L'année dernière, nous avons publié la première version de Nemesida WAF, construite sur la base de l'apprentissage automatique. Nous avons essayé plusieurs options et opté pour l'algorithme d'apprentissage de forêt aléatoire. Les principaux avantages de l'apprentissage automatique par rapport à l'analyse de signature sont la précision accrue de la détection des attaques, ainsi que la réduction du nombre de faux positifs. D'autre part, l'utilisation d'un module d'apprentissage automatique nécessite des ressources matérielles supplémentaires. Pour fournir une protection de base des applications Web avec des ressources matérielles minimales, nous avons publié Nemesida WAF Free, une version gratuite de Nemesida WAF qui détecte les attaques en fonction de leurs signatures.
Nemesida WAF est un module dynamique pour les versions stables de Nginx à partir de 1.12, disponible pour les distributions Linux populaires (testé sur les plateformes Debian, Ubuntu et CentOS).
Lors de la création de signatures, nous utilisons diverses sources, ainsi que le résultat du travail du module Nemesida AI. La réduction du nombre de faux positifs dans Nemesida WAF Free est obtenue par:
- mettre en évidence les domaines d'application des règles;
- utilisation des indicateurs numériques maximaux autorisés de l'importance des signatures;
- utilisation de chaînes de règles.
Ces mécanismes vous permettent de créer une base de données de signatures de haute qualité, dans laquelle le nombre de faux positifs sera minime. De plus, il est possible d'appliquer des règles d'exclusion, lors de la création, il est recommandé de spécifier autant que possible la zone d'occurrence des faux positifs.
Types d'attaques détectées:
- Injection (RCE, SQLi);
- XSS;
- RFI \ LFI;
- Traversée de chemin;
- Accès indésirable (accès au code source, archives, fichiers de configuration et sauvegardes).
Liste des fonctionnalités:
- détection des attaques par la méthode de la signature;
- blocage automatique de l'attaquant par adresse IP;
- analyse des demandes à l'aide d'un logiciel antivirus;
- la possibilité de travailler en mode IDS;
- sortie d'informations sur les attaques dans le fichier journal;
- configuration matérielle minimale.
La principale limitation de la version gratuite implique l'utilisation du module d'apprentissage automatique Nemesida AI, qui permet une détection plus précise et avec un minimum de faux positifs des attaques sur les applications Web (le module Nemesida AI, y compris la possibilité de détecter les attaques zero-day). Dans la version gratuite, le module d'apprentissage automatique n'est pas impliqué.
Si vous souhaitez fournir une protection de base pour votre application Web, Nemesida WAF Free sera une excellente solution - facile à installer et à entretenir, sans exigences matérielles élevées. Le processus d'installation de Nemesida WAF Free est décrit dans la
documentation . Pour tester la version d'essai, utilisez le disque de la machine virtuelle pour KVM / VMware / Virtualbox avec
Nemesida WAF déjà installé.