Trinity greybox, или Как сократить ложноположительные срабатывания в мониторинге на 90,5%
| Хабр
BI.ZONE WAF
Защита веб-приложений под управлением экспертов
Как вам наш сайт?
Расскажите в интервью, а мы подарим мерч
Участвовать
Назначение
Современные веб-приложения — это сложные системы взаимосвязанных программных компонентов и технологий. Каждая новая интеграция открывает дополнительные возможности для злоумышленников.
Сервис BI.ZONE WAF при минимальных вложениях обеспечивает проактивную защиту от большинства атак, направленных на веб-приложения и их пользователей
Сервис BI.ZONE WAF при минимальных вложениях обеспечивает проактивную защиту от большинства атак, направленных на веб-приложения и их пользователей
1 из 15
запросов к приложению — вредоносный
2-е место
по популярности занимает использование уязвимостей веб‑приложений среди способов атак на IT‑инфраструктуру
Возможности
Многоуровневая защита веб-приложений и API
Выявляет атаки из OWASP Top 10 на всех уровнях вложенности с учетом различных типов данных внутри HTTP-запроса
Защита пользователей
Предотвращает попытки перехвата пользовательской сессии (session hijacking), атаки на пользовательскую сторону веб‑приложения (XSS), атаки перебором паролей (брутфорс), подделку межсайтовых запросов (CSRF)
Защита от L7 DDoS-атак
Блокирует атаки, направленные на отказ в обслуживании, с помощью поведенческого, корреляционного анализа и мониторинга метрик работоспособности веб-приложения
Противодействие влиянию ботнет-активности
Выполняет поведенческие проверки (JS Challenge, CAPTCHA) на стороне пользователя, выявляя автоматизированные действия
Аутсорсинг управления
Обеспечивает индивидуальный профиль защиты для каждого подключаемого веб-приложения силами экспертов BI.ZONE
Сервисные задачи
Эксплуатация и поддержка решения
Берем на себя настройку и эксплуатацию BI.ZONE WAF, а также мониторинг инцидентов и реагирование на них в режиме 24/7
Масштабирование инфраструктуры
Поддерживаем прозрачный процесс масштабирования компонентов BI.ZONE WAF по мере роста нагрузки на веб-приложение
Настройка политик защиты
Создаем индивидуальные политики защиты, учитывающие бизнес-логику каждого веб-приложения
Выявление и исключение ложных срабатываний
Анализируем результаты обработки трафика веб-приложения, выявляем ложные срабатывания и при необходимости вносим коррективы в процесс фильтрации
Преимущества
Быстрое и простое подключение: от нескольких дней до месяца
Готовая инфраструктура: запуск BI.ZONE WAF не требует капитальных расходов
Сокращение операционных затрат
Минимизация финансовых и репутационных рисков
Сокращение времени реагирования на киберинциденты
Схема взаимодействия с сервисом
Управление сервисом и его поддержка — на стороне BI.ZONE.
Посмотреть статистику и эффективность работы вы можете в личном кабинете, а изменить конфигурацию сервиса или решить возникшие вопросы — с помощью наших экспертов
Посмотреть статистику и эффективность работы вы можете в личном кабинете, а изменить конфигурацию сервиса или решить возникшие вопросы — с помощью наших экспертов
Личный кабинет
Сертификаты
BI.ZONE WAF включено в реестр отечественного ПО
BI.ZONE WAF имеет сертификат ФСТЭК РФ
Как попробовать
-
Мы продемонстрируем работу BI.ZONE WAF и ответим на ваши вопросы
-
Поможем провести 30‑дневное пилотирование
Вам также может подойти
Облачный
BI.ZONE WAF подключается через облако BI.ZONE. В нем размещаются узлы фильтрации, личный кабинет и централизованная система управления
Гибридный
Узлы фильтрации размещаются в вашей инфраструктуре непосредственно перед защищаемым веб-приложением, а централизованная система управления и личный кабинет — в облаке BI.ZONE
Видео
Актуальная защита веб‑приложений в 2026 году
На эфире разобрали актуальные угрозы и подходы к защите веб‑приложений в 2026 году вместе с руководителем управления облачных решений кибербезопасности BI.ZONE Дмитрием Царевым. Среди основных рисков — полная компрометация систем, утечки данных, DDoS‑ и ботнет‑атаки, а также активная эксплуатация уязвимостей в API.
Эффективной стратегией по‑прежнему остается эшелонированная защита: безопасная разработка, анти‑DDoS, антибот, WAF и механизмы безопасности в самих приложениях
За пределами веба. Комплексная защита инфраструктуры от DDoS‑атак
О защите инфраструктуры рассказали Дмитрий Царев, руководитель управления облачных решений кибербезопасности в BI.ZONE, и Эдгар Микаелян, руководитель департамента технического пресейла в Curator.
Спикеры показали, какие сервисы находятся внутри периметра компании и почему важно выявить все компоненты инфраструктуры, которые имеют прямой доступ к интернету. Вы увидите на примере, как не нужно организовывать защиту, а также разберетесь, как организовать регулярные мультивекторные стресс‑тесты
Защита веб‑приложений для больших и маленьких
Алексей Романов, руководитель направления развития облачных решений, раскрыл пять подходов к защите сайта от взлома — от широкоизвестных до тех, о которых не говорят. Спикер разобрал плюсы и минусы каждого варианта, а также поделился опытом BI.ZONE в защите веб‑приложений
Запись вебинара от 14 ноября 2024 г.
Спикер упоминал материалы:
Эшелонированная защита веб‑приложений на практике
Сергей Буслаев, руководитель направления обеспечения клиентского сопровождения BI.ZONE WAF, и Эдгар Микаелян, руководитель отдела технического пресейла в Qrator Labs, поделились ответами на вопросы, которые часто появляются при создании комплекса взаимодополняющих мер для безопасности онлайн‑ресурсов.
В видео используется предыдущее название BI.ZONE AntiDDoS — BI.ZONE CDP
Запись вебинара от 6 марта 2024 г.
Инструменты сетевой безопасности от UserGate и BI.ZONE: инструкция по применению
Запись вебинара от 23 марта 2023 г.
#вебинар
Инструменты сетевой безопасности от UserGate и BI.ZONE: инструкция по применению
Алексей Романов, эксперт облачных сервисов безопасности, рассказал о работе BI.ZONE WAF и преимуществах сервисного подхода к защите веб‑приложений. Спикер поделился популярными сценариями использования WAF и реальными кейсами применения решения
Кому подходит «WAF как сервис» и что предлагает BI.ZONE
В. Алешин, руководитель направления разработки облачных продуктов кибербезопасности | AM Live
#интервью#продукты#технологии
Кому подходит «WAF как сервис» и что предлагает BI.ZONE
В. Алешин, руководитель направления разработки облачных продуктов кибербезопасности | AM Live
Эксплуатация высоконагруженной инфраструктуры WAF: лучшие практики BI.ZONE
Запись вебинара от 14 декабря 2021 г.
#вебинар
Эксплуатация высоконагруженной инфраструктуры WAF: лучшие практики BI.ZONE
Запись вебинара от 14 декабря 2021 г.
Публикации
Апрель 2024 г.
Эффективность обнаружения угроз повысилась, а число ложных срабатываний снизилось.
Обновления ядра
- Усовершенствованные правила обнаружения атак. Мы переработали правила обнаружения, чтобы обеспечить более полное покрытие угроз и сократить долю ложных срабатываний. В результате BI.ZONE WAF качественнее блокирует вариации и техники веб‑атак: path traversal, SSTI, web shell file uploading, HTTP response smuggling и другие. При этом количество ложноположительных срабатываний снизилось в 2 раза.
- Новые правила обнаружения CVE. С начала года мы разработали и внедрили почти 30 правил блокировки атак, эксплуатирующих критические уязвимости в Confluence, GitLab и других приложениях под нашей защитой. Это помогает обезопасить ваши приложения до выхода официальных обновлений, особенно если они недоступны в России.
- Улучшенное детектирование атак в теле HTTP‑запроса. Пополнился список форматов данных, которые поддерживаются в защитных правилах BI.ZONE WAF. Благодаря этому сервис эффективнее обнаруживает угрозы в теле HTTP‑запроса.
- Повышенная отказоустойчивость сервиса. Мы оптимизировали ядро и улучшили балансировку при совместном использовании BI.ZONE WAF и BI.ZONE AntiDDoS. Теперь при проблемах доступности работа восстановится еще быстрее.
Обновления интерфейса
- Усовершенствованная карта в разделе «Статистика атак». Мы добавили в карту атак корреляцию цвета страны и количества атак: более насыщенный цвет соответствует большему количеству атак. А еще при наведении на страну ее территория выделяется штриховкой. Также мы улучшили детализацию карты и добавили страны с очень маленькими территориями.
- Оптимизированная работа с исключениями. Это обновление доступно только команде BI.ZONE WAF, но вы тоже заметите результат: сократится число ложных срабатываний. Все благодаря тому, что настройка правил фильтрации упростилась, а значит, места для человеческих ошибок стало меньше.
- Расширенные возможности работы с пользователями и организациями
. Изменить пароль для входа, изучить список доступных разрешений, увидеть, какие данные о вас хранятся в сервисе, — теперь все это можно сделать через страницу «Мой профиль». Кроме того, после обновления можно переключаться между организациями, если вы состоите в нескольких. Раньше действовали только настройки по умолчанию: в качестве текущей выбиралась первая компания из списка доступных. - Оптимизированные фильтры. С этим обновлением вам будет удобнее анализировать информацию в сервисе. Для данных, отображаемых в журнале и на дашбордах статистики атак, мы пересмотрели параметры фильтрации: удалили неактуальные и добавили новые, более полезные. Кроме того, убрали лишние операторы для фильтров и добавили подсказки с объяснением для неочевидных параметров.
- Новые названия разделов. Некоторые разделы сервиса получили названия, которые точнее отражают содержание и возможности раздела: «Журнал событий» → «Журнал атак», «Мониторинг веб‑приложений» → «Статистика запросов». Еще один раздел мы переименовали для краткости: «Мои отчеты» → «Отчеты».
Июнь 2023 г.
Сервис теперь работает быстрее, а в личном кабинете появилось больше возможностей и полезной информации.
Обновление ядра
- Ускоренный процесс фильтрации. Мы оптимизировали работу узла фильтрации. В результате сервис стал заметно быстрее анализировать трафик защищаемых веб‑приложений.
Обновления интерфейса
- Улучшенное представление журнала событий. Теперь можно не только группировать события, но и выбирать, в каком порядке сортировать их внутри группы. Кроме того, группировка стала работать быстрее — это заметнее всего, когда в таблице событий много записей.
- Более наглядная статистика. В разделе «Мониторинг веб‑приложений» появилась метрика, по которой можно оценить максимальное количество запросов в секунду без учета всплесков. Она называется RPS MAX и рассчитывается по 95‑му процентилю. Остальные графические элементы теперь отображают не среднее значение в секунду, а общее за выбранный период.
- Исправленные тексты. Мы устранили несоответствия терминологии в интерфейсе и унифицировали термины на английском языке.
Декабрь 2022 г.
Работа сервиса ускорилась, управлять им стало удобнее, а еще появился новый раздел.
Обновление ядра
- Оптимизированный узел фильтрации. Мы внесли множество доработок в процессы декодирования запросов и обновили механизмы правил. В результате улучшилось взаимодействие компонентов, сервис стал стабильнее и быстрее.
Обновления интерфейса
- Расширенные возможности для просмотра статистики. Теперь в разделе «Мониторинг веб‑приложений» можно отфильтровать статистические данные по доменам любых уровней, а не только второго.
- Сокрытие чувствительной информации. Раньше данные в пользовательских HTTP‑запросах хранились в базе в открытом виде. Теперь они маскируются звездочками или другими спецсимволами.
- Отправка отчетов на почту. В новом разделе «Мои отчеты» можно настроить отправку отчетов об обнаруженных атаках и работе защищаемых веб‑приложений. Настройки позволяют формировать однократные и регулярные отчеты в формате PDF или CSV.
- Ускоренная группировка событий. Операции с группами в журнале событий выполняются значительно быстрее, даже при большом количестве записей.
- Английская версия. Мы завершили локализацию для англоязычных пользователей.