У любой системы защиты веб-приложений есть одна неудобная правда, о которой редко говорят вслух: она не может одновременно быть идеально безопасной и абсолютно прозрачной для пользователей. Это не баг и не просчет разработчиков, это противоречие, с которым сталкивается каждый специалист по кибербезу.
Два параметра, которые тянут в разные стороны
Эффективность любого фаервола оценивается по двум метрикам:
- Насколько хорошо система распознает и блокирует реальные атаки
- Насколько точно она отличает хакера от обычного покупателя, который просто хочет оформить заказ
Звучит как задача со звездочкой, так оно и есть. Потому что эти два показателя работают друг против друга. Чем жестче настроена защита, тем меньше угроз она пропускает. Но тем выше риск, что под блокировку попадет и нормальный трафик. Ослабьте настройки, и клиенты будут заходить без проблем, зато вместе с ними на сервер проникнет все, от чего вы пытались защититься.
Цена ошибки в настройках
Это не абстрактная теория. Независимые тесты показали, что, например, у решения от Microsoft Azure доля ложных срабатываний превышает 54% (подробнее см. здесь). Это значит, что больше половины легитимных HTTP-запросов блокируются. Для бизнеса это может проявиться в несостоявшихся покупках и раздраженных пользователях. И все это не от хакерской атаки, а от собственной системы защиты.
Где искать баланс
Оптимальная настройка находится между двумя крайностями. Для ее измерения используют метрику сбалансированной точности – среднее между качеством блокировки угроз и качеством пропуска легитимного трафика. Чем ближе этот показатель к 100%, тем лучше система справляется с обеими задачами одновременно.
Просчитать теоретически это невозможно. Ее можно только нащупать: через реальные испытания с живым трафиком, разными сценариями нагрузки и честной статистикой по обоим параметрам. Только тогда защита начинает работать так, как должна: незаметно для клиентов и неприятно для злоумышленников.