Основные различия PT AF 3 и PT AF 4
Дата: 29.05.2024 г.
Авторы статьи:
Клишин Данил — Руководитель направления анализа защищенности в Альтирикс Групп
Потомако Денис — Специалист по защите информации в Альтирикс Групп
Скачать сравнение версий PT AF↓
История релизов
В 2015 году состоялся релиз Positive Technologies Application Firewall 3 (PT AF 3) — межсетевого экрана уровня веб-приложений. PT AF 3 получил возможности по:
• выявлению сложных атак;
• блокированию атак нулевого дня;
• защите от атак на пользователей;
• защите от DDoS-атак уровня приложений;
• противодействию вредоносным ботам;
• автоматическому выявлению уязвимостей приложения;
• предотвращению загрузки вредоносного ПО;
• работе с Hidden Markov Model в системе управления задачами;
• оповещению о неполадках по электронной почте.
В 2020 году был выпущен Positive Technologies Application Firewall 4 (PT AF 4) или PT AF PRO, который подвергся серьезным изменениям, к которым можно отнести:
• микросервисную архитектуру, позволяющую осуществлять масштабирование;
• большое количество новых опций, оптимизирующих работу приложений;
• использование алгоритмов глубокого машинного обучения вместо обычного машинного обучения;
• наличие правил для Content management system (CMS) «1С-Битрикс»;
• поддержку HTTP/2.
Для того что бы разобраться в основных отличиях PT AF 3 от PT AF 4 команда Альтирикс Групп подготовила данный материал.
Основные функциональные различия PT AF 3 и PT AF 4
Как и говорилось ранее PT AF 4 подвергся большим изменениям.
В таблице ниже представлено более детальное функциональное сравнение версий PT AF, которое наглядно демонстрирует основные различия.
№ | Наименование функции | PT AF 3 | PT AF 4 | Описание функции |
1. | reCaptcha | — | + | Правило позволяет добавить на страницу reCAPTCHA-сценарий., который необходим для вычисления токена на основе взаимодействия пользователя со страницей веб-приложения и отправки токена на дальнейшую валидацию. Сервис reCAPTCHA предназначен для защиты веб-приложений от интернет-ботов. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1825205259 |
2. | Rate limiting | — | + | Правило ограничения количества запросов в единицу времени, которое позволяет ограничить количество HTTP-запросов пользователя в определенный период времени в целях безопасности. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/2129180811 |
3. | SameSite cookies | — | + | Управление атрибутами SameSite cookies, что позволяет ограничить отправку куки сторонним сайтам. Ссылки: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1825207563 https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/2470081163 |
4. | Referrer-Policy | — | + | Правило позволяет переопределять в ответе заголовок Referrer-Policy для предотвращения утечки данных о ссылающемся домене. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1825207563 |
5. | HTTP Strict Transport Security | — | + | Механизм HTTP Strict Transport Security обязывает клиент обращаться к серверу по HTTPS вместо HTTP, активируя безопасное соединение. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1702214027 |
6. | Content Security Policy | + | — | Content Security Policy – механизм защиты от XSS на стороне браузера. Ссылка: https://help.ptsecurity.com/projects/af3/3.7.4/ru-RU/help/86268299 |
7. | XSS в JS контексте | — | + | Защита веб-приложения от внедрения JavaScript-кода в выдаваемую веб-приложением страницу и от взаимодействия этого кода с веб-сервером злоумышленника. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1677788683 |
8. | DOM XSS | + | — | Событие DOM XSS Attack срабатывает при обнаружении XSS-атак на стороне клиента с помощью waf.js. Waf.js отправляет на PT AF запрос с уведомлением об обнаруженной атаке. Данное событие может быть использовано только для журналирования факта обнаружения атаки. Ссылка: https://help.ptsecurity.com/projects/af3/3.7.3/ruRU/help/161693323 |
9. | Ограничение mime-типов загружаемых файлов | — | + | Защита веб-приложения от загрузки файлов с неразрешенными MIME-типами. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1689946251 |
10. | Десериализация через PHAR | — | + | Защита от уязвимостей в исполняемых PHP-архивах. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1687884299 |
11. | Обнаружение шеллов с помощью fuzzy-хэшей | — | + | Защита веб-приложения от вредоносных сценариев в загружаемых файлах. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/2114883723 https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1825213323 |
12. | Обнаружение шеллов с помощью ML | — | + | Защита веб-приложения от вредоносных сценариев в загружаемых файлах. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/2114883723 https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1825213323 |
13. | Zip slip | — | + | Проверка содержимое загружаемого ZIP-архива. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1685267851 https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1825213323 |
14. | GET или HEAD запрос с телом | — | + | Защита от манипуляций в GET- и HEAD-запросах. Ссылка: https://help.ptsecurity.com/projects/af/4.1.2/ruRU/help/1744765451 |
15. | Неправильная длина запроса | — | + | PT AF может устанавливать ограничения на длину HTTP-запроса и его отдельных частей. Эти ограничения позволяют избежать переполнения памяти обработчика и обеспечить работоспособность системы. Ссылка: https://help.ptsecurity.com/projects/af/4.1.3/ruRU/help/4381316491 |
16. | Не указана длина POST-запроса | — | + | Проверка наличия заголовков Content-Length и Transfer-Encoding. Ссылка: https://help.ptsecurity.com/projects/af/latest/ruRU/help/2788555019 |
17. | ImageMagick | — | + | Данная группа правил реализует механизмы защиты от уязвимостей, связанных с обработкой изображений в утилите ImageMagick. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1825780363 |
18. | Javascript Prototype Pollution | — | + | Защита от подмены JavaScript-прототипа. Данная уязвимость может привести к DOM XSS на стороне клиента, отказу в обслуживании на стороне сервера, а также к удаленному выполнению кода. Ссылка: https://help.ptsecurity.com/projects/af/latest/ruRU/help/2469198475 |
19. | JNDI-инъекция | — | + | Целью эксплуатации уязвимости, связанной с JNDI-поиском в приложении, является отправка запроса к вредоносному ресурсу. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/2468815371 |
20. | Ruby десериализация | — | + | PT AF может защищать веб-приложения от эксплуатации уязвимости в Ruby версий 2.0—2.5, которая позволяет злоумышленнику внедрить связанные фрагменты кода (гаджеты) переменные запроса для дальнейшего исполнения вредоносного кода. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1750031755 |
21. | JS-инъекция | — | + | Уязвимость Server-side JavaScript injection (SSJSI) позволяет злоумышленнику провести DoS-атаку и удаленно выполнить код (RCE). Ссылка: https://help.ptsecurity.com/projects/af/4.1.1/ruRU/help/1652425355 |
22. | Блокировка по стране | — | + | Создано правило, позволяющие настраивать блокировку пользователей по стране автоматически, а не вручную, как это было в PT AF 3. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1649056907 |
23. | Безопасность JWT | — | + | Данная группа правил предназначена для защиты от атак, направленных на JSON Web Tokens. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1825788043 |
24. | Обнаружение шеллов в ответе с помощью ML | — | + | PT AF может выявить наличие загруженного веб-шелла в теле ответа при помощи машинного обучения. Ссылка: https://help.ptsecurity.com/projects/af/4.1.2/ruRU/help/2110592907 |
25. | Рекурсивное декодирование | — | + | Группа правил «Предварительная обработка» предназначена для выполнения проверок или преобразований в HTTP-запросе перед выполнением остальных правил в транзакции, также в параметрах правила можно настроить рекурсивное декодирование данных для обнаружения возможных векторов атак. Ссылка: https://help.ptsecurity.com/projects/af/4.1.1/ruRU/help/1869207307 |
26. | GraphQL | — | + | Возможность работы с запросами API типа GraphQL. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/2227278731 |
27. | Обнаружение листинга директории | — | + | PT AF может обнаруживать уязвимые списки файлов каталогов, например сформированные по шаблонам Index of и Directory listing for. Ссылка: https://help.ptsecurity.com/projects/af/4.1.4/ruRU/help/1727988875 |
28. | Обнаружение раскрытия исходников и чувствительной информации | — | + | PT AF может защищать веб-приложения от разглашения важных данных. Правило срабатывает, если в ответе приходят запрашиваемые злоумышленником данные, которые соответствуют определенному шаблону. Ссылка: https://help.ptsecurity.com/projects/af/4.1.1/ruRU/help/2703948683 |
29. | ID сессии в URL | — | + | Злоумышленник может получить конфиденциальные данные клиента, если информация о сессии передается в параметрах URL. Чтобы не допустить передачу конфиденциальных данных, правило Разглашение информации о сессии в URL в PT AF проверяет параметры URL на наличие имен сессионных куки. Ссылка: https://help.ptsecurity.com/projects/af/4.1.0/ruRU/help/1746835851 |
30. | Подпись форм | + | — | Данный механизм предназначен для обеспечения подлинности веб-форм защищаемого приложения. Ссылка: https://help.ptsecurity.com/projects/af3/3.7.3/ru-RU/help/86285707 |
31. | Slowloris | + | — | Обнаружение атаки типа Slowloris. Атака состоит в том, что злоумышленник открывает большое количество соединений с сервером и постоянно досылает заголовки, что заставляет сервер держать соединения открытыми, что приводит к исчерпанию ресурсов на нем. Ссылка: https://help.ptsecurity.com/projects/af3/3.7.3/ruRU/help/161477899 |
32. | ICAP | + | — | Интеграция с внешними системами возможна при помощи протокола ICAP. В первую очередь речь идет об интеграции с антивирусами, но это могут быть и другие системы, например, DLP. Ссылка: https://help.ptsecurity.com/projects/af3/3.7.3/ruRU/help/161940235 |
33. | RVP | + | — | Модуль Виртуальное устранение уязвимостей в реальном времени необходим для интеграции PT AF с PT AI Desktop Edition и выполнения функции виртуального устранения уязвимостей в реальном времени. Модуль является актуальным, если есть PT AI Desktop Edition. Ссылка: https://help.ptsecurity.com/projects/af3/3.7.3/ruRU/help/928018059 |
34. | Валидация XSD | + | — | Событие срабатывает, когда на защищаемый URL отправляется XML, не соответствующий XSD-схеме. Ссылка: https://help.ptsecurity.com/projects/af3/3.7.3/ruRU/help/161639691 |
35. | Валидация WSDL | + | — | Событие срабатывает, когда на защищаемый URL отправляется XML, не соответствующий WSDL-схеме. Ссылка: https://help.ptsecurity.com/projects/af3/3.7.3/ruRU/help/161639691 |
36. | Пассивный сканер | + | — | — |
37. | Drupal | + | — | Шаблон политики для CMS Drupal |
38. | WordPress | + | — | Шаблон политики для CMS WordPress |
39. | Joomla | + | — | Шаблон политики для CMS Joomla |
40. | Правила для «1С-Битрикс» | — | + | Правила для CMS «1С-Битрикс» Ссылка: https://help.ptsecurity.com/search?text=Битрикс&projects=af~4.1.4~help&lang=ru-RU |
Произведя анализ таблицы все изменения можно классифицировать на три категории:
• Механизмы защиты.
• Упрощение конфигурации.
• Правила и шаблоны для CMS.
Основные архитектурные различия
К архитектурным различиям PT AF 3 от PT AF 4 относятся:
• Сценарии развертывания.
• Кластеризация.
• Интеграция.
Основное отличие PT AF 4 заключается в сценариях развертывания. PT AF 4 спроектирован с учетом возможности распределенной установки и архитектурно состоит из микросервисов, что упрощает масштабирование и настройку. В качестве системы оркестрации микросервисов используется платформа Kubernetes. Компоненты системы можно разделить на два типа: внутренние, которые необходимы для управления и взаимодействия пользователя с системой, и внешние, которые осуществляют работу с защищаемым трафиком. При этом внешние компоненты (агенты) могут быть размещены в распределенной инфраструктуре, состоящей из веб-приложений, расположенных в разных ЦОД, серверах, виртуальных машинах и контейнерах.
При этом развертывание PT AF 4 осуществляется только по сценарию «в разрыв»: Reverse Proxy, Agents.
Архитектура PT AF
Отличие | PT AF 3 | PT AF 4 |
Сценарии развертывания | Sniffer Transparent Proxy Reverse Proxy Forensic |
Reverse Proxy Agents |
Кластеризация | 2–4 узла (ограничена) | 3–5–7–… узлов (не ограничена) |
Интеграция | SIEM (Syslog) SAST (виртуальные патчи, RVP) AV DLP (ICAP) NGFW |
SIEM (Syslog) |
Основным параметром лицензирования в PT AF 4 стала полоса пропускания трафика (Мбит/с), для PT AF 3 основным параметром лицензирования являлось количество запросов в секунду (RPS). Кроме этого, в PT AF 4 нет ограничений по количеству используемых агентов.
Выводы
На текущий момент PT AF 3 и PT AF 4 имеют сертификаты ФСТЭК России, которые позволяют использовать их для защиты:
• объектов критической информационной инфраструктуры в том числе значимых;
• государственных информационных систем;
• информационных систем персональных данных.
Проанализировав функциональные и архитектурные различия можно выделить следующие отличительные черты PT AF 4:
• Архитектура: создана для гибкого масштабирования.
• Интерфейс: упрощен и доступен для широкого круга пользователей.
• Экспертиза: адаптирована под работу с большим количеством приложений, API, трафиком ботов.
Если говорить о переходе на версию PT AF 4 необходимо учитывать все особенности информационной инфраструктуры и отталкиваться от потребностей. Например, исходить от используемых версий протокола HTTP, в PT AF 4, в отличии от PT AF 3, планируется поддержка 2-ой версии протокола HTTP (HTTP\2), что в будущем положительно скажется на защищенности веб-приложений.
В связи с этим команда Альтирикс Групп готова предложить Вам помощь в выборе подходящего решения Positive Technologies Application Firewall и реализацию всех стадий проекта по пилотированию и внедрению решений в Вашу информационную инфраструктуру.
Похожие статьи
Наши специалисты разработали видеоинструкции по конфигурированию решения Positive Technologies Application Firewall.
Содержание занятия:
IV. Системные функции PT AF
4. Инструменты
Смотреть видео
Наши специалисты разработали видеоинструкции по конфигурированию решения Positive Technologies Application Firewall.
Содержание занятия:
IV. Системные функции PT AF
3. Разное
Смотреть видео
Наши специалисты разработали видеоинструкции по конфигурированию решения Positive Technologies Application Firewall.
Содержание занятия:
IV. Системные функции PT AF
2. Пользователи
Смотреть видео