Обновления Немезида ВАФ: сбор событий работы компонентов, GeoIP и многое другое

01.09.2023

С атаками сталкиваются все владельцы публичных веб-ресурсов — некоторые узнают об этом сразу, другие — потом. По своей сути атаки можно разделить на 3 типа — попытки компрометации данных, DDoS и атаки на баланс (злоупотребление функционалом восстановления пароля по СМС и т.д.). И пока количество атак растет, появляются новые угрозы и техники обхода WAF, мы продолжаем работать над улучшением механизмов их выявления и делиться достижениями за прошедшие полгода.

Фильтрующая нода

Динамический модуль является основным компонентом, без которого работа Немезида ВАФ будет невозможна. В 2023 году мы планово поработали над оптимизацией кода, а также добавили поддержку веб-сервера Angie. А еще активно работаем над сборкой Немезида ВАФ для Envoy Proxy.

Nemesida AI

Полноценный модуль машинного обучения — одна из особенностей Немезида ВАФ, которой мы гордимся, ведь с ее помощью мы готовы показывать точность выявления атак до 99.98%, что, согласно тестам, на 53.04% эффективнее выявления атак только сигнатурным методом.

Результат тестирования Немезида ВАФ

К тому же, постоянная доработка компонента позволила не только улучшить точность выявления DDoS/Brute/Flood-атак или более качественно выстраивать поведенческие модели, но и в снизить требования к аппаратным ресурсам сервера.

Nemesida WAF Scanner

Совсем недавно мы выпустили обновленный Nemesida WAF Scanner, который предназначен для поиска уязвимостей в защищаемых веб-приложениях. Что изменилось:

Произведена оптимизация кода, позволившая увеличить скорость работы компонента;
Реализована более гибкая система настройки сканирования, позволяя для каждого веб-приложения выбрать необходимые модули поиска уязвимостей;
Добавлена возможность управления настройками сканирования через Nemesida WAF API (возможность управления настройками через интерфейс Личного кабинета будет добавлена позже).

Получение расширенной информации об IP-адресе

Определение географического местоположения на основе IP-адреса источника запросов и получение расширенной информации (используется ли адрес как прокси-сервер/VPN/TOR/хостинг/итд) — важный функционал, который позволяет блокировать запросы, которые не должны поступать на веб-приложение по тем или иным причинам. Ранее для этого использовались сторонние GeoIP-базы, но они содержали ошибки, из-за чего работа правил блокировок на основе GeoIP могла быть некорректной. Также, в связи с текущей ситуацией, доступ к базам для российских пользователей был ограничен, поэтому мы отказались от использования баз сторонних поставщиков в сторону собственной расширенной GeoIP-базы, доступ к которой уже входит в стоимость Немезида ВАФ.

Nemesida API Firewall

Функционал защиты вызовов API был добавлен еще в прошлом году, а в этом мы заметно улучшили его работу, позволяя быстрее и более точно анализировать запросы на соответствие спецификации и блокировать нелегитимные запросы.

Централизованный сбор событий работы компонентов Немезида ВАФ

Нас часто спрашивали можно ли интегрировать наше решение с внешними системами типа SIEM. И мы всегда отвечали, что интеграция возможна с использованием, например, rsyslog или получением данных напрямую из БД. Но такой способ может быть не таким удобным, поэтому мы расширили функционал Nemesida WAF API, позволяя собирать информацию о работе компонентов Немезида ВАФ.

Функционал централизованного сбора событий также доступен и в Личном кабинете.

Всю полученную информацию можно интегрировать во внешние системы, но если будут затруднения — мы всегда открыты к предложениям по доработке функционала.

Управление конфигурацией веб-сервера

Еще одним нововведением стала поддержка управления настройками веб-сервера Nginx. Пока что управление конфигурацией доступно только при использовании Nemesida WAF API, но до конца года планируем выпустить обновление для Личного кабинета, где управление конфигурацией будет производиться через веб-интерфейс.

Преимущества Немезида ВАФ

Не стоит забывать и о других преимуществах Немезида ВАФ:

полностью OnPrem-решение (все компоненты устанавливаются локально в инфраструктуре заказчика, обрабатываемый трафик не передается за ее пределы), устойчивое к сбоям в сети Интернет;
Немезида ВАФ разработана в компании со 100% российским участием и готова конкурировать, оставаясь в своем классе одним из наиболее доступных решений на рынке;
Немезида ВАФ внесена в реестр отечественного ПО (№ 4418 от 16.04.2018) и имеет бессрочную лицензию ФСТЭК на разработку и производство средств защиты информации (№ 1761 от 20.06.2017);
стоимость ПО формируется с учетом российского рынка и не зависит от изменений валютного курса или стоимости аппаратного обеспечения.
быстрый ввод в эксплуатацию, позволяющий сразу запустить базовый механизм защиты с последующей активацией модуля машинного обучения;
множество вспомогательных механизмов защиты: API Firewall (OpenAPI/Swagger), виртуальный патчинг, интеграция с антивирусной защитой, расширенный анализ запросов и множественная нормализация, сканер уязвимостей и т.д.;
управление инцидентами в один клик, используя веб-интерфейс Личного кабинета;
управление настройками компонентов, используя вызовы API и веб-интерфейс Личного кабинета.

WAF Bypass

Любое высказывание о показателях уровня защищенности должно сопровождаться какими-нибудь доказательствами, и мы готовы их предоставить. Специально для автоматизированного тестирования WAF мы разработали WAF Bypass Tool — инструмент с открытым исходным кодом и внушительным набором пейлодов, рассчитанных на эксплуатацию уязвимостей класса OWASP, который по достоинству оценили сотни пользователей.

В этом году мы значительно расширили его функционал, а именно:

вместе с увеличением количества пейлодов добавили механизмы их кодировки (Base64, UTF-16, URL-Encode), которыми пользуются злоумышленники во время атак на веб-приложения;
добавили отправку запросов в многопоточном режиме, что позволяет ускорить процесс тестирования;
доработали отчетность, которая теперь отображается не только в виде красивой таблицы в консоли, но и может быть получена в формате JSON для интеграции, например, с SIEM-системами.

Если окажетесь недовольны результатами теста используемого ВАФ — сообщите нам, и мы бесплатно предоставим вам коммерческую версию Немезида ВАФ на 14 дней.

Оставайтесь защищенными!

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.