Веб-приложения остаются одной из наиболее атакуемых точек в инфраструктуре современных организаций: через них проходят критически важные бизнес-процессы – от обработки клиентских данных и финансовых транзакций до управления цепочками поставок. Сервис RED Security WAF обеспечивает круглосуточную защиту веб-приложений от действий злоумышленников, блокируя атаки из списка OWASP Top 10, DDoS на уровне L7, атаки на API и механизмы аутентификации, а также новые и ранее неизвестные типы атак.
«Классическая модель, при которой средства защиты и анализ защищенности существуют как отдельные, не связанные между собой процессы, устарел, и в условиях стремительного роста числа атак на веб-приложения уже не обеспечивает достаточного уровня защиты. Поэтому мы интегрировали DAST в RED Security WAF: это позволяет заказчикам перейти от реактивной модели безопасности к проактивной, существенно снижая риски компрометации бизнес-критичных приложений. Фактически клиент получает не два разрозненных инструмента, а единую экосистему, в которой наложенная защита и анализ защищенности усиливают друг друга», – рассказал Роман Иванченко, руководитель направления безопасности веб-приложений компании RED Security.
Технология DAST выполняет автоматизированное сканирование веб-приложений, имитируя действия атакующего. Сканер анализирует приложение «снаружи», воспроизводя реальные сценарии атак, что позволяет обнаруживать не только известные уязвимости, но и ошибки конфигурации, проблемы аутентификации и авторизации, а также уязвимости, возникающие при взаимодействии различных компонентов приложения.
Ключевое преимущество интеграции DAST в сервис WAF заключается в формировании единого контура защиты, в котором результаты динамического сканирования автоматически обогащают политики межсетевого экрана веб-приложений, а данные о заблокированных атаках, в свою очередь, помогают приоритизировать обнаруженные анализатором уязвимости.
При выявлении критической уязвимости система способна автоматически сформировать виртуальный патч на уровне WAF, обеспечивая защиту приложения еще до выпуска обновления безопасности. Такой подход значительно сокращает время между обнаружением уязвимости и ее устранением. Это особенно актуально для организаций с высокой частотой обновлений веб-приложений и изменений в их архитектуре, где каждый новый релиз потенциально может привнести новые уязвимости.
Благодаря RED Security WAF заказчики могут подключить защиту в кратчайшие сроки без капитальных затрат на развертывание и поддержку собственной инфраструктуры. Выделенная команда экспертов RED Security берет на себя весь цикл эксплуатации – от первичного профилирования приложения и настройки политик до мониторинга, реагирования на инциденты и регулярного сканирования на уязвимости.
В основе RED Security WAF лежат российские решения, входящие в реестр отечественного ПО, а сам сервис имеет необходимые для работы в государственных организациях сертификаты ФСТЭК России.
