1. Архитектура

1.1 Режимы работы

Сниффер

+/-

Мост

+/-

Прозрачный обратный прокси сервер

+/-

Обратный прокси сервер

+/-

Ретроспективный анализ (анализ логов/трафика)

+/-

Агентский (установка на веб-сервер)

+/-

1.2 Обработка SSL/TLS

Терминация SSL

+/-

Пассившое расшифрование SSL

+/-

SSL Шифрование трафика до объекта защиты

+/-

Поддержка ГОСТ SSL

+/-

Поддержка сессий установленных на клиентских сертификатах

+/-

Наличие аппаратных модулей ускоряющих обработку SSL

+/-

1.3 Компоненты, внедрение

Предоставление в виде облачного сервиса

+/-

В виде аппаратного комплекса

+/-

В виде виртуальной машины

+/-

Виртуализация защищаемых хостов

По Host заголовку, По IP адресу, По сокету

Разделение узлов системы на роли (опишите ролевую модель)

Выделенная роль управления/Нету ролей

Предоставлен консольный мастер для базовой конфигурации

+/-

1.4 Блокировка

Реакция при блокировке

Отбрасывание запросов, Прерывание соединения (TCP Reset)

Возможность временной блокировки источника

по IP, по имени пользователя, по сессии

Информативное сообщение для клиента с указанием уникального идентификатора запроса (при блокировке)

+/-

Возможность быстро перевести систему в режим обнаружения или предовтращения

+/-

1.5 Отказоустойчивость

Поддержка выбора fail-over режима для ПАК

+/-

Поддержка Active-Passive кластеризации

+/-

Поддержка Active-Active кластеризации

С внешним, без внешнего балансировщика

Поддержка алгоритмов STA ( В случае поддержки режима мост )

+/-

1.6 Прочие

Поддержка других прикладных протоколов кроме HTTP\S

Перечислить протоколы

Поддержка IPv6

+/-

Поддержка сабинтерфейсов на основе тегов 802.1q

+/-

Поддержка балансировки нагрузки

+/-

2. Механизмы защиты

2.1 Проверка протокола

Ограничения HTTP данных

Версий протокола HTTP
Типов методов
Допустимых значений Content-type заголовка
Допустимых значений Host заголовка
Длины URI
Длины заголовков
Длины значений заголовков
Длины параметра
Длины значения параметра
Длины запроса
Количества заголовков
Количества параметров

Проверка HTTP данных

Дублирования заголовков
Дублирования параметров
Наличие нелегальных значений и NULL
Правильности кодировки
Парсинга запроса
URL-Декодирование
Поддержка JSON
Определяется медленное клиент-серверное взаимодействие

XML Firewall

Распознавание и орбаботка XML документов
Проверка по WSDL
Проверка по XSD
XSD схема может быть применена для различных URI
В XML документе значения по XPATH могут быть проверены на внешнем LDAP сервере

2.2 Сигнатурный анализ

Возможно создавать пользовательские сигнатуры атак

+/-

Количество поставляемых сигнатур атак

Число

Встроенная база знаний по сигнатурам атак и правилам

+/-

Период обновления сигнатурной базы

Периодичность

2.3 Машинное обучение

Формат эталонной модели

Позитивная
Негативная

Состав эталонной модели

Параметры
Заголовки
Cookies
XPATH/JSON значения

Способ принятия решения о перемещении параметра в модель

время обучения
количество запросов
пороги энтропии элемента

Техника оптимизации модели

Интерфейс ручной корректировки модели
Привлечение “учителя” для машинного обучения Эвристический анализ запросов нарушающих текущую модель, с последующей её оптимизацией

Возможность конфигурирования

максимального времени обучения;
порогов срабатывания;
математических параметров алгоритма обучения.

2.4 Распознавание токенов / защита от инъекций

Инъекции на вывод

HTML, CSS, JS

OS Commanding

Windows, Unix/Linux

SQL-Injection protection

+/-

2.5 Защита идентификаторов сессий

Составление допустимых cookies

+/-

Определяется факт кражи идентификатора сессии

+/-

Значения Cookies шифруются

+/-

Cookies подписываются

+/-

2.6 Защита клиента

Есть возможность внедрения и автоформирования правил Content Security Policy (CSP)

+/-

Внедряется CSRF токен

+/-

Противодейтсвие DOM-based XSS

+/-

Контролируется request и response HTTP-транзакции на предмет однозначного содержания (защита от XSS)

+/-

2.7 Anti DDoS и Anomaly control

Противодействие ботам, клиент проверяется с помощью инжектированного JS на вредоносное ПО (Обнаружение вредоносного ПО у клиентов)

+/-

Определяется аномальное поведение пользователя

+/- (Опишите)

Anti DDoS модуль

+/-

2.8 Интеграция

Репутационные сервисы

Перечислите

Системы противодейтсвия мошеничеству (Fraud Prevention)

Перечислите

Системы контроля БД (DAM/DBF) Web-DB корреляция

Перечислите

Системы управления событиями безопасности (SIEM)

Перечислите успешные интеграции

Сканеры уязвимостей / Анализаторы исходного кода. Virtual Patching

Перечислите

Системы предовтращения утечек информации

Перечислите

Антивирусы

Перечислите

2.9 Прочее

Противодействие автоматизированному сбору инфрмации с защищаемого ресурса (web scraping / web harvesting / web data extraction preventing)

+/-

Противодействие утечкам критичной и системной информации (Response filter)

+/-

Предотвращаются прямые обращения к объекту (Forceful browsing)

+/-

Какие методы отслеживания аутентификации поддерживаются:

HTML Form
Client Side Certificates
Basic Authentication
Digest Authentication

Определение попыток brute force атак

+/-

3. Журналирование и управление событиями

3.1 Ведение журнала безопасности

Содержание журнальной записи

Класификация события безопасности по типу вредоносной активности;
уровень важности;
HTTP запрос создавший событие;
IP-адрес клиента создавшего событие безопасности. ( c поддержкой Forwarded или X-Forwarded-For);
код ответа на запрос создавший событие;
Логин клиента создавшего событие;
уникальный идентификатор.

Определение перечня журналируемых событий безопасности

+/-

Возможность журналирования всех запросов

+/-

Возможность хранения ответов

+/-

3.2 Корреляция, агрегация, анализ

Автоматическая агрегация событий

(опишите принцип)

Возможность создавать корреляционные правила

+/-

Выявление реальных атак в цепочках событий

+/-

Определение попытки эксплуатации существующей уязвимости с помощью встроенного сканера.

+/-

3.3 Уведомления и оповещения

Уведомления

Уведомление по E-mail;
Уведомление по Syslog TCP;
Уведомление по Syslog UDP
Уведомление по SNMP v2 Trap
Уведомление по SNMP v3 Trap

Возможность пользовательской настройки уровней важности событий

+/-

Возможность шифрования Syslog сообщений

+/-

3.4 Хранение журнальных событий

Заложены ограничения на хранение записей

Описать ограничения

Установка максимального срока хранения записей

+/-

Установка максимального размера журнала

+/-

Возможность установки нескольких политик хранения для различных групп событий безопасности

+/-

Журнальные записи могут быть автоматически экспортированы перед ротацией или удалением

+/-

3.5 Экспорт журнальных записей

Журнальные записи могут быть экспортированы в виде файла

+/- ( по HTTP, FTP, SCP, SMB соединению)

Экспорт журнальных записей может производится по расписанию

+/-

Возможен импорт экспортированных записей.

+/-

Экспортированые логи могут быть защищены паролем

+/-

Экспортированые логи могут быть подписаны цифровой подписью

+/-

3.6 Обработка конфиденциальных данных

Возможность маскирования конфиденциальных данных в жкрнальных записях.

+/-

Маскирование и выявление конфиденциальных данных по названиям параметров

+/-

Маскирование и выявление конфиденциальных данных по шаблонам конфиденциальных данных

+/-

Возможность убрать маскировку в случаях привилигированного доступа.

+/-

4. Отчетность

4.1 Создание отчетов

Отчеты могут быть сгенерированы по требованию.

+/-

Отчеты могут быть сгенерированы по расписанию

+/-

Какие параметры фильтров при генерации отчетов доступны

Диапозоны даты и времени
Диапозоны IP адресов
Пользователи web-приложения
Типы инцидентов
Другое (укажите)

Как могут быть распространены отчеты?

Электронная почта, FTP, Samba, HTTP

4.2 Содержание отчетов

Какие форматы отчетов доступны

Word
HTML
PDF
XML
CSV

Возможность конфигурирования внешнего вида отчетов

(например, цвет, лого, колонтитулы и т.д.)

Есть возможность управления контентом в отчете.

+/- (опишите)

Отчет содержит настраиваемую инфографику.

+/- (опишите)

Доступны заготовленные форматы шаблонов

Популярные атаки, подозрительные пользователи и др.

5. Администрирование, обслуживание, сопровождение

5.1 Мониторинг и работа с событиями

Панель мониторинга отображает

Наиболее часто детектируемые IP-адреса в событиях безопасности.
Количество событий безопасности.
Индикация работоспособности системы
Статусы обеспечивающих работу сервисов
Загруженность аппаратной платформы CPU\RAM
Загруженность сети (conn\sec, bit\sec rate)
Загруженность узлов WAF в кластере.
Состояние доступности защищаемых ресурсов.

Записи журнала безопасности отображаюся и могут быть отфильтрованы

+/-

Отдельным параметром записи отображается часть запроса или ответа из-за которого возникло событие безопасности

+/-

Быстрое выделение false-positive событий

+/-

Возможность восстанавливать события отмеченные как false-positive

+/-

Интегрирована справка с пояснением принципов действия сработавшего механизма защиты

+/-

Интегрирована справка с пояснением обнаруженной угрозы

+/-

5.2 Администрирование

Возможно выделить отдельный сетевой адаптар для доступа к интерфейсу управления.

+/-

Существует разделение пользователей интерфейса управления на группы с гранулированным подходом в обеспечении прав доступа.

+/-

Доступ в систему журналируется

+/-

Управление системой задокументировано

+/-

Предусмотрен мастер по настройке, который подберет оптимальную конфигурацию системы для политики безопасности

+/-

Доступны шаблоны политик безопасноти для популярных бизнес-приложений

+/-

Возможно применение различных политик для различных приложений.

+/-

Возможно отключение блокировки для одного или нескольких правил политики безопасности.

+/-

Предусмотрен мастер по работе с событиями помеченными как false-positive в журнале безопасности

+/-

Политика безопасности может быть экспортирована и импортирована.

+/-

Предусмотрен мастер по оптимизации политики безопасности формирующий рекомендации для администратора

+/-

Есть руководтво для администратора безопасности

+/-