Защита веб-приложений (WAF)

Разнообразие и интерактивность – весомые плюсы web-приложений. Однако из-за этого они подвергаются целому ряду угроз, от которых не могут защитить традиционные межсетевые экраны. Здесь на помощь может прийти WAF, Web Application Firewall, защитный экран для приложений, обменивающихся данными через HTTP и HTTPS. Современные WAF работают не только на уровне сигнатур (это позволяет надёжно определять известные виды атак), но и на уровне бизнес-логики. 

Компания Noventiq предлагает несколько вариантов решений для защиты важных веб-приложений.

Защита от DDoS-атак

Совершать DDos-атаки – все проще, а угрозы от них становятся все критичнее. По данным Arbor Networks, Verisign Inc. и некоторых других компаний, ежедневно наблюдается порядка 2000 DDoS-атак, при этом атака, способная «положить» небольшую компанию на неделю, стоит всего $150.

Для защиты корпоративных интернет-ресурсов от DDoS-атак мы предлагаем заказчикам не только обширный портфель программных и аппаратных решений нескольких уровней, но и услуги по налаживанию организационных процессов, необходимых для поддержания постоянного уровня защищенности.

Нам хорошо знакомы все категории DDoS-атак: объёмные атаки, атаки на уровне протоколов, на уровне приложений. Эффективные способы защиты от них различаются в зависимости от типа атаки и расположения защищаемого интернет-ресурса: это фильтрация трафика на площадке заказчика или на уровне дата-центра, либо специализированные внешние сервисы защиты, обладающие достаточными канальными мощностями и вычислительными ресурсами.

К профилактическим практикам мы относим резервное копирование, своевременное устранение программных брешей в безопасности и наличие договорённости с сервисом защиты от DDoS, знание нормальной активности на ваших ресурсах, способное помочь идентифицировать аномальные события, наличие плана спасения. 

Технический анализ защищенности, тесты на проникновение

Каждый год мы проводим более 50 тестов: проверяем защищенность отдельных систем, веб- или мобильных приложений, делаем комплексный аудит информационной безопасности крупнейших систем международного уровня. Нам доверяют тысячи клиентов по всему миру. Среди них – платежные системы и системы дистанционного банковского обслуживания. 

Наиболее глубокий анализ защищенности обеспечивают тесты на проникновение. Исследуя слабые места ИТ-систем снаружи, мы воспроизводим действия злоумышленника и ищем уязвимости, которыми он может воспользоваться. В итоге заказчики получают исчерпывающую картину систем информационной безопасности с идентифицированными слабыми местами и рекомендациями по их устранению.

Анализ кода

Анализу программного кода по требованиям информационной безопасности редко уделяется должное внимание (в отличие от функционального и нагрузочного тестирования). Для анализа кода сложных современных систем, состоящих из множества взаимосвязанных компонентов, мы предлагаем инструментальные средства анализа по требованиям ИБ. Большинство из них можно применять как в процессе разработки ПО, так и для аудита уже готовых программных систем.

Наиболее качественный анализ на уязвимости возможен при содействии наших экспертов по ИБ, обладающих многолетней экспертизой в сфере статистического анализа кода, так как задача обнаружения уязвимостей в коде достаточно сложна.