Web protection что это
Что подразумевается под веб защитой компьютера
В широком смысле слова веб защита – это защита от всех сетевых угроз. Разработчики антивируса НАНО выделяют функции файловой защиты, то есть проверки имеющихся на компьютере файлов с блокированием доступа к инфицированным и подозрительным, и веб защиты, то есть проверки загружаемых из интернета файлов с блокированием загрузки зараженных.
Часто веб защитой компьютера называют блокирование доступа на подозрительные веб страницы, анализ ссылок, предостережение пользователя при попытке зайти на сайт, представляющий угрозу для компьютера. Модуль, препятствующий попытке зайти на потенциально опасный сайт, обычно носит название Web Protection, то есть веб защита. Пользователи многих антивирусных программ предпочитают отключать этот модуль, поскольку он слишком часто поднимает ложную тревогу.
Разновидностями веб-угроз являются фишинговые сайты – сайты-подделки, с которых в момент ввода считывается конфиденциальная информация. Важными условиями обеспечения веб защиты можно считать регулярное обновление антивирусного ПО, в идеале – автоматическое, постоянное использование включенного брандмауэра, защищающего от сетевых атак.
Что подразумевается под веб защитой компьютера
В широком смысле слова веб защита – это защита от всех сетевых угроз. Разработчики антивируса НАНО выделяют функции файловой защиты, то есть проверки имеющихся на компьютере файлов с блокированием доступа к инфицированным и подозрительным, и веб защиты, то есть проверки загружаемых из интернета файлов с блокированием загрузки зараженных.
Часто веб защитой компьютера называют блокирование доступа на подозрительные веб страницы, анализ ссылок, предостережение пользователя при попытке зайти на сайт, представляющий угрозу для компьютера. Модуль, препятствующий попытке зайти на потенциально опасный сайт, обычно носит название Web Protection, то есть веб защита. Пользователи многих антивирусных программ предпочитают отключать этот модуль, поскольку он слишком часто поднимает ложную тревогу.
Разновидностями веб-угроз являются фишинговые сайты – сайты-подделки, с которых в момент ввода считывается конфиденциальная информация. Важными условиями обеспечения веб защиты можно считать регулярное обновление антивирусного ПО, в идеале – автоматическое, постоянное использование включенного брандмауэра, защищающего от сетевых атак.
Веб-защита
Область применения:
О веб-защите
Веб-защита в Microsoft Defender для конечной точки — это возможность, которая состоит из защиты от веб-угроз, фильтрации веб-контента и пользовательских индикаторов. Веб-защита позволяет обезопасить устройства от веб-угроз и регулировать нежелательный контент. Отчеты о веб-защите можно найти на портале Microsoft 365 Defender, перейдите на веб-> Reports >.
Защита от веб-угроз
Карты, которые составляют защиту от веб-угроз, — это обнаружение веб-угроз со временем и сводка веб-угроз.
Защита от веб-угроз включает в себя:
Настраиваемые индикаторы
Настраиваемые обнаружения индикаторов также суммируются в веб-отчетах об угрозах в организациях в рамках обнаружения веб-угроз со временем и сводки веб-угроз.
Настраиваемый индикатор включает в себя:
Фильтрация веб-содержимого
Фильтрация веб-контента включает веб-активность по категориям, сводку фильтрации веб-контента и сводку веб-действий.
Фильтрация веб-контента включает в себя:
Порядок приоритета
Веб-защита состоит из следующих компонентов, перечисленных в порядке приоритета. Каждый из этих компонентов обеспечивается клиентом SmartScreen в Microsoft Edge и клиентом network Protection во всех других браузерах и процессах.
Настраиваемые индикаторы (IP/URL-адрес, политики Microsoft Defender для облачных приложений)
Веб-угрозы (вредоносные программы, фишинг)
Фильтрация веб-контента (WCF)
В настоящее время Microsoft Defender для облачных приложений создает индикаторы только для заблокированных URL-адресов.
Порядок приоритета связан с порядком операций, по которым оценивается URL-адрес или IP-адрес. Например, если у вас есть политика фильтрации веб-контента, можно создавать исключения с помощью настраиваемого ip/URL-адреса. Настраиваемые индикаторы компромисса (IoC) в порядке приоритета выше, чем блоки WCF.
Точно так же во время конфликта между индикаторами всегда позволяет иметь приоритет над блоками (переопределять логику). Это означает, что допустимый индикатор будет выигрывать над любым индикатором блока, который присутствует.
В приведенной ниже таблице приведены общие конфигурации, которые могут представлять конфликты в стеке веб-защиты. Он также определяет результаты определения, основанные на приоритете, перечисленных выше.
| Настраиваемая политика индикатора | Политика веб-угроз | Политика WCF | Политика Defender for Cloud Apps | Result |
|---|---|---|---|---|
| Разрешить | Блокировка | Блокировка | Блокировка | Разрешить (переопределять веб-защиту) |
| Разрешить | Разрешить | Блокировка | Блокировка | Разрешить (исключение WCF) |
| Warn | Блокировка | Блокировка | Блокировка | Предупреждение (переопределения) |
Внутренние IP-адреса не поддерживаются пользовательскими индикаторами. Для политики предупреждения при обходе конечным пользователем сайт будет разблокирован в течение 24 часов для этого пользователя по умолчанию. Этот срок может быть изменен администратором и передается облачной службой SmartScreen. Возможность обхода предупреждения также может быть отключена в Microsoft Edge CSP для блоков веб-угроз (вредоносных программ и фишинга). Дополнительные сведения см. в Microsoft Edge SmartScreen Параметры.
Защита браузеров
Во всех сценариях веб-защиты SmartScreen и Network Protection можно использовать вместе для обеспечения защиты как в браузерах, так и в сторонних браузерах и процессах. SmartScreen встроен непосредственно в Microsoft Edge, а Network Protection отслеживает трафик в сторонних браузерах и процессах. На приведенной ниже схеме иллюстрирует эту концепцию. Эта схема двух клиентов, работающих вместе для предоставления нескольких покрытий браузера и приложений, является точной для всех функций веб-защиты (Индикаторы, Веб-угрозы, фильтрация контента).
Блоки конечной точки устранения неполадок
Ответы из облака SmartScreen стандартизуются. Такие средства, как Fiddler, можно использовать для проверки ответа облачной службы, которая поможет определить источник блока.
Когда облачная служба SmartScreen отвечает допустимым, блоковым или предупреждать ответом, категория отклика и контекст сервера передаются клиенту. В Microsoft Edge, категория ответа — это то, что используется для определения соответствующей страницы блока для показа (вредоносные, фишинговые, организационные политики).
В таблице ниже показаны ответы и их соотносимые функции.
| ResponseCategory | Функция, ответственная за блок |
|---|---|
| CustomPolicy | WCF |
| CustomBlockList | Настраиваемые индикаторы |
| CasbPolicy | Defender for Cloud Apps |
| Вредоносное | Веб-угрозы |
| Фишинговое | Веб-угрозы |
Расширенный поиск для веб-защиты
Запросы Kusto в области предварительной охоты можно использовать для обобщения блоков защиты веб-сайтов в организации сроком до 30 дней. В этих запросах используется указанная выше информация, чтобы различать различные источники блоков и обобщить их в удобной для пользователя форме. Например, ниже в запросе перечислены все блоки WCF, происходящие из Microsoft Edge.
Кроме того, вы можете использовать ниже запрос, чтобы перечислить все блоки WCF, возникающие из сетевой защиты (например, блок WCF в стороном браузере). Обратите внимание, что ActionType был обновлен, а «Experience» изменен на «ResponseCategory».
Чтобы перечислить блоки, которые обусловлены другими функциями (например, настраиваемые индикаторы), обратитесь к таблице выше с извеской каждой функцией и соответствующей категорией отклика. Эти запросы также могут быть изменены для поиска телеметрии, связанной с определенными машинами в организации. Обратите внимание, что в actionType, показанных в каждом выше запросе, будут показаны только те подключения, которые были заблокированы функцией веб-защиты, а не весь сетевой трафик.
Взаимодействие с пользователем
Если пользователь посещает веб-страницу, которая представляет риск вредоносных программ, фишинга или других веб-угроз, Microsoft Edge запускает страницу блокировки с текстом «Этот сайт был признан небезопасным» вместе с информацией, связанной с угрозой.
Если блокирован WCF или настраиваемый индикатор, на странице Microsoft Edge, которая сообщает пользователю, что этот сайт заблокирован организацией.
В любом случае в сторонних браузерах не отображается блок-страниц, и пользователь видит страницу «Безопасное подключение сбой» вместе с уведомлением о подстесте. В зависимости от политики, ответственной за блок, пользователь увидит другое сообщение в уведомлении тоста. Например, фильтрация веб-контента будет отображать сообщение «Этот контент заблокирован».
Сообщение о ложных срабатывах
Чтобы сообщить о ложном срабатыве для сайтов, признанных SmartScreen опасными, используйте ссылку, которая отображается на странице блока в Microsoft Edge (как показано выше).
Для WCF можно оспорить категорию домена. Перейдите на вкладку Домены отчетов WCF и нажмите кнопку Отчет о неточности. Откроется вылет. Установите приоритет инцидента и ука добавь дополнительные сведения, например предлагаемую категорию. Дополнительные сведения о том, как включить WCF и как оспорить категории, см. в странице Фильтрация веб-контента.
Дополнительные сведения о том, как отправлять ложные срабатыва-
Чем защищают сайты, или Зачем нужен WAF?
В этом году компанию Positive Technologies назвали «визионером» в рейтинге Gartner Magic Quadrant for Web Application Firewalls. Это вызвало ряд вопросов о том, за какие достижения мы туда попали и что такое WAF вообще. Вопросы вполне правомерные, ведь Gartner выпускает своё исследование WAF лишь с прошлого года (для примера: «квадранты» по SIEM стали выходить на пять лет раньше, в 2009 году). Кроме того, некоторые до сих пор путаются с терминологией, не отличая «экран для защиты веб-приложений» (WAF) от обычного «межсетевого экрана» (network firewall) или «системы предотвращения вторжений» (IPS).
В этой статье мы попробуем отделить мух от котлет — и рассказать, как идёт эволюция периметровой защиты по мере роста изощрённости атак.
1. В начале времён: пакетные фильтры
Изначально термин firewall (брандмауэр, экран) обозначал сетевой фильтр, который ставится между доверенной внутренней сетью и внешним Интернетом (отсюда прилагательное «межсетевой»). Этот фильтр был призван блокировать подозрительные сетевые пакеты на основе критериев низких уровней модели OSI: на сетевом и канальном уровнях. Иными словами, фильтр учитывал только IP адреса источника и назначения, флаг фрагментации, номера портов.
В дальнейшем возможности расширились до шлюзов сеансового уровня, или фильтров контроля состояния канала (stateful firewall). Эти межсетевые экраны второго поколения повысили качество и производительность фильтрации за счет контроля принадлежности пакетов к активным TCP-сессиям.
К сожалению, подобная система защиты практически бесполезна против современных кибер-угроз, где более 80% атак используют уязвимости приложений, а не уязвимости сетевой архитектуры и сервисов. Хуже того: блокирование определенных портов, адресов или протоколов (основной способ работы межсетевых экранов) может вырубить вполне легитимные приложения. Это значит, что защитная система должна проводить более глубокий анализ содержания пакетов — то есть лучше «понимать» работу приложений.
2. Системы обнаружения/предотвращения вторжений (IDS/IPS)
Следующим поколением защитных экранов стали системы обнаружения и предотвращения вторжений (IDS/IPS). Они способны изучать в TCP-пакетах поле данных и осуществлять инспекцию на уровне приложения по определённым сигнатурам. Системы IDS приспособлены к тому, чтобы выявлять атаки не только снаружи, но и внутри сети за счет прослушивания SPAN-порта коммутатора.
Для совершенствования защитных механизмов в IDS/IPS стали применяться декодеры (разбор полей TCP-пакета) и препроцессоры (разбор частей протокола уровня приложения, например, HTTP). Применение препроцессоров в IPS Snort позволило существенно улучшить функциональность периметровой защиты в сравнении с пакетным фильтром, даже если последний проверяет пакеты на уровне приложений (iptables с модулем layer7).
Однако при этом сохранился основной недостаток пакетного фильтра: проверка осуществляется попакетно, без учета сессий, cookies и всей остальной логики работы приложения.
Параллельно для борьбы с распространением вирусов появляются прокси-серверы, а для решения задач балансировки нагрузки — обратные прокси-серверы. Они отличаются технически, но главное, что и те, и другие полноценно работают на уровне приложения: открывается два TCP соединения от прокси к клиенту и от прокси к серверу, анализ трафика ведётся исключительно на уровне приложения.
3. Всё в кучу: NGFW/UTM
Следующим шагом эволюции систем обнаружения вторжений стало появление устройств класса UTM (unified threat management, система единого управления угрозами) и NGFW (next generation firewall, экраны нового поколения).
Системы UTM отличаются от NGFW лишь маркетингом, при этом их функционал практически совпадает. Оба класса программных продуктов явились попыткой объединить функции различных продуктов (антивирус, IDS/IPS, пакетный фильтр, VPN-шлюз, маршрутизатор, балансировщик и др.) в одном устройстве. В тоже время, обнаружение атак в устройствах UTM/NGFW нередко осуществляется на старой технологической базе, при помощи упомянутых выше препроцессоров.
Специфика веб-приложений предполагает, что за один сеанс работы пользователя с веб-сервером может осуществляться большое количество различных TCP-соединений, которые открываются с различных адресов, но имеют один (возможно динамический) идентификатор сессии. Это приводит к тому, что для аккуратной защиты веб-трафика необходима платформа на основе полнофункционального реверс-прокси-сервера.
Но разница в технологической платформе — не единственное, что отличает защиту веб-приложений.
4. Защита Веба: что должен уметь WAF
Если говорить совсем просто, то веб-приложения отличаются от обычных приложений двумя вещами: огромным разнообразием и значительной интерактивностью. Это создаёт целый ряд новых угроз, с которыми традиционные межсетевые экраны не справляются: по нашим оценкам, в 2014 году 60% атак на корпоративные сети осуществлялись через веб-приложения, невзирая на наличие традиционных защитных средств.
Именно здесь вступает в дело Web Application Firewall (WAF), защитный экран для приложений, осуществляющих передачу данных через HTTP и HTTPS. Вот какие функции отличают WAF от защитных систем предыдущих поколений:
| WAF | IPS | NGFW/UTM | |
|---|---|---|---|
| Multiprotocol Security | — | + | + |
| IP Reputation | ± | ± | ± |
| Сигнатуры атак | + | ± | ± |
| Автоматическое обучение, поведенческий анализ | + | — | — |
| Защита пользователей | + | — | — |
| Сканер уязвимостей | + | — | — |
| Виртуальный патчинг | + | — | — |
| Корреляции, цепочки атак | + | — | — |
Теперь подробнее о том, что означают все эти пункты:
Multiprotocol Security
Будучи узкоспециализированным средством, WAF не защищает от проблем протоколов, отличных от HTTP/HTTPS. Но у любой медали две стороны. Многообразие способов обмена данными поверх протокола HTTP настолько велико, что ориентироваться в нём может только специализированное средство. Лишь для примера: где-то переменные и значения передаются в формате example.com/animals?dogs=32&cats=23, где-то в формате example.com/animals/dogs/32/cats/23, где-то передача параметров приложения осуществляется в Cookie, а где-то — в параметрах заголовка HTTP.
Кроме того, продвинутые модели WAF могут анализировать XML, JSON и другие протоколы современных порталов и мобильных приложений. В частности, это позволяет противодействовать большинству методов обхода защитного экрана (HPC, HPP, Verb Tampering и др).
IP Reputation
Технология IP-Reputation опирается на внешние чёрные и белые списки ресурсов, и одинаково доступна любым периметровым средствам защиты. Но ценность этого метода несколько преувеличена. Так, в практике наших специалистов случались ситуации, когда крупные новостные агентства в силу своих уязвимостей месяцами раздавали malware пользователям, и при этом не попадали в чёрные списки. К сожалению, вектора проникновения вредоносного ПО очень разнообразны, и в наши дни источником заражения для пользователей могут быть даже сайты органов государственной власти. А возможна и обратная проблема, когда по IP блокируются «невиновные» ресурсы.
Сигнатуры атак
Сигнатурный подход к обнаружению атак применяется повсюду, но только грамотный препроцессинг трафика, доступный для WAF, может обеспечить адекватное применение сигнатур. Недостатки препроцессинга приводят к излишней «монструозности» сигнатур атак: администраторы не могут разобраться в сложнейших регулярных выражениях, весь смысл которых в том, что их авторы, например, всего лишь пытались учитывать возможность передачи параметра как открытым текстом, так и в форме шестнадцатеричного кода с процентом.
Автоматическое обучение и поведенческий анализ
Для атак на веб-приложения злоумышленники активно используют уязвимости нулевого дня (0-day), что делает бесполезными сигнатурные методы анализа. Вместо этого нужно анализировать сетевой трафик и системные журналы для создания модели нормального функционирования приложения, и на основе этой модели выявлять аномальное поведение системы. WAF в силу своей архитектуры может разобрать весь сеанс связи пользователя, и потому способен на более углубленный поведенческий анализ, чем NGFW. В частности, это позволяет выявлять атаки с использованием автоматических средств (сканирование, подбор паролей, DDoS, фрод, вовлечение в ботнеты).
Однако в большинстве случаев обучение поведенческой модели состоит в том, что операторы откуда-то берут «белый трафик» и «скармливают» его средству защиты. Но после сдачи в эксплуатацию поведение пользователей может меняться: программисты дописывают интерфейс по скорректированному техническому заданию, дизайнеры «добавляют красоты», рекламные кампании меняют направление внимания. Нельзя раз и навсегда составить схему поведения «правильного» посетителя. При этом обучаться на реальном, «сером» трафике могут только единицы программных продуктов — и это только WAF’ы.
Защита пользователей
Периметровое оборудование, обсуждаемое в настоящей статье, предназначено для защиты серверов с веб-приложениями. Однако существует класс атак (например, CSRF) направленных на клиента веб-приложения. Поскольку трафик атаки не проходит через защитный периметр, на первый взгляд защитить пользователя оказывается невозможно.
Рассмотрим следующий сценарий атаки: пользователь заходит на сайт банка, проходит там аутентификацию, и после этого в другой вкладке браузера открывает зараженный ресурс. JavaScript, загрузившийся в другом окне, может сделать запрос на перевод денег втайне от пользователя, а браузер при этом подставит все необходимые аутентификационные параметры для осуществления финансовой транзакции, так как сеанс связи пользователя с банком ещё не окончился. В описанной ситуации налицо слабости в алгоритме аутентификации в банковском ПО. Если бы для каждой формы, содержащейся на странице сайта, генерировался уникальный токен, проблемы бы не было.
К сожалению, разработчики ПО практически никогда так не делают. Однако некоторые WAF могут самостоятельно внедрять подобную защиту в веб-формы и защищать, таким образом, клиента – а вернее, его запросы, данные, URL и cookie-файлы.
Взаимодействие со сканерами уязвимостей
На периметровое оборудование возлагается не только задача защиты веб-приложений, но и задача мониторинга атак. При этом грамотный мониторинг основан на понимании слабостей защищаемого ПО, что позволяет отсеять неактуальные попытки атак и выделить только те, которые касаются реальных уязвимостей, имеющихся в системе.
Лучшие образцы WAF имеют в своем распоряжении интегрированные сканеры уязвимостей, работающие в режиме чёрного ящика, или динамического анализа (DAST). Такой сканер может использоваться в режиме реального времени для быстрой проверки тех уязвимостей, которые «прощупывают» злоумышленники.
Виртуальный патчинг
Даже известные уязвимости невозможно устранить сразу: исправление кода требует средств и времени, а зачастую и остановки важных бизнес-процессов; иногда в случае использования стороннего ПО исправление невозможно вообще. Для парирования таких «частных» угроз в системах IDS/IPS, а по наследству в UTM/NGFW, применяются пользовательские сигнатуры. Но проблема в том, что написание такой сигнатуры требует от пользователя глубокого понимания механизма атаки. В противном случае пользовательская сигнатура может не только «пропустить» угрозу, но и породить большое количество ложных срабатываний.
В наиболее современных WAF используется автоматизированный подход к виртуальному патчингу. Для этого используется анализатор исходных кодов приложения (SAST, IAST), который не просто показывает в отчёте строки уязвимого кода, но тут же генерирует эксплойт, то есть вызов с конкретными значениями для эксплуатации обнаруженной уязвимости. Эти эксплойты передаются в WAF для автоматического создания виртуальных патчей, которые обеспечивают немедленное «закрытие бреши» ещё до исправления кода.
Корреляции и цепочки атак
Традиционный межсетевой экран дает тысячи срабатываний на подозрительные события, в которых необходимо разбираться вручную, чтобы выявить реальную угрозу. Как отмечает Gartner, вендоры систем IPS вообще предпочитают отключить большинство сигнатур веб-приложений, чтобы снизить риск возникновения таких проблем.
Современный WAF может группировать сходные срабатывания и выявлять цепочку развития атаки — от разведки до кражи важных данных или установки закладок. В результате вместо списка из тысяч подозрительных событий ИБ-специалисты получают несколько десятков действительно важных сообщений.
Что дальше?
Понятно, что решения разных вендоров WAF всегда будут отличаться набором функций. Поэтому перечислим здесь лишь наиболее известные дополнительные фичи современных защитных экранов уровня приложений:
McAfee Web Protection
Веб-защита для каждого устройства и пользователя независимо от их местонахождения.
Защита всех путей доступа в Интернет
Гибкое развертывание
Развертывание решений для веб-защиты локально, в гибридной среде, в Amazon Web Services или в рамках модели «программное обеспечение как услуга» (SaaS) — и все это с помощью одной подписки.
Более эффективное устранение угроз
Обмен информацией об угрозах и обеспечение стабильной защиты пользователей независимо от их местонахождения и от используемого устройства.
Защита от угроз во входящем и исходящем трафике
Принудительное применение принятой в организации политики использования Интернета с помощью комплексной базы данных для фильтрации веб-содержимого.
Упреждающая веб-защита
Во всех вариантах развертывания решения (облачный, локальный и гибридный) используется одна и та же технология веб-защиты, что позволяет обеспечивать один и тот же уровень защиты независимо от способа получения доступа в Интернет.
Предотвращение изощренных угроз
Веб-защита включает в себя блокирование вредоносных программ «нулевого дня» и целенаправленных атак, способных обходить такие традиционные способы защиты, как фильтрация URL-адресов и антивирусные сигнатуры.
Обмен информацией об угрозах
Возможности для более эффективного обнаружения угроз и реагирования на инциденты. Важнейшими точками интеграции являются McAfee Advanced Threat Defense и McAfee Threat Intelligence Exchange.
Функции продукта
Фильтрация на основе репутации и по категориям
Сочетание функций комплексной фильтрации веб-содержимого с механизмом анализа поведения и проверки SSL позволяет обнаруживать вредоносные программы «нулевого дня» и угрозы, скрытые внутри зашифрованного трафика.
Расширение веб-защиты
Использование одной политики для облачных и локальных вариантов развертывания позволяет поддерживать неизменно высокий уровень защиты пользователей независимо от их местонахождения.
Снижение затрат
Маршрутизация веб-трафика удаленных офисов и пользователей, находящихся за пределами сети, в облачную службу позволяет снизить расходы на передачу трафика на локально развернутый шлюз.