Имеет ли смысл дополнять WAF (брандмауэр веб-приложений) IPS (системой предотвращения вторжений)?

Вопрос: Есть ли в этом сценарии дополнительная ценность от наличия решения IPS/Deep Package Inspection? Насколько я понимаю: нет. Но я не нашел там четкого ответа.

Чтобы ответить на этот вопрос, сначала давайте раскроем ключевой термин «ценность». Здесь мы задаемся вопросом: «Какова ценность контроля безопасности?».

Для управления рисками применяются меры безопасности (WAF, IPS, брандмауэры SPI, которые являются примерами технических мер безопасности). Меры безопасности, которые стоят больше, чем ожидаемые потери с течением времени из-за отсутствия контроля, обычно не внедряются, а меры безопасности, которые стоят меньше, чем ожидаемые потери с течением времени, будут установлены.

Есть ли какой-либо смысл во внедрении IPS, когда межсетевой экран ограничен одним портом и установлен WAF, на самом деле возникает вопрос: основаны ли ожидаемые потери на том, как все настроено в данный момент, за вычетом ожидаемых потерь после того, как IPS будет установлен? было установлено больше, чем стоимость IPS. Если ответyesтогда нет смысла устанавливать IPS, поскольку стоимость его внедрения превышает выгоду, которую он дает. Это пример процесса управления рисками в действии.

Когда дело доходит до этой конкретной ситуации, информации недостаточно, чтобы однозначно ответить на вопрос. Любой технический ответ не поможет. Даже если бы у нас была вся информация, которая была бы обширной, существует достаточно различий в том, как люди рассчитывают риск, что мы определенно не смогли бы сделать ничего, кроме «способа сделать это» и, возможно, самого длинного ответа на Serverfault за всю историю. :-)

Однако в общих чертах это области, в которых IPS (здесь для простоты мы объединим HIPS и NIPS) обеспечивает потенциальную выгоду при реализации вместе с существующими решениями:

1. В случаях, когда есть пересечение функций, в качестве вторичного средства контроля, если брандмауэр или WAF были неправильно настроены или скомпрометированы, не обнаруживает угрозу или обнаруживает угрозу другим методом, тем самым увеличивая вероятность обнаружения методов уклонения от обнаружения.
2. Для случаев, когда IPS обеспечивает дополнительную защиту, которая еще не предусмотрена. Это зависит от продукта и реализации, но может включать в себя такие вещи, как...
   • Блокировка заведомо вредоносных IP-адресов
   • Блокировка на основе корреляции событий – например. IP-адреса, которые были замечены как сканирующие порты перед отправкой HTTP-запросов.
   • Предотвращение/обнаружение изменений файлов неавторизованными процессами
   • Многие другие
3. Для повышения видимости. IPS, как правило, сможет дать вам больше информации о ландшафте угроз, поскольку он отслеживает гораздо больше того, что происходит в среде, а не только веб-трафик.

Таким образом, ценность IPS будет зависеть от риска. Конечно, существуют сценарии, в которых можно было бы выбрать установку IPS в этом сценарии, даже если бы она обеспечивала только избыточность и не обеспечивала никакой дополнительной функциональности — подход «ремень и подкосы». Если защита личного веб-сайта, вероятно, не будет стоить того, если защита интеллектуальной собственности на миллиарды долларов, скорее всего, будет иметь ценность.

Вам не нужно использовать проверку пакетов, если вы правильно настроили брандмауэр. но вам все равно нужны IPS/IDS и проверка целостности, даже если у вас всего один простой сервер с минимальным сервисом.
рассмотрите такие ситуации:

• если на ваш WAF существует неизвестный метод/сигнатура атаки, ваш WAF практически бесполезен против такого рода угроз (особенно уязвимостей нулевого дня). в этой ситуации разумным шагом является мониторинг активности пользователей и проверка целостности системы. использование инструментов аудита может помочь и предупредить вас о подозрительных (но неизвестных) угрозах. однако для этого требуется больше ресурсов, индивидуальные правила аудита и постоянная проверка.
• обход WAF не является воображаемым. в этом случае IPS/IDS или любой другой механизм сканирования повышают уровень вашей безопасности в качестве второго уровня защиты. Даже если ваш WAF выйдет из строя.
  
  Если вас беспокоят настройки, но вы не хотите использовать сложное или дорогое решение, вы можете объединить самые простые инструменты, такие как настраиваемые правила «iptables» , с «SElinux» и «AIDE» для более надежного плана безопасности.

Вы можете настроить WAF в DMZ для защиты интернет-трафика. Кроме того, IDS/IPS плюс DPI можно использовать во внутренней сети, активной или пассивной (встроенной или нет).