Расширенные функции PT Application Firewall
Компания Positive Technologies обновила свой межсетевой экран прикладного уровня PT Application Firewall: теперь он имеет функции блокировки на основе данных геолокации, отслеживания аутентификации пользователей защищаемого приложения и позволяет реагировать на атаки типа «подбор пароля».
Расширены и возможности настройки защиты: добавлена функция, позволяющая связывать запросы к приложению с конкретной учетной записью (из которой они выполняются), а также отслеживать факты успешного и неуспешного входа в систему. Теперь защитный экран анализирует запросы на основании данных сессии, в частности, информации о геолокации и учетной записи пользователя, с которой выполнен вход в защищаемое приложение. Это дает возможность оператору Application Firewall добавлять правила блокировки с учетом конкретного пользователя или групп пользователей и в случае подозрительных действий создать инцидент безопасности.
Как поясняют в компании, есть множество случаев, когда информация об учетной записи помогает улучшить защиту и своевременно выявить атаки. Один из типичных сценариев — кража учетных записей. Например, посетитель сайта находится в Москве, а от его имени выполняется вход из Сингапура. В новой версии PT Application Firewall появились инструменты, позволяющие обнаружить хищение сессии или аккаунта и оперативно принять меры — заблокировать возможность использования защищаемого приложения для конкретного пользователя или групп пользователей из определенных регионов. Еще одна типичная ситуация, когда посетитель сайта вошел под своими учетными данными, но проявляет нетипичную для себя активность, и PT Application Firewall зафиксирует это событие.
PT Application Firewall способен и отследить неудачные попытки входа в систему, связав текущее событие с атакой «подбор пароля» (брутфорс), что позволит оперативно ее заблокировать. Защита приложения от атак этого типа сегодня очень актуальна.
Усовершенствован механизм самостоятельного создания правил Rule Engine: администратор, работающий с системой, может настроить правила блокировки запросов на основе атрибутов геолокации. За счет этого при массовых атаках на Web-серверы можно блокировать некорректные запросы из региона, страны или города, откуда наблюдается моментальное возрастание нагрузки. Механизм может использоваться для быстрого реагирования на DDoS-атаки.
Упростилась интеграция PT Application Firewall с другими системами безопасности в организации. Например, внутренние системы безопасности могут через интерфейс REST API автоматически передавать задействованные в атаке IP-адреса напрямую в PT Application Firewall для последующей блокировки. Это повышает уровень защищенности инфраструктуры организации, а также снижает трудозатраты.
К набору поддерживаемых PT Application Firewall форматов для выгрузки отчетов добавлен формат HTML. Теперь можно получать всю информацию о работе продукта, просматривать сводные таблицы, графики и диаграммы без предоставления доступа к UI – прямо в браузере. Такой формат отчетов наиболее удобен для работы и актуален, например, для провайдеров, которые предоставляют защиту приложения как дополнительную услугу.