Добавить в корзинуПозвонить
Найти в Дзене
РУТЕСТ - все о нагрузочном и функциональном тестировании
14 подписчиков

Сдаться или заблокировать всех: что происходит, когда защита не справляется

103
1 мин
Продолжаем раскрывать тему, начатую в прошлой статье (ссылка). Итак, представьте, что хакер отправляет на ваше приложение огромный запрос, намеренно раздутый «информационным мусором» до размера, который фаервол не может проверить целиком. WAF оказывается перед выбором, на который у него буквально доли секунды, – либо пропустить запрос как легитимный, либо заблокировать как подозрительный. Как показали независимые тесты, возможных ответов три. И два из них – катастрофа. Система проверяет первые килобайты запроса, не находит ничего подозрительного, и пропускает все остальное без досмотра. Вредоносный код, спрятанный в глубине, спокойно добирается до нужной цели. Этот режим называется Fail Open (открытие при ошибке). И именно он включен по умолчанию у многих известных решений: F5, Cloudflare, Fortinet. Не в экзотических конфигурациях – по умолчанию. Другая крайность. Система видит подозрительно большой запрос и блокирует его целиком на всякий случай. Атака остановлена. Но вместе с ней ос
Оглавление

Продолжаем раскрывать тему, начатую в прошлой статье (ссылка). Итак, представьте, что хакер отправляет на ваше приложение огромный запрос, намеренно раздутый «информационным мусором» до размера, который фаервол не может проверить целиком. WAF оказывается перед выбором, на который у него буквально доли секунды, – либо пропустить запрос как легитимный, либо заблокировать как подозрительный.

Как показали независимые тесты, возможных ответов три. И два из них – катастрофа.

Сценарий первый: сдаться

Система проверяет первые килобайты запроса, не находит ничего подозрительного, и пропускает все остальное без досмотра. Вредоносный код, спрятанный в глубине, спокойно добирается до нужной цели.

Этот режим называется Fail Open (открытие при ошибке). И именно он включен по умолчанию у многих известных решений: F5, Cloudflare, Fortinet. Не в экзотических конфигурациях – по умолчанию.

Сценарий второй: заблокировать всех подряд

Другая крайность. Система видит подозрительно большой запрос и блокирует его целиком на всякий случай. Атака остановлена. Но вместе с ней останавливаются и любые легитимные операции с большим объемом данных. Например, обычный пользователь, который пытается загрузить фотографию с высоким разрешением или заполнить форму с большим вложением, получает отказ.

Режим называется Fail Close (закрытие при ошибке), и с точки зрения безопасности он выглядит правильным. Но для бизнеса это тихая и незаметная потеря клиентов каждый день.

Сценарий третий: разобраться

Есть и третий путь – Full Coverage, полное покрытие. Система буферизует весь запрос целиком, сколько бы он ни весил, анализирует его до конца и находит угрозу там, где другие уже давно махнули рукой.

Большинство компаний не знают, в каком из этих режимов работает их защита. И узнают об этом обычно в самый неподходящий момент. Проверить поведение системы при экстремальных нагрузках можно заранее – через динамическую генерацию трафика и независимое профилирование. Именно этим мы в РУТЕСТ и занимаемся.

Подписывайтесь на наш канал в ТГ, где мы регулярно публикуем материалы про нагрузочное и функциональное тестирование ИТ/ИБ решений и инфраструктуры.