Описание

Функции PT Application Firewall

• Быстрая адаптация к вашей системе. Вместо применения классического сигнатурного метода PT Application Firewall анализирует сетевой трафик и системные журналы для создания актуальной модели функционирования приложений и на ее основе выявляет аномальное поведение системы. В сочетании с другими защитными механизмами это позволяет блокировать 80% атак нулевого дня без специальной доработки под клиента.
• Акцент на основных угрозах. PT Application Firewall отсеивает неактуальные попытки атак, группирует сходные срабатывания и выявляет цепочку развития атаки — от разведки до кражи важных данных или установки закладок. Вместо списка из тысяч подозрительных событий ИБ-специалисты получают несколько десятков действительно важных сообщений.
• Устранение угроз без обновления ПО. Механизм виртуальных патчей защищает приложение до того, как будет исправлен небезопасный код. Вместе с анализатором кода PT Application Inspector данная функция обеспечивает непрерывный процесс выявления и блокирования уязвимостей.
• Защита от обхода защиты. PT Application Firewall обрабатывает данные с учетом специфики защищаемого сервера, анализирует XML, JSON и другие протоколы современных порталов и мобильных приложений. Это позволяет противодействовать большинству методов обхода межсетевого экрана (HPC, HPP, Verb Tampering и др).
• Поведенческий анализ против роботов. Механизмы противодействия автоматизированным атакам включают защиту от подбора паролей, фрода, вовлечения в ботнеты, DDoS-атак и утечек данных.

Принцип действия PT Application Firewall

• Отслеживание активности пользователей: позволяет идентифицировать (fingerprint) пользователя, браузер и связанную с ними активность для обнаружения программ- роботов и автоматизированных инструментов, а также контролировать доступ через списки контроля доступа и предотвращать интернет-мошенничество.
• Web Engine: встроенный модуль динамического тестирования безопасности приложений (dynamic application security testing, DAST), предназначенный для активной идентификации компонентов приложений (CMS, фреймворка, библиотек), подготовки самообучающегося ядра и обнаружения уязвимостей в приложении. Он может работать в режиме реального времени для быстрой проверки уязвимостей, которые «прощупывают» злоумышленники.
• Пассивное сканирование: идентифицирует в пассивном режиме компоненты приложений (CMS, фреймворки, библиотеки) для настройки модуля нормализации и обнаружения утечки данных и известных уязвимостей на базе CVE.
• Механизм нормализации: переписывает данные и заголовки HTTP-запросов так, чтобы они соответствовали формату защищаемых веб-приложений и их компонентов (веб- сервера, языка, фреймворка), для того чтобы предотвратить обход защиты при помощи HPP, HPC и других атак, связанных с манипуляцией данными.
• Механизм виртуального патчинга: автоматически создает виртуальный патч на основе данных системы анализа исходного кода PT Application Inspector.
• Интеграция со сторонними решениями: PT AF использует встроенное антивирусное ядро и правила обнаружения конфиденциальной информации, но может быть при необходимости интегрирован со сторонним антивирусом и DLP-решением. Для борьбы с DDoS-атаками межсетевой экран может сообщать задействованные в атаке IP-адреса специализированным программам, например решениям Arbor Networks.
• Черный и белый списки: обычные правила безопасности, основанные на сигнатурах, могут создаваться автоматически путем интеграции со статическими и динамическими инструментами тестирования безопасности приложений (application security testing) или движками обнаружения аномалий (anomaly detection).
• Эвристика: при помощи самообучающихся алгоритмов искусственного интеллекта PT AF постоянно отслеживает структуру и параметры приложений для обнаружения обычных атак и атак нулевого дня.
• Обнаружение аномалий, мошенничества и программ-роботов: модули PT AF позволяют защититься от интернет-мошенничества, автоматизированного сбора данных и подбора URL, а также обнаруживать подозрительную активность пользователей или серверов, например множественный вход пользователей и выполнение однотипных действий.
• Корреляция: позволяет уменьшить количество срабатываний и приоритизировать важные инциденты на основе идентифицированных особенностей приложений, уязвимостей, отслеживания пользователей и истории атак. Выстраивает метрику цепочек атак для упрощения расследования инцидентов.

_{Источник}