Обнаружение уязвимостей¶
Что такое уязвимость?¶
Уязвимость — ошибка, допущенная при проектировании, разработке или внедрении вашего веб‑приложения, которая может привести к реализации риска информационной безопасности. К таким рискам относятся:
-
Несанкционированный доступ к данным, например: чтение или модификация данных пользователей
-
Отказ в обслуживании
-
Нарушение целостности данных и другие
Методы обнаружения уязвимостей¶
Для поиска уязвимостей Валарм WAF отправляет на адрес защищаемого приложения запросы с атаками и анализирует ответы на запросы. Если в ответе на запрос есть признаки уязвимости, Валарм WAF записывает открытую уязвимость.
Например: если ответ на запрос на чтение файла /etc/passwd
включает содержимое /etc/passwd
, защищаемое приложение считается уязвимым для атак типа Path Traversal и Валарм WAF записывает соответствующую уязвимость в приложении.
Валарм WAF использует следующие методы для отправки на адреса защищаемых приложений запросов с атаками:
-
Пассивное детектирование: уязвимость обнаруживается в ходе реальной атаки
-
Перепроверка атак: модуль Активной проверки атак автоматически воспроизводит атаки из реального трафика, обработанного WAF‑нодой, и ищет уязвимости в соответствующих частях приложения
-
Сканер уязвимостей: все элементы сетевого периметра проверяются на наличие типовых уязвимостей
Пассивное детектирование¶
При пассивном детектировании уязвимость обнаруживается в ходе реальной атаки. Если в ходе атаки удалось проэксплуатировать уязвимость приложения, система Валарм WAF записывает инцидент безопасности и проэксплуатированную уязвимость.
Пассивное детектирование уязвимостей работает по умолчанию.
Перепроверка атак¶
Как работает¶
При перепроверке атак, модуль Активной проверки атак обнаруживает открытые уязвимости приложения, которые могут быть проэксплуатированы в ходе атаки. Для этого модуль автоматически воспроизводит атаки из реального трафика, обработанного WAF‑нодой, и ищет уязвимости в соответствующих частях приложения. При этом:
-
Из оригинального запроса с атакой удаляются данные авторизации (cookies, basic-auth, viewstate)
-
В запросе передаются векторы атаки, возможные в рамках обнаруженного типа атаки
Список уязвимостей, которые может обнаружить модуль
Настройка¶
-
Включение / отключение модуля выполняется в Консоли управления Валарм → секция Сканер. По умолчанию модуль включен.
-
Если WAF‑нода работает в режиме
block
, необходимо отключить блокировку IP‑адресов, с которых отправляются запросы. -
Чтобы отправлять запросы, для которых требуется прохождение аутентификации, необходимо настроить соответствующее правило в профиле приложения.
-
Чтобы выполнять перепроверку атак на отдельном инстансе приложения (тестовая среда или стейджинг), необходимо настроить соответствующее правило в профиле приложения.
Сканер уязвимостей¶
Как работает¶
Сканер уязвимостей выполняет проверку всех элементов сетевого периметра на наличие типовых уязвимостей. Для этого сканер отправляет запросы на адреса приложений с фиксированного списка IP‑адресов и с заголовком X-Wallarm-Scanner-Info
.
Настройка¶
-
Включение / отключение сканера выполняется в Консоли управления Валарм → секция Сканер. По умолчанию модуль включен
-
Настройка списка уязвимостей, которые может обнаруживать сканер, выполняется в Консоли управления Валарм → секция Сканер. По умолчанию включено обнаружение всех уязвимостей из списка
-
Установка ограничения на количество запросов от сканера выполняется в Консоли управления Валарм → секция Сканер
-
Если WAF‑нода работает в режиме
block
, необходимо отключить блокировку IP‑адресов, с которых отправляются запросы
Ложные срабатывания¶
Ложное срабатывание — обнаружение признаков атаки в легитимном запросе или определение легитимной сущности как уязвимости (подробнее о ложных срабатываниях на атаки →).
Ложные срабатывания на уязвимости происходят из‑за особенностей защищаемых приложений. Один ответ на запрос может указывать на открытую уязвимость в одном защищаемом приложении и быть ожидаемым поведением в другом защищаемом приложении.
При обнаружении ложного срабатывания на уязвимость, вы можете самостоятельно добавить к уязвимости соответствующую отметку в Консоли управления Валарм. Уязвимость, отмеченная как ложное срабатывание, будет переведена в соответствующий статус и не будет перепроверяться. Подробнее об управлении ложными срабатываниями через Консоль управления Валарм →
Если обнаруженная уязвимость действительно существует в защищаемом приложении, но не может быть исправлена, рекомендуем настроить правило Применить виртуальный патч. Правило позволит блокировать атаки, направленные на обнаруженный тип уязвимости, и исключит риск инцидента.
Управление обнаруженными уязвимостями¶
Все обнаруженные уязвимости отображаются в Консоли управления Валарм → секция Уязвимости. Вы можете управлять уязвимостями через интерфейс следующим образом:
-
Просматривать и анализировать уязвимости
-
Запускать перепроверку статуса уязвимости: открыта или исправлена на стороне приложения
-
Самостоятельно закрывать уязвимости или отмечать их как ложное срабатывание
Более подробная информация об управлении уязвимостями приведена в инструкции по работе с уязвимостиями.