Журнал "Information Security/ Информационная безопасность" #6, 2025

Организациям среднего уровня при этом зачастую сложно обеспечить пол- ноценный цикл защиты: не хватает инже- неров, бюджетов, а иногда и самой экс- пертизы. А веб-приложения есть, и остав- лять их на произвол судьбы никому не хочется. Поэтому идея WAF-as-a-Service – как внешнего боевого расчета, который берет на себя значительную часть работы по обороне периметра, становится одним из наиболее практичных подходов. Мы собрали пять наиболее интересных зарисовок из опыта работы сервиса Check Risk WAF 1 , раскрывающих, как именно эта модель работает и какие задачи она решает. Зарисовка первая: анти-DDoS становится базовым компонентом Многие специалисты по безопасности привыкли мыслить категориями раздель- ных средств защиты: есть анти-DDoS, есть WAF, есть NGFW, есть сетевой экран на уровне хостинга. Однако на практике в веб-приложениях точка отказа зачастую одна – точка входа трафика. Если она оказывается перегруженной или недо- ступной, никакие последующие уровни защиты не вступят в работу. Именно поэтому в модели WAF-as-a- Service сетевой анти-DDoS перестает быть чем-то факультативным и стано- вится неотъемлемой частью архитекту- ры. Рассмотрим логику подробнее. Тривиальная истина: DDoS-атаки уровня сети приобрели по-настоящему промыш- ленный характер. Мощность ботнетов рас- тет, инструменты автоматизации деше- веют, а скорость поднятия атаки снижает- ся. В результате даже кратковременный всплеск UDP- или SYN-флуда способен вывести из строя точку входа, еще до того как приложение столкнется с попыт- кой эксплуатации на L7. WAF, каким бы интеллектуальным он ни был, не может работать без стабильного входящего кана- ла. Если до него не доходит трафик, он попросту не выполняет свою функцию. А внутренние команды на стороне заказчика не всегда могут (читай: почти никогда не могут) развернуть распреде- ленную систему фильтрации трафика. Она требует каналов, специальных узлов, опыта настройки и постоянного монито- ринга. Зато на стороне WAF-сервиса анти-DDoS работает прекрасно: l вся фильтрация внедрена в баланси- ровочный слой; l инфраструктура масштабируется авто- матически с учетом мощности атаки; l используется распределенная модель нод между разными дата-центрами, что снижает риск единой точки отказа; l фильтрация происходит ближе к источ- нику атаки, не нагружая каналы заказчика. А после того как L3/L4-атаки погасятся на границе сервиса, WAF может уже корректно выполнять свою работу и защищать приложение. Вся цепочка работает последовательно. Важный вывод: без надежного анти- DDoS WAF не выполняет свою роль. Именно поэтому, например, в Check Risk WAF защита от DDoS встроена в сервис. Зарисовка вторая: бот-трафик и ИИ-разведка Понятие бот-трафика к 2025 году довольно сильно расширилось. Если раньше под ним подразумевали класси- ческие скрипты и примитивные сканеры, то сегодня это сложная экосистема, включающая: l поисковые системы и индексы; l платформы Monitoring-as-a-Service; l сервисы конкурентной разведки; l инструменты анализа уязвимостей; l системы сбора данных и ценовой ана- литики; l краулеры крупных ИИ-платформ, которые обучают модели на публичных данных. Большинство роботов и автоматизи- рованных агентов научились имитиро- вать поведение обычных клиентов. Они корректно отдают заголовки, имитируют движение по страницам, выдерживают временные интервалы – то есть, факти- чески, пытаются скрыть свою природу. С точки зрения серверной части, отли- чить такого бота от человека бывает невозможно. Проблема усложняется тем, что зачастую компании не хотят, чтобы их ресурсы автоматически использова- лись сторонними ИИ-платформами. Модель WAF-as-a-Service видит кар- тину шире, чем трафик одного прило- жения, – она учитывает глобальный кон- текст, в котором работает вся инфра- структура сервиса. По сути, кластер работает как коллективный орган чувств. Это значит, если одна нода фиксирует подозрительный тип трафика, это ста- новится сигналом для всей системы. Или если IP-диапазон использовался в разведке против одного клиента сер- виса, это учитывается в политиках для всех. А если краулер ИИ ведет себя как агрессивный сканер, сервис может пол- ностью отключить ему доступ. Такая функциональность выходит за рамки обычного WAF – это механизм управления тем, кто в принципе имеет право видеть публичные веб-приложения компании. И это можно делать это без ущерба, например, для поисковой индек- сации, обратных ссылок или нормальной работы превью в мессенджерах. Зарисовка третья: адаптивный антибот Есть и обратная сторона борьбы с ботами – традиционно она приводит к излишнему усложнению пользователь- ского опыта. Капча, задержки, неожи- данные блокировки – все это снижает конверсию и приводит к недовольству пользователей, а следом и к претензиям со стороны владельцев приложений. Однако полностью отказаться от ограничений невозможно, ведь иначе веб-ресурс положат автоматизирован- ные атаки. Сервисная модель WAF пред- лагает более тонкий механизм – дина- мическое управление доверием. 48 • СПЕЦПРОЕКТ Check Risk WAF: внешний боевой расчет для тех, у кого нет армии специалистов аши веб-приложения окружают десятки видов трафика: от легитимных пользователей и поисковых роботов до автоматизированных систем мониторинга, пробных запросов, раз- ведывательных сканеров и целевых атак. При этом большая часть этих взаимодействий проходит через одни и те же узкие места – балансировщики, точки входа, каналы связи. В Иван Елисеев, основатель сервиса Check Risk – WAF SAAS 1 https://check-risk.ru/