовое выполнение сценариев, защищает от атак, направленных на подбор паролей к учетным записям, и других поведенческих атак, характеризующихся большим количеством запросов.

В общем случае схема решения выглядит следующим образом:

Дополнительно для решения может быть включен модуль сканера уязвимостей в веб-приложениях. Найденные проблемы отображаются в соответствующем разделе модуля сканера уязвимостей. Для каждого события, которое распознает Cloud WAF Pro, формируется карточка атаки. В ней представлены сведения об инциденте: вредоносный пэйлоад, на который среагировала система, домен и путь, на который был отправлен вредоносный запрос, исходные данные про IP-адреса, часть запроса, которая была помечена как нелегитимная. Эти данные важны для анализа инцидента, корректировки правил и адаптации WAF к выявленным угрозам.

Кстати, функциональность и возможности WAF-решений на примере Cloud WAF Pro мы разбираем на бесплатном курсе Deep Security. Он подходит администраторам и начинающим специалистам по ИБ. Например, демонстрируя защиту от инъекций, мы рассмотрели пример с интернет-магазином JuiceShop — специально разработанным приложением от OWASP со «встроенными» уязвимостями. JuiceShop позволяет моделировать атаки и проверять эффективность WAF. В курсе мы показываем, как настроить систему Cloud WAF Pro, чтобы она могла обнаружить и предотвратить подмену изображений и описаний товаров через вредоносный код.