Журнал "Information Security/ Информационная безопасность" #6, 2025

Как это работает? Для каждого IP- адреса, подсети или даже группы при- знаков система формирует динамический профиль. Он, в частности, включает: l историю посещений; l типичные временные интервалы; l характер последовательности запросов; l чувствительность к отказам и ошиб- кам; l соответствие шаблонам поведения людей или автоматизации. На основании составленного профиля WAF принимает решение о допустимости сессии не бинарно (да/нет), а в спектре вариантов. Например: l постоянным клиентам разрешается более высокая частота запросов; l редкие, но легитимные визиты прохо- дят без капчи; l подозрительные источники получают троттлинг, задержку или жесткие пра- вила; l очевидные боты блокируются или помещаются в песочницу. При этом возможно быстрое усиление защиты в случае атаки. Когда система фиксирует рост аномальной активности, набор политик переключается автома- тически. Это избавляет заказчика от необходимости организовывать кругло- суточное дежурство: инфраструктура сама реагирует на изменения. Зарисовка четвертая: миграция между WAF Смена системы защиты в веб-инфра- структуре не зря считается рискованной операцией. Боязнь простоев, неправиль- ной конфигурации или потери части функциональности – это реальные опа- сения и не учитывать их нельзя. Поэтому миграция в модели WAF-as-a-Service выглядит как вполне предсказуемая про- цедура. В качестве примера можно сказать, что сервисная команда Check Risk WAF выполняет десятки подобных операций, поэтому весь процесс структурирован и расписан по этапам: 1. Перепривязка DNS на новые адреса балансировщиков. 2. Настройка веб-сервера: доверенные прокси, корректная передача IP, фор- вардинг заголовков. 3. Закрытие прямого доступа к прило- жению по IP. 4. Проверка корректности поведения в период переключения. 5. Настройка L7-политик под особен- ности конкретного приложения. Основная ценность сервисной модели в том, что техническую работу выпол- няют специалисты провайдера. Команда заказчика контролирует только влияние на бизнес-процессы и согласовывает технологические окна. Это снижает опе- рационную перегрузку и устраняет риск человеческого фактора при ручных настройках. Если в ходе миграции выявляются отклонения, сервис обеспечивает быстрый откат или корректировку настроек. Зарисовка пятая: люди как часть продукта В информационной безопасности при- нято говорить об автоматизации, машин- ном обучении, поведении алгоритмов. Но в практической веб-защите ключевой остается инженерная компетенция, кото- рая дополняет автоматические системы и управляет ими. КомандаWAF-сервиса участвует в боль- шей части жизненного цикла защиты: l подключает ресурс к защите; l помогает настроить веб-сервер; l корректирует ошибочные конфигурации; l помогает выявлять источники сбоев, если они возникают; l анализирует инциденты; l вносит изменения в политики; l документирует исключения. Это не просто поддержка по тикетам (хотя и она, разумеется, тоже есть), а полноценная инженерная работа. Кроме того, большинство сайтов, пор- талов и API – не типовые. У них есть свои особенности: например, нестан- дартные маршруты или собственные модули, вызывающие нетипичные паттерны. Сервисная модель позволяет настроить защиту с уче- том уникальности каждой защищаемой системы, не пытаясь загнать все при- ложения в жесткие рамки универсального продукта. Ошибки конфигурации часто приводят к реальным инцидентам. Сервисный WAF снижает вероятность их появления благодаря постоянному участию инже- неров, которые знают типовые паттерны ошибки и заранее отсекают потенци- альные угрозы. В заключение Пять приведенных зарисовок показы- вают, что WAF-as-a-Service – это не про- сто аренда защиты, а полноценный под- ход к организации обороны веб-пери- метра. Он сочетает инфраструктуру, авто- матизацию и человеческую экспертность, создавая устойчивую систему, способную реагировать на угрозы быстрее и надеж- нее внутренних разрозненных механиз- мов. Эта модель особенно эффективна для компаний, которые находятся между двумя полюсами: они уже вышли из ста- дии микробизнеса, но еще не могут поз- волить себе полный штат специалистов и многомодульный стек защиты on- premise. Внешний боевой расчет в виде сервисного WAF позволяет быстро орга- низовать защиту периметра с прогнози- руемыми затратами и высокой устойчи- востью. Современный WAF-as-a-Service, такой как Check Risk WAF, это не продукт и не услуга. Это почти технологический парт- нер, который берет на себя часть войны в сети, чтобы заказчик мог заниматься своим бизнесом. l • 49 NGFW И ЗАЩИТА ПЕРИМЕТРА www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ CHECK RISK см. стр. 78 NM Реклама Рисунок: Check Risk Рис. 1. Схема работы Check Risk WAF