El año pasado, lanzamos el primer lanzamiento de Nemesida WAF, basado en el aprendizaje automático. Probamos varias opciones y nos decidimos por el algoritmo de aprendizaje forestal aleatorio. Las principales ventajas del aprendizaje automático en comparación con el análisis de firmas son la mayor precisión de la detección de ataques, así como la reducción en el número de falsos positivos. Por otro lado, el uso de un módulo de aprendizaje automático requiere recursos de hardware adicionales. Para proporcionar protección básica de aplicaciones web con recursos mínimos de hardware, lanzamos Nemesida WAF Free, una versión gratuita de Nemesida WAF que detecta ataques basados en sus firmas.
Nemesida WAF es un módulo dinámico para versiones estables de Nginx a partir de 1.12, disponible para distribuciones populares de Linux (probado en plataformas Debian, Ubuntu y CentOS).
Al crear firmas, utilizamos varias fuentes, así como el resultado del trabajo del módulo Nemesida AI. Minimizar el número de falsos positivos en Nemesida WAF Free se logra mediante:
- resaltar áreas de aplicación de las reglas;
- uso de los indicadores digitales máximos permitidos de la importancia de las firmas;
- uso de cadenas de reglas.
Estos mecanismos le permiten crear una base de datos de firmas de alta calidad, en la cual la cantidad de falsos positivos será mínima. Además, es posible aplicar reglas de exclusión, al crear lo que se recomienda especificar el área de ocurrencia de falsos positivos tanto como sea posible.
Tipos de ataques detectados:
- Inyección (RCE, SQLi);
- XSS;
- RFI \ LFI;
- Trayectoria transversal;
- Acceso no deseado (acceso al código fuente, archivos, archivos de configuración y copias de seguridad).
Lista de funciones:
- detección de ataques por el método de firma;
- bloqueo automático del atacante por dirección IP;
- análisis de solicitudes utilizando software antivirus;
- la capacidad de trabajar en modo IDS;
- salida de información sobre ataques al archivo de registro;
- requisitos mínimos de hardware.
La principal limitación de la versión gratuita implica el uso del módulo de aprendizaje automático Nemesida AI, que permite una detección más precisa y con un mínimo de falsos positivos de ataques en aplicaciones web (el módulo Nemesida AI, incluida la capacidad de detectar ataques de día cero). En la versión gratuita, el módulo de aprendizaje automático no está involucrado.
Si desea proporcionar protección básica para su aplicación web, Nemesida WAF Free será una solución excelente, fácil de instalar y mantener, sin altos requisitos de hardware. El proceso de instalación de Nemesida WAF Free se describe en la
documentación . Para probar la versión de prueba, use el disco de la máquina virtual para KVM / VMware / Virtualbox con
Nemesida WAF ya instalado.