Технология DAST в сервисе RED Security WAF
Компания RED Security объявила о расширении функциональности сервиса по защите веб-приложений RED Security WAF за счет интеграции технологии динамического анализа защищенности (DAST). Новая функциональность дает пользователям возможность не только блокировать атаки на веб-приложения в режиме реального времени, но и проактивно выявлять уязвимости до того, как ими воспользуются злоумышленники.
Сервис RED Security WAF обеспечивает круглосуточную защиту веб-приложений от действий злоумышленников, блокируя атаки из списка OWASP Top 10, DDoS на уровне L7, атаки на API и механизмы аутентификации, а также новые и ранее неизвестные типы атак.
Как поясняют в компании, классическая модель, при которой средства защиты и анализ защищенности существуют как отдельные, не связанные между собой процессы, устарел и в условиях роста числа атак на веб-приложения уже не обеспечивает достаточного уровня защиты. Поэтому в компании интегрировали DAST в RED Security WAF, что позволяет заказчикам перейти от реактивной модели безопасности к проактивной, снижая риски компрометации бизнес-критичных приложений. Фактически клиент получает не разрозненные инструменты, а единую экосистему, в которой наложенная защита и анализ защищенности усиливают друг друга.
Технология DAST выполняет автоматизированное сканирование веб-приложений, имитируя действия атакующего. Сканер анализирует приложение «снаружи», воспроизводя реальные сценарии атак, что позволяет обнаружить не только известные уязвимости, но и ошибки конфигурации, проблемы аутентификации и авторизации, а также уязвимости, возникающие при взаимодействии различных компонентов приложения.
Ключевое преимущество интеграции DAST в сервис WAF заключается в формировании единого контура защиты, в котором результаты динамического сканирования автоматически обогащают политики межсетевого экрана веб-приложений, а данные о заблокированных атаках, в свою очередь, помогают приоритизировать обнаруженные анализатором уязвимости.
При выявлении критической уязвимости система способна автоматически сформировать виртуальный патч на уровне WAF, обеспечивая защиту приложения еще до выпуска обновления безопасности. Такой подход сокращает время между обнаружением уязвимости и ее устранением. Это особенно актуально для организаций с высокой частотой обновлений веб-приложений и изменений в их архитектуре, где каждый новый релиз потенциально может привнести новые уязвимости.
Новая функциональность сервиса ориентирована в первую очередь на компании сфер электронной коммерции и финансов, а также государственный и промышленный секторы, для которых доступность и защищенность веб-приложений критически важны. В основе RED Security WAF лежат российские решения, входящие в реестр отечественного ПО, а сам сервис имеет необходимые для работы в государственных организациях сертификаты ФСТЭК России.