Верхнее

PT Application Firewall

Сертификат ФСТЭК № 3455 от 27.10.15 (до 27.10.18)

Система защиты приложений от несанкционированного доступа Positive Technologies Application Firewall
Программное изделие «Система защиты приложений от несанкционированного доступа Positive Technologies Application Firewall» — на соответствие Требованиям к МЭ (ИТ.МЭ.Г4.ПЗ)

Схема сертификации: серия, испытательная лаборатория: МОУ ИИФ, орган сертификации: ЗАО НПО Эшелон, заявитель: ЗАО Позитив Текнолоджиз.

Описание

Функции PT Application Firewall

  • Быстрая адаптация к вашей системе. Вместо применения классического сигнатурного метода PT Application Firewall анализирует сетевой трафик и системные журналы для создания актуальной модели функционирования приложений и на ее основе выявляет аномальное поведение системы. В сочетании с другими защитными механизмами это позволяет блокировать 80% атак нулевого дня без специальной доработки под клиента.
  • Акцент на основных угрозах. PT Application Firewall отсеивает неактуальные попытки атак, группирует сходные срабатывания и выявляет цепочку развития атаки — от разведки до кражи важных данных или установки закладок. Вместо списка из тысяч подозрительных событий ИБ-специалисты получают несколько десятков действительно важных сообщений.
  • Устранение угроз без обновления ПО. Механизм виртуальных патчей защищает приложение до того, как будет исправлен небезопасный код. Вместе с анализатором кода PT Application Inspector данная функция обеспечивает непрерывный процесс выявления и блокирования уязвимостей.
  • Защита от обхода защиты. PT Application Firewall обрабатывает данные с учетом специфики защищаемого сервера, анализирует XML, JSON и другие протоколы современных порталов и мобильных приложений. Это позволяет противодействовать большинству методов обхода межсетевого экрана (HPC, HPP, Verb Tampering и др).
  • Поведенческий анализ против роботов. Механизмы противодействия автоматизированным атакам включают защиту от подбора паролей, фрода, вовлечения в ботнеты, DDoS-атак и утечек данных.

Принцип действия PT Application Firewall

  • Отслеживание активности пользователей: позволяет идентифицировать (fingerprint) пользователя, браузер и связанную с ними активность для обнаружения программ- роботов и автоматизированных инструментов, а также контролировать доступ через списки контроля доступа и предотвращать интернет-мошенничество.
  • Web Engine: встроенный модуль динамического тестирования безопасности приложений (dynamic application security testing, DAST), предназначенный для активной идентификации компонентов приложений (CMS, фреймворка, библиотек), подготовки самообучающегося ядра и обнаружения уязвимостей в приложении. Он может работать в режиме реального времени для быстрой проверки уязвимостей, которые «прощупывают» злоумышленники.
  • Пассивное сканирование: идентифицирует в пассивном режиме компоненты приложений (CMS, фреймворки, библиотеки) для настройки модуля нормализации и обнаружения утечки данных и известных уязвимостей на базе CVE.
  • Механизм нормализации: переписывает данные и заголовки HTTP-запросов так, чтобы они соответствовали формату защищаемых веб-приложений и их компонентов (веб- сервера, языка, фреймворка), для того чтобы предотвратить обход защиты при помощи HPP, HPC и других атак, связанных с манипуляцией данными.
  • Механизм виртуального патчинга: автоматически создает виртуальный патч на основе данных системы анализа исходного кода PT Application Inspector.
  • Интеграция со сторонними решениями: PT AF использует встроенное антивирусное ядро и правила обнаружения конфиденциальной информации, но может быть при необходимости интегрирован со сторонним антивирусом и DLP-решением. Для борьбы с DDoS-атаками межсетевой экран может сообщать задействованные в атаке IP-адреса специализированным программам, например решениям Arbor Networks.
  • Черный и белый списки: обычные правила безопасности, основанные на сигнатурах, могут создаваться автоматически путем интеграции со статическими и динамическими инструментами тестирования безопасности приложений (application security testing) или движками обнаружения аномалий (anomaly detection).
  • Эвристика: при помощи самообучающихся алгоритмов искусственного интеллекта PT AF постоянно отслеживает структуру и параметры приложений для обнаружения обычных атак и атак нулевого дня.
  • Обнаружение аномалий, мошенничества и программ-роботов: модули PT AF позволяют защититься от интернет-мошенничества, автоматизированного сбора данных и подбора URL, а также обнаруживать подозрительную активность пользователей или серверов, например множественный вход пользователей и выполнение однотипных действий.
  • Корреляция: позволяет уменьшить количество срабатываний и приоритизировать важные инциденты на основе идентифицированных особенностей приложений, уязвимостей, отслеживания пользователей и истории атак. Выстраивает метрику цепочек атак для упрощения расследования инцидентов.

Источник