Киберпреступники не дремлют: ежедневно тысячи веб-ресурсов становятся жертвами хакерских атак. Как защитить свой сайт и не потерять бизнес? Разбираем принципы работы AML Web Protection и его роль в современной веб-безопасности.
Сегодня я хочу рассказать вам о системе AML Web Protection, которая предназначена для выявления и предотвращения атак на веб-ресурсы. Эта разработка компании «Перспективный мониторинг», входящей в ГК «ИнфоТеКС», была представлена на недавнем Технофесте.
Сразу хочу отметить, что это не традиционный WAF, хотя AML и выполняет его ключевые функции. Это решение выделяется своими уникальными преимуществами перед классическими WAF-системами.
В отличие от традиционных систем защиты, таких как WAF (Web Application Firewall), AML Web Protection не использует в своей работе анализ трафика. Это решение работает исключительно с логами веб-сервера, что делает его более удобным и эффективным. Для анализа пользовательских запросов к WEB-серверу и выявления атакующих сессий AML Web Protection нужны ТОЛЬКО логи (журналы) веб-сервера (например, access.log Nginx/Apache). Логи не должны подвергаться никакой предварительной обработке, и в них не должен быть нарушен порядок записей. Т.е., по сравнению с WAF, Вам не нужны никакие "железки", не нужно думать о том как и где их разместить на периметре, а потом масштабировать, не требуется сложная настройка комплекса и расшифровка трафика. Вам нужны только логи с веб-серверов.
Нужно также отметить, что AML Web Protection не нужно ставить "в разрыв", вы устанавливаете его "сбоку" внутри сегмента, не нарушая никакие бизнес-процессы.
Интеграция AML
Для защиты внутренних и внешних веб-ресурсов от атак необходимо интегрировать AML в вашу инфраструктуру. После того, как вы развернете ПАК или ПО с AML Web Protection необходимо:
- Настроить синхронизацию между веб-серверами и сервером AML.
- В интерфейсе AML выбрать веб-ресурсы, которые необходимо отслеживать.
- Активировать потоковую обработку.
Как работает AML Web Protection
AML Web Protection может работать в двух режимах: пакетном и потоковом.
Потоковый режим работы AML.
На мой взгляд это основной и самый востребованный режим работы для постоянного мониторинга веб-ресурсов. После интеграции в вашу инфраструктуру, с помощью алгоритмов поведенческого анализа AML начнет выявлять атакующие действия по записям журналов. В случае обнаружения атакующих действий система может блокировать вредоносные активности используя для блокировки возможности самих веб-серверов (например, Nginx) путем синхронизации с ними конфигов.
AML анализирует предоставленный журнал и разбивает его на сессии. Затем система анализирует каждую сессию с помощью специальной модели и классифицирует эту сессию как атакующую или пользовательскую. Если сессия атакующая, то для нее автоматически будет вычислен уровень риска для атаки. При высоком или критическом риске AML посылает запрос на веб-сервер для блокировки нарушителя.
Администратор AML в консоли видит всю статистику по атакующим и по пользовательским сессиям. Детализированная информация по сессиям так же доступна для просмотра и анализа.
Пакетный режим работы AML.
Как я понял, этот режим полезен при ретроспективном анализе логов веб-серверов. Вы можете проводить анализ логов любой давности, просто подгрузив их в AML. Классический WAF, если и предоставит вам такие возможности, то уж точно на совсем небольшую "историческую глубину", потому что это не задача WAF - хранить логи, например за год.
Так же в этом режиме будет удобно производить какой-то сравнительный анализ или разовые проверки логов веб-серверов.
===================================================
В современном мире, где цифровые технологии становятся неотъемлемой частью нашей жизни, защита веб-ресурсов от компьютерных атак - это не просто необходимость, а ключевой фактор успеха любого бизнеса. AML Web Protection предлагает инновационное решение, которое позволяет эффективно противостоять угрозам, не требуя сложных настроек или анализа трафика.
С помощью алгоритмов поведенческого анализа система выявляет подозрительные действия и блокирует атаки, обеспечивая безопасность ваших данных и стабильность работы сайта. Это особенно важно в условиях растущей киберпреступности, где каждая секунда промедления может стоить дорого.
На этом с обзором AML Web Protection я заканчиваю. Хочу так же отметить важность посещения различных мероприятий от вендоров. Участие в мероприятиях, организуемых вендорами, - это уникальная возможность быть в курсе последних новинок в мире технологий и программного обеспечения. Такие события предоставляют шанс напрямую пообщаться с экспертами, получить ответы на все интересующие вопросы и даже договориться о тестировании новых решений. А для тех, кто любит активный подход, предусмотрены конкурсы и розыгрыши призов, которые делают участие ещё более увлекательным! На Технофест 2025 было представлено множество увлекательных докладов, которые привлекли внимание участников. Возможно, я ещё поделюсь своими впечатлениями о самых интересных из них!