Основные различия PT AF 3 и PT AF 4

PT AF Технические меры

Дата: 29.05.2024 г.
Авторы статьи:
Клишин Данил — Руководитель направления анализа защищенности в Альтирикс Групп
Потомако Денис — Специалист по защите информации в Альтирикс Групп

Скачать сравнение версий PT AF↓

История релизов

В 2015 году состоялся релиз Positive Technologies Application Firewall 3 (PT AF 3) — межсетевого экрана уровня веб-приложений. PT AF 3 получил возможности по:
• выявлению сложных атак;
• блокированию атак нулевого дня;
• защите от атак на пользователей;
• защите от DDoS-атак уровня приложений;
• противодействию вредоносным ботам;
• автоматическому выявлению уязвимостей приложения;
• предотвращению загрузки вредоносного ПО;
• работе с Hidden Markov Model в системе управления задачами;
• оповещению о неполадках по электронной почте.

В 2020 году был выпущен Positive Technologies Application Firewall 4 (PT AF 4) или PT AF PRO, который подвергся серьезным изменениям, к которым можно отнести:
• микросервисную архитектуру, позволяющую осуществлять масштабирование;
• большое количество новых опций, оптимизирующих работу приложений;
• использование алгоритмов глубокого машинного обучения вместо обычного машинного обучения;
• наличие правил для Content management system (CMS) «1С-Битрикс»;
• поддержку HTTP/2.

Для того что бы разобраться в основных отличиях PT AF 3 от PT AF 4 команда Альтирикс Групп подготовила данный материал.

Основные функциональные различия PT AF 3 и PT AF 4

Как и говорилось ранее PT AF 4 подвергся большим изменениям.
В таблице ниже представлено более детальное функциональное сравнение версий PT AF, которое наглядно демонстрирует основные различия.

№	Наименование функции	PT AF 3	PT AF 4	Описание функции
1.	reCaptcha	—	+	Правило позволяет добавить на страницу reCAPTCHA-сценарий., который необходим для вычисления токена на основе взаимодействия пользователя со страницей веб-приложения и отправки токена на дальнейшую валидацию. Сервис reCAPTCHA предназначен для защиты веб-приложений от интернет-ботов. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1825205259
2.	Rate limiting	—	+	Правило ограничения количества запросов в единицу времени, которое позволяет ограничить количество HTTP-запросов пользователя в определенный период времени в целях безопасности. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/2129180811
3.	SameSite cookies	—	+	Управление атрибутами SameSite cookies, что позволяет ограничить отправку куки сторонним сайтам. Ссылки: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1825207563 https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/2470081163
4.	Referrer-Policy	—	+	Правило позволяет переопределять в ответе заголовок Referrer-Policy для предотвращения утечки данных о ссылающемся домене. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1825207563
5.	HTTP Strict Transport Security	—	+	Механизм HTTP Strict Transport Security обязывает клиент обращаться к серверу по HTTPS вместо HTTP, активируя безопасное соединение. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1702214027
6.	Content Security Policy	+	—	Content Security Policy – механизм защиты от XSS на стороне браузера. Ссылка: https://help.ptsecurity.com/projects/af3/3.7.4/ru-RU/help/86268299
7.	XSS в JS контексте	—	+	Защита веб-приложения от внедрения JavaScript-кода в выдаваемую веб-приложением страницу и от взаимодействия этого кода с веб-сервером злоумышленника. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1677788683
8.	DOM XSS	+	—	Событие DOM XSS Attack срабатывает при обнаружении XSS-атак на стороне клиента с помощью waf.js. Waf.js отправляет на PT AF запрос с уведомлением об обнаруженной атаке. Данное событие может быть использовано только для журналирования факта обнаружения атаки. Ссылка: https://help.ptsecurity.com/projects/af3/3.7.3/ruRU/help/161693323
9.	Ограничение mime-типов загружаемых файлов	—	+	Защита веб-приложения от загрузки файлов с неразрешенными MIME-типами. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1689946251
10.	Десериализация через PHAR	—	+	Защита от уязвимостей в исполняемых PHP-архивах. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1687884299
11.	Обнаружение шеллов с помощью fuzzy-хэшей	—	+	Защита веб-приложения от вредоносных сценариев в загружаемых файлах. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/2114883723 https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1825213323
12.	Обнаружение шеллов с помощью ML	—	+	Защита веб-приложения от вредоносных сценариев в загружаемых файлах. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/2114883723 https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1825213323
13.	Zip slip	—	+	Проверка содержимое загружаемого ZIP-архива. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1685267851 https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1825213323
14.	GET или HEAD запрос с телом	—	+	Защита от манипуляций в GET- и HEAD-запросах. Ссылка: https://help.ptsecurity.com/projects/af/4.1.2/ruRU/help/1744765451
15.	Неправильная длина запроса	—	+	PT AF может устанавливать ограничения на длину HTTP-запроса и его отдельных частей. Эти ограничения позволяют избежать переполнения памяти обработчика и обеспечить работоспособность системы. Ссылка: https://help.ptsecurity.com/projects/af/4.1.3/ruRU/help/4381316491
16.	Не указана длина POST-запроса	—	+	Проверка наличия заголовков Content-Length и Transfer-Encoding. Ссылка: https://help.ptsecurity.com/projects/af/latest/ruRU/help/2788555019
17.	ImageMagick	—	+	Данная группа правил реализует механизмы защиты от уязвимостей, связанных с обработкой изображений в утилите ImageMagick. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1825780363
18.	Javascript Prototype Pollution	—	+	Защита от подмены JavaScript-прототипа. Данная уязвимость может привести к DOM XSS на стороне клиента, отказу в обслуживании на стороне сервера, а также к удаленному выполнению кода. Ссылка: https://help.ptsecurity.com/projects/af/latest/ruRU/help/2469198475
19.	JNDI-инъекция	—	+	Целью эксплуатации уязвимости, связанной с JNDI-поиском в приложении, является отправка запроса к вредоносному ресурсу. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/2468815371
20.	Ruby десериализация	—	+	PT AF может защищать веб-приложения от эксплуатации уязвимости в Ruby версий 2.0—2.5, которая позволяет злоумышленнику внедрить связанные фрагменты кода (гаджеты) переменные запроса для дальнейшего исполнения вредоносного кода. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1750031755
21.	JS-инъекция	—	+	Уязвимость Server-side JavaScript injection (SSJSI) позволяет злоумышленнику провести DoS-атаку и удаленно выполнить код (RCE). Ссылка: https://help.ptsecurity.com/projects/af/4.1.1/ruRU/help/1652425355
22.	Блокировка по стране	—	+	Создано правило, позволяющие настраивать блокировку пользователей по стране автоматически, а не вручную, как это было в PT AF 3. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1649056907
23.	Безопасность JWT	—	+	Данная группа правил предназначена для защиты от атак, направленных на JSON Web Tokens. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1825788043
24.	Обнаружение шеллов в ответе с помощью ML	—	+	PT AF может выявить наличие загруженного веб-шелла в теле ответа при помощи машинного обучения. Ссылка: https://help.ptsecurity.com/projects/af/4.1.2/ruRU/help/2110592907
25.	Рекурсивное декодирование	—	+	Группа правил «Предварительная обработка» предназначена для выполнения проверок или преобразований в HTTP-запросе перед выполнением остальных правил в транзакции, также в параметрах правила можно настроить рекурсивное декодирование данных для обнаружения возможных векторов атак. Ссылка: https://help.ptsecurity.com/projects/af/4.1.1/ruRU/help/1869207307
26.	GraphQL	—	+	Возможность работы с запросами API типа GraphQL. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/2227278731
27.	Обнаружение листинга директории	—	+	PT AF может обнаруживать уязвимые списки файлов каталогов, например сформированные по шаблонам Index of и Directory listing for. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1727988875
28.	Обнаружение раскрытия исходников и чувствительной информации	—	+	PT AF может защищать веб-приложения от разглашения важных данных. Правило срабатывает, если в ответе приходят запрашиваемые злоумышленником данные, которые соответствуют определенному шаблону. Ссылка: https://help.ptsecurity.com/projects/af/4.1.1/ruRU/help/2703948683
29.	ID сессии в URL	—	+	Злоумышленник может получить конфиденциальные данные клиента, если информация о сессии передается в параметрах URL. Чтобы не допустить передачу конфиденциальных данных, правило Разглашение информации о сессии в URL в PT AF проверяет параметры URL на наличие имен сессионных куки. Ссылка: https://help.ptsecurity.com/projects/af/4.1.0/ruRU/help/1746835851
30.	Подпись форм	+	—	Данный механизм предназначен для обеспечения подлинности веб-форм защищаемого приложения. Ссылка: https://help.ptsecurity.com/projects/af3/3.7.3/ru-RU/help/86285707
31.	Slowloris	+	—	Обнаружение атаки типа Slowloris. Атака состоит в том, что злоумышленник открывает большое количество соединений с сервером и постоянно досылает заголовки, что заставляет сервер держать соединения открытыми, что приводит к исчерпанию ресурсов на нем. Ссылка: https://help.ptsecurity.com/projects/af3/3.7.3/ruRU/help/161477899
32.	ICAP	+	—	Интеграция с внешними системами возможна при помощи протокола ICAP. В первую очередь речь идет об интеграции с антивирусами, но это могут быть и другие системы, например, DLP. Ссылка: https://help.ptsecurity.com/projects/af3/3.7.3/ruRU/help/161940235
33.	RVP	+	—	Модуль Виртуальное устранение уязвимостей в реальном времени необходим для интеграции PT AF с PT AI Desktop Edition и выполнения функции виртуального устранения уязвимостей в реальном времени. Модуль является актуальным, если есть PT AI Desktop Edition. Ссылка: https://help.ptsecurity.com/projects/af3/3.7.3/ruRU/help/928018059
34.	Валидация XSD	+	—	Событие срабатывает, когда на защищаемый URL отправляется XML, не соответствующий XSD-схеме. Ссылка: https://help.ptsecurity.com/projects/af3/3.7.3/ruRU/help/161639691
35.	Валидация WSDL	+	—	Событие срабатывает, когда на защищаемый URL отправляется XML, не соответствующий WSDL-схеме. Ссылка: https://help.ptsecurity.com/projects/af3/3.7.3/ruRU/help/161639691
36.	Пассивный сканер	+	—	—
37.	Drupal	+	—	Шаблон политики для CMS Drupal
38.	WordPress	+	—	Шаблон политики для CMS WordPress
39.	Joomla	+	—	Шаблон политики для CMS Joomla
40.	Правила для «1С-Битрикс»	—	+	Правила для CMS «1С-Битрикс» Ссылка: https://help.ptsecurity.com/search?text=Битрикс&projects=af~4.1.4~help&lang=ru-RU

Произведя анализ таблицы все изменения можно классифицировать на три категории:
• Механизмы защиты.
• Упрощение конфигурации.
• Правила и шаблоны для CMS.

Основные архитектурные различия

К архитектурным различиям PT AF 3 от PT AF 4 относятся:
• Сценарии развертывания.
• Кластеризация.
• Интеграция.

Основное отличие PT AF 4 заключается в сценариях развертывания. PT AF 4 спроектирован с учетом возможности распределенной установки и архитектурно состоит из микросервисов, что упрощает масштабирование и настройку. В качестве системы оркестрации микросервисов используется платформа Kubernetes. Компоненты системы можно разделить на два типа: внутренние, которые необходимы для управления и взаимодействия пользователя с системой, и внешние, которые осуществляют работу с защищаемым трафиком. При этом внешние компоненты (агенты) могут быть размещены в распределенной инфраструктуре, состоящей из веб-приложений, расположенных в разных ЦОД, серверах, виртуальных машинах и контейнерах.

При этом развертывание PT AF 4 осуществляется только по сценарию «в разрыв»: Reverse Proxy, Agents.

Архитектура PT AF

Архитектура PTAF

Отличие	PT AF 3	PT AF 4
Сценарии развертывания	Sniffer Transparent Proxy Reverse Proxy Forensic	Reverse Proxy Agents
Кластеризация	2–4 узла (ограничена)	3–5–7–… узлов (не ограничена)
Интеграция	SIEM (Syslog) SAST (виртуальные патчи, RVP) AV DLP (ICAP) NGFW	SIEM (Syslog)

Основным параметром лицензирования в PT AF 4 стала полоса пропускания трафика (Мбит/с), для PT AF 3 основным параметром лицензирования являлось количество запросов в секунду (RPS). Кроме этого, в PT AF 4 нет ограничений по количеству используемых агентов.

Выводы

На текущий момент PT AF 3 и PT AF 4 имеют сертификаты ФСТЭК России, которые позволяют использовать их для защиты:
• объектов критической информационной инфраструктуры в том числе значимых;
• государственных информационных систем;
• информационных систем персональных данных.

Проанализировав функциональные и архитектурные различия можно выделить следующие отличительные черты PT AF 4:
• Архитектура: создана для гибкого масштабирования.
• Интерфейс: упрощен и доступен для широкого круга пользователей.
• Экспертиза: адаптирована под работу с большим количеством приложений, API, трафиком ботов.

Если говорить о переходе на версию PT AF 4 необходимо учитывать все особенности информационной инфраструктуры и отталкиваться от потребностей. Например, исходить от используемых версий протокола HTTP, в PT AF 4, в отличии от PT AF 3, планируется поддержка 2-ой версии протокола HTTP (HTTP\2), что в будущем положительно скажется на защищенности веб-приложений.

В связи с этим команда Альтирикс Групп готова предложить Вам помощь в выборе подходящего решения Positive Technologies Application Firewall и реализацию всех стадий проекта по пилотированию и внедрению решений в Вашу информационную инфраструктуру.

В начало статьи ↑