Hvad er en WEB-applikation og API-beskyttelse (WAAP)

Webapplikations- og API-beskyttelsen (WAAP) er en progressiv udvikling af ZEVENET-sikkerhedsproduktet, Web Application Firewall (WAF). WAAP tilbyder de samme funktioner som en traditionel WAF, men beskytter også API'er udover webapplikationer.

Med udviklingen af ​​cloud-tjenester og SaaS (Software as a Service) har behovet for at integrere forskellige miljøer fremmet brugen af ​​API'er, hvilket giver den bedste løsning til at orkestrere alle disse tjenester. Denne funktionalitet gør WAAP mere avanceret end WAF, da man kan implementere A WAAP på kanten af ​​et netværk, der indeholder offentlige tjenester eller konfigurere det i det samme miljø med en ADC.

Så det er her, hvor ZEVENET ADC og WAAP forenes for at arbejde sammen og tilbyde beskyttelse af webapplikationer og API'er før levering af en applikation.

Hvorfor en WAAP er påkrævet

Da man nemt kan få adgang til API'er og webapplikationer på internettet, er sikkerhed en stor bekymring, fordi følsomme data er afsløret. En hacker kan forårsage et sikkerhedsbrud for at få private oplysninger. Så en WAAP er nødvendig, da traditionel websikkerhed ikke håndterer følgende opgaver:

Signaturmatchning er ikke nok til applikationssikkerhed:
Indholdet af webapplikationer og API'er ændrer sig løbende. Så indholdets signatur er svær at få. Da web-publiceret indhold og API'er bliver ved med at ændre sig, kræver systemet konstant læring.

Blokering af trafik baseret på kilde-IP eller destinationsport er ikke nok:
Traditionelle firewalls blokerer IP'er og porte, men disse oplysninger er normalt krypteret. En mekanisme til at dekryptere, analysere indholdet og genkryptere er afgørende. Vi bruger TLS-mekanismen, så WAAP kan tilbyde et dybere sikkerhedsniveau.

HTTP(S)-trafik er i øjeblikket den mest brugte, og den kan tilbyde kompleksitet i analysen: Det meste webtrafik er rettet mod Layer 7-protokollen HTTP(S) i OSI-modellen, hvilket tilbyder kompleksitet i adfærden af ​​HTTP-protokollen defineret i 80'erne til moderne protokoller, der bruges i dag. Dette forpligter sikkerhedsløsningen til ikke kun at bruge IPS- eller IDS-mekanisme, men også være i stand til at beskytte mod angreb på det øverste lag i OSI-modellen, lag 7-protokoller som HTTP og HTTPS.

Hvilke funktioner en WAAP kan tilbyde, som en traditionel WAF ikke kan

WAAP tilbyder enorme muligheder, som en traditionel WAF ikke kan tilbyde:

Automatisering og læring: WAAP er et levende element integreret i en ADC. Denne sikkerhedsfunktion modtager information og lærer konstant ved hjælp af mekanismer som DoS Detection, bot-detektion, protokolbeskyttelse og håndhævelse, blandt andre. WAAP-motoren kræver en kanal til at modtage INPUT-data, hvor WAAP-motoren konstant modtager ny information og sammenligner den modtagne information med de behandlede og inspicerede data.

Sikre API'er og mikrotjenester: På daglig basis bygger ingeniører API'er og mikrotjenester for at tilbyde offentlige tjenester. WAAP skal beskytte disse endepunkter under hensyntagen til de eksponerede oplysninger.

Hvordan ZEVENET fungerer som en WAAP

ZEVENET ADC inkluderer et Cybersikkerhedsmodul kaldet IPDS (Intrusion Prevention and Detection System). Dette modul tilbyder WAAP-funktioner, automatisering og læring til WEB'er og API'er. ZEVENET inkluderer en pakke kaldet zevenet-ipds, og denne pakke opdateres dagligt. Denne pakke har mere end 4 mekanismer til webapplikationer og API-beskyttelse. Dens egenskaber er:

Bloklisteregler

Blokeringslister er en del af en sikkerhedsmekanisme til at gruppere trafik baseret på geolokalisering og forskellige kilder, som beskrevet nedenfor:

geo_*: Disse blokeringslister inkluderer IP'er og netværk baseret på lande.
TOR_knudepunkter: Denne blokliste er hentet fra TOR-projektet. Her kan vi finde kilde-IP'erne, hvor TOR-trafik offentliggøres på internettet.
webexploit: Medlemmer af kildelisten er blevet identificeret som webudnyttere. Disse angribere forsøgte at udføre flere anmodninger mod webservere for at finde sårbarheder.
ssh_bruteforce: Den inkluderede kilde er en liste over ssh-angribere, der bruger brute force-teknikker til at få brugeren og adgangskoden til den ssh-angrebne server.
spyware: De inkluderede kilder er en liste over ondsindet spyware og adware IP-adresseområder.
proxy: indeholder TOR og andre åbne proxyer.
mail_spammer: Kilden inkluderet er en liste baseret på IP'er, der er registreret ved at sende spam.
bad_peers: Kilden inkluderet er en liste baseret på rapporter om dårlige gerninger i p2p.
wordpress_list: Alle IP'er, der angriber Joomla, WordPress og andre web-login med Brute-Force-logins.
Private_netværk: Den inkluderede kilde er en liste baseret på alle IPv4-kildeadresser, der ikke kan dirigeres på internettet.
mail_list: Alle IP-adresser, som er blevet rapporteret inden for de sidste 48 timer, som har kørt angreb på tjenesten Mail, Postfix.
ssh_list: Alle IP-adresser, der er blevet rapporteret inden for de sidste 48 timer, som har kørt angreb på tjenesten SSH.
ftp_list: Alle IP-adresser, som er blevet rapporteret inden for de sidste 48 timer for angreb på tjenestens FTP.
apache_list: Alle IP-adresser, der er blevet rapporteret inden for de sidste 48 timer, som har kørt angreb på tjenesten Apache, Apache-DDOS, RFI-Attacks
CIArmy: De inkluderede kilder her tilbydes af CIArmy-projektet. Dette projekt giver datakilden opnået ved at analysere trafik baseret på en gruppe af vagtposter rundt på internettet.
bogon: Kilden inkluderet her hævder at være fra et område af IP-adresserummet, der er reserveret, men endnu ikke tildelt eller uddelegeret af internettet.

DOS regler

Denial of Service-reduktion er et sæt regler, der har til formål at beskytte eller reducere virkningen af ​​angreb på en tjeneste, som gør den ubrugelig på grund af overvældende mængder af illegitime anmodninger. ZEVENET IPDS-motoren indeholder forskellige teknikker til at udføre DoS-beskyttelse til webapplikationer og API'er.

Disse regler er beskrevet nedenfor:

Falske TCP-flag:
I enhver TCP-trafik følger TCP-pakkerne et kendt flow. Et BOGUS TCP-angreb er et, hvor TCP-flowet ikke følger en forventet TCP-sti. For eksempel kan pakken følge en SYN-FIN-sti, som er uventet, i stedet for en SYN-ACK-sti. ZEVENET overvåger og styrer TCP flow. Hvis en uventet pakke modtages, vil ZEVENET droppe den.

Samlet forbindelsesgrænse pr. kilde-IP:
ZEVENET anvender en kildegrænse baseret på antallet af anmodninger pr. sekund, og når grænsen pr. kilde-IP er nået, vil ZEVENET droppe de indgående pakker.

Begræns RST-pakke pr. sekund:
Dette er et almindeligt DoS-angreb, hvor angriberen forsøger at åbne en TCP-socket, og når først TCP-svarpakken er modtaget, sender angriberen en TCP RST-pakke til værten.

Forbindelsesgrænse pr. Sekund:
ZEVENET anvender en destinationsgrænse baseret på antallet af anmodninger pr. sekund. Hvis grænsen pr. destinations-IP nås, vil ZEVENET droppe de indgående pakker.

RBL regler

En sorthulsliste i realtid er et sikkerhedssystem, der bruges af mailservere til at beskytte mod spammere. Hvis mailserveren modtager en forbindelse, fanger den kilde-IP'en og forsøger at løse den mod kendte DNS-servere. Hvis DNS-opløsningen virker, vil kildens IP-adresse blive registreret som en angriber.

ZEVENET har udviklet denne sikkerhedsmekanisme, hvilket gør det muligt at fange enhver kilde-IP i et bestemt flow og forsøge at løse kilde-IP'en mod en DNS-zone. Hver DNS-zone løser kilde-IP'er baseret på forskellig adfærd, og disse zoner er blevet beskrevet nedenfor:

zone all.rbl.zevenet.com: Kilde-IP'en vil forsøge at blive løst mod alle underzoner inkluderet i rbl.zevenet.com.
zone apache.rbl.zevenet.com: Kilden inkluderet i denne underzone henviser til angribere mod Apache-værter.
zone asterisk.rbl.zevenet.com: Kilderne inkluderet i denne underzone refererer til angribere mod Asterisk Hosts.
zone bruteforcelogin.rbl.zevenet.com: Kilden inkluderet i denne underzone henviser til angribere, der forsøgte at få brugere og adgangskoder mod forskellige værtstjenester ved hjælp af brute force-mekanismer.
zone ftp.rbl.zevenet.com: Kilden inkluderet i denne underzone henviser til angribere mod FTP-værter.
zone mysql.rbl.zevenet.com: Kilden inkluderet i denne underzone henviser til angribere mod Mysql Hosts.
zone ssh.rbl.zevenet.com: Kilden inkluderet i denne underzone henviser til angribere mod SSH-værter.
zone webmin.rbl.zevenet.com: Kilden inkluderet i denne underzone henviser til angribere mod Webmin webapplikation.
zone apacheddos.rbl.zevenet.com: Kilden inkluderet i denne underzone henviser til angribere mod webserveren, Apache, ved hjælp af en distribueret lammelsesangrebsmekanisme.
zone mail.rbl.zevenet.com: Kilden inkluderet i denne underzone henviser til angribere mod mailværter.

WAF regler

ZEVENET inspicerer HTTP(S)-trafik på to måder:

1 – Brug af foruddefinerede regler baseret på OWASP-regelsæt (Open Web Application Security Project). Regelsættene inkluderet i ZEVENET 6 er baseret på OWASP Core Rule Set version 4. Disse regler opdateres dagligt. Hvis der sker en ændring i OWASP-regelsættet, vil den næste IPDS-pakkeopdatering inkludere ændringerne.

2 – Brug af regler opnået fra tredjepartsleverandører eller brugerdefinerede regler designet af dig, vores kunde. ZEVENET bruger ModSecurity-motorstøtten til 3. parts regelsæt eller opretter dine egne regler baseret på dissektorens HTTP-sprog.

Som standard inkluderer ZEVENET IPDS sikkerhedspakker mod følgende angreb:

SQL Injection (SQLi)
Cross-site scripting (XSS)
Lokal filinkludering (LFI)
Remote File Inclusion (RFI)
PHP/Java/Ruby/Perl Code Injection
skalchok
Unix Shell Injection
Sessionfiksering
Scripting/scanner/botdetektion

De regelsæt, der findes i ZEVENET 6, omfatter:

ANMODNING-905-FÆLLES-UNDTAGELSER
Disse regler bruges som undtagelsesmekanismer til at fjerne almindelige falske positiver, der kan opstå.
ANMODNING-911-METHODE-HANDHÆVELSE
Tilladte anmodningsmetoder.
REQUEST-913-SCANNER-DETECTION
Tjek for scannere som crawlere, bots, scripts osv.
REQUEST-920-PROTOCOL-HANDHÆVELSE
Validerer HTTP-anmodninger og eliminerer et stort antal applikationslagsangreb.
ANMODNING-921-PROTOKOL-ANgreb
Tjek for protokolangreb.
REQUEST-930-APPLICATION-ATTACK-LFI
Kontrollerer for applikationsangreb ved hjælp af Local File Inclusion (LFI).
REQUEST-931-APPLICATION-ATTACK-RFI
Kontrollerer for applikationsangreb ved hjælp af Remote File Inclusion (RFI).
REQUEST-932-APPLICATION-ATTACK-RCE
Kontrollerer for applikationsangreb ved hjælp af Remote Code Execution (RCE).
REQUEST-933-APPLICATION-ATTACK-PHP
Kontrollerer for applikationsangreb ved hjælp af PHP.
REQUEST-934-APPLICATION-ATTACK-GENERIC
Tjek for applikationsangreb ved hjælp af Node.js, Ruby og Perl.
REQUEST-941-APPLICATION-ATTACK-XSS
Kontrollerer for applikationsangreb ved hjælp af XSS.
REQUEST-942-APPLICATION-ATTACK-SQLI
Kontrollerer for applikationsangreb ved hjælp af Sql Injection.
ANMODNING-943-ANSØGNING-ANgreb-SESSION-FIKSERING
Kontrollerer for applikationsangreb ved hjælp af sessionsfiksering.
REQUEST-944-APPLICATION-ATTACK-JAVA.
Kontrollerer for applikationsangreb ved hjælp af Java.

IPDS-motoren er en trussel-intelligensmekanisme til webapplikationer og API-beskyttelse. Den opdateres dagligt gennem zevenet-ipds-pakken, der fungerer som kernen for motoren, og holder denne motor opdateret med ZEVENET-regler og dem, der er tilpasset af kunden.

Dette zevenet-ipds kerneregelsæt bruger forskellige mekanismer til at skabe disse sikkerhedsregler, såsom at krydse tredjepartsdata, analysere sentinel-logfiler eller lave Big-data-analyse mod private oplysninger. Hvis du identificerer, at ZEVENET IPDS-kerneregelsættet indeholder nogle kilde-IP'er eller regler som falske positiver, skal du kontakte os, og vi vil med glæde løse problemet så hurtigt som muligt.