No ano passado, lançamos o primeiro lançamento do Nemesida WAF, construído com base no aprendizado de máquina. Tentamos várias opções e resolvemos o algoritmo de aprendizado aleatório da floresta. As principais vantagens do aprendizado de máquina em comparação à análise de assinaturas são o aumento da precisão da detecção de ataques e a redução no número de falsos positivos. Por outro lado, o uso de um módulo de aprendizado de máquina requer recursos adicionais de hardware. Para fornecer segurança básica a aplicativos da Web com recursos mínimos de hardware, lançamos o Nemesida WAF Free, uma versão gratuita do Nemesida WAF que detecta ataques com base em suas assinaturas.
O Nemesida WAF é um módulo dinâmico para versões estáveis do Nginx a partir da 1.12, disponível para distribuições populares do Linux (testado nas plataformas Debian, Ubuntu e CentOS).
Ao criar assinaturas, usamos várias fontes, bem como o resultado do trabalho do módulo AI da Nemesida. A minimização do número de falsos positivos no Nemesida WAF Free é alcançada por:
- destacar áreas de aplicação das regras;
- utilização dos indicadores digitais máximos admissíveis do significado das assinaturas;
- uso de cadeias de regras.
Esses mecanismos permitem criar um banco de dados de assinaturas de alta qualidade, no qual o número de falsos positivos será mínimo. Além disso, é possível aplicar regras de exclusão ao criar as quais é recomendável especificar a área de ocorrência de falsos positivos o máximo possível.
Tipos de ataques detectados:
- Injeção (RCE, SQLi);
- XSS;
- RFI \ LFI;
- Traversal;
- Acesso indesejado (acesso ao código fonte, arquivos, arquivos de configuração e backups).
Lista de recursos:
- detecção de ataques pelo método de assinatura;
- bloqueio automático do atacante por endereço IP;
- análise de solicitações usando software antivírus;
- a capacidade de trabalhar no modo IDS;
- saída de informações sobre ataques ao arquivo de log;
- requisitos mínimos de hardware.
A principal limitação da versão gratuita envolve o uso do módulo de aprendizado de máquina Nemesida AI, que permite detectar com mais precisão e com o mínimo de falsos positivos positivos os ataques a aplicativos da Web (o módulo Nemesida AI, incluindo a capacidade de detectar ataques de dia zero). Na versão gratuita, o módulo de aprendizado de máquina não está envolvido.
Se você deseja fornecer proteção básica para seu aplicativo Web, o Nemesida WAF Free será uma excelente solução - fácil de instalar e manter, sem altos requisitos de hardware. O processo de instalação do Nemesida WAF Free é descrito na
documentação . Para testar a versão de avaliação, use o disco da máquina virtual para KVM / VMware / Virtualbox com o
Nemesida WAF já instalado.