Обнаружение уязвимостей¶

Что такое уязвимость?¶

Уязвимость — ошибка, допущенная при проектировании, разработке или внедрении вашего веб‑приложения, которая может привести к реализации риска информационной безопасности. К таким рискам относятся:

• Несанкционированный доступ к данным, например: чтение или модификация данных пользователей

• Отказ в обслуживании

• Нарушение целостности данных и другие

Методы обнаружения уязвимостей¶

Для поиска уязвимостей Валарм WAF отправляет на адрес защищаемого приложения запросы с атаками и анализирует ответы на запросы. Если в ответе на запрос есть признаки уязвимости, Валарм WAF записывает открытую уязвимость.

Например: если ответ на запрос на чтение файла /etc/passwd включает содержимое /etc/passwd, защищаемое приложение считается уязвимым для атак типа Path Traversal и Валарм WAF записывает соответствующую уязвимость в приложении.

Валарм WAF использует следующие методы для отправки на адреса защищаемых приложений запросов с атаками:

• Пассивное детектирование: уязвимость обнаруживается в ходе реальной атаки

• Перепроверка атак: модуль Активной проверки атак автоматически воспроизводит атаки из реального трафика, обработанного WAF‑нодой, и ищет уязвимости в соответствующих частях приложения

• Сканер уязвимостей: все элементы сетевого периметра проверяются на наличие типовых уязвимостей

Пассивное детектирование¶

При пассивном детектировании уязвимость обнаруживается в ходе реальной атаки. Если в ходе атаки удалось проэксплуатировать уязвимость приложения, система Валарм WAF записывает инцидент безопасности и проэксплуатированную уязвимость.

Пассивное детектирование уязвимостей работает по умолчанию.

Перепроверка атак¶

Как работает¶

При перепроверке атак, модуль Активной проверки атак обнаруживает открытые уязвимости приложения, которые могут быть проэксплуатированы в ходе атаки. Для этого модуль автоматически воспроизводит атаки из реального трафика, обработанного WAF‑нодой, и ищет уязвимости в соответствующих частях приложения. При этом:

• Из оригинального запроса с атакой удаляются данные авторизации (cookies, basic-auth, viewstate)

• В запросе передаются векторы атаки, возможные в рамках обнаруженного типа атаки

Список уязвимостей, которые может обнаружить модуль

Настройка¶

• Включение / отключение модуля выполняется в Консоли управления Валарм → секция Сканер. По умолчанию модуль включен.

• Если WAF‑нода работает в режиме block, необходимо отключить блокировку IP‑адресов, с которых отправляются запросы.

• Чтобы отправлять запросы, для которых требуется прохождение аутентификации, необходимо настроить соответствующее правило в профиле приложения.

• Чтобы выполнять перепроверку атак на отдельном инстансе приложения (тестовая среда или стейджинг), необходимо настроить соответствующее правило в профиле приложения.

Сканер уязвимостей¶

Как работает¶

Сканер уязвимостей выполняет проверку всех элементов сетевого периметра на наличие типовых уязвимостей. Для этого сканер отправляет запросы на адреса приложений с фиксированного списка IP‑адресов и с заголовком X-Wallarm-Scanner-Info.

Настройка¶

• Включение / отключение сканера выполняется в Консоли управления Валарм → секция Сканер. По умолчанию модуль включен

• Настройка списка уязвимостей, которые может обнаруживать сканер, выполняется в Консоли управления Валарм → секция Сканер. По умолчанию включено обнаружение всех уязвимостей из списка

• Установка ограничения на количество запросов от сканера выполняется в Консоли управления Валарм → секция Сканер

• Если WAF‑нода работает в режиме block, необходимо отключить блокировку IP‑адресов, с которых отправляются запросы

Ложные срабатывания¶

Ложное срабатывание — обнаружение признаков атаки в легитимном запросе или определение легитимной сущности как уязвимости (подробнее о ложных срабатываниях на атаки →).

Ложные срабатывания на уязвимости происходят из‑за особенностей защищаемых приложений. Один ответ на запрос может указывать на открытую уязвимость в одном защищаемом приложении и быть ожидаемым поведением в другом защищаемом приложении.

При обнаружении ложного срабатывания на уязвимость, вы можете самостоятельно добавить к уязвимости соответствующую отметку в Консоли управления Валарм. Уязвимость, отмеченная как ложное срабатывание, будет переведена в соответствующий статус и не будет перепроверяться. Подробнее об управлении ложными срабатываниями через Консоль управления Валарм →

Если обнаруженная уязвимость действительно существует в защищаемом приложении, но не может быть исправлена, рекомендуем настроить правило Применить виртуальный патч. Правило позволит блокировать атаки, направленные на обнаруженный тип уязвимости, и исключит риск инцидента.

Управление обнаруженными уязвимостями¶

Все обнаруженные уязвимости отображаются в Консоли управления Валарм → секция Уязвимости. Вы можете управлять уязвимостями через интерфейс следующим образом:

• Просматривать и анализировать уязвимости

• Запускать перепроверку статуса уязвимости: открыта или исправлена на стороне приложения

• Самостоятельно закрывать уязвимости или отмечать их как ложное срабатывание

Более подробная информация об управлении уязвимостями приведена в инструкции по работе с уязвимостиями.