AML Web Protection — защита веб‑ресурсов от атак.

Описание

AML Web Protection — это система выявления и предупреждения атак на веб-ресурсы. Она использует логи (журналы) веб-сервера для поведенческого анализа пользовательских запросов и выявления среди них атакующих сессий.

Задача AML — защитить внутренние и внешние веб-ресурсы организации от компьютерных атак.

Продукт не анализирует содержимое сетевого трафика, а работает напрямую с журналами веб-сервера. С помощью алгоритмов поведенческого анализа система выявляет атакующие действия по записям журнала и синхронизируется с веб-сервером для блокировки вредоносной активности.

Преимущества AML

Работа с «сырыми» журналами веб-сервера

Поведенческий анализ для выявления атакующих сессий на основе логов

Активное реагирование и защита

Выявление атак нулевого дня, блокирование атакующих сессий, поддержка белых списков

Использование встроенных инструментов

Применение нативных средств сервера без установки дополнительных программ, модулей, утилит

Усиление эшелонированной защиты

Эффективное дополнение применяемых СЗИ и усиление защиты в сочетании с WAF, IDS, SIEM

Несколько режимов работы

Разовая обработка журналов или постоянный мониторинг веб-сервера

Прозрачная аналитика и детализация

Детализированная информация по каждой сессии, статистические дашборды и отчёты

Где применяется?

AML — универсальный инструмент, который эффективно работает с веб-ресурсами разного типа и разной загруженности. Такой продукт может применяться для защиты веб-ресурсов:

Промышленных предприятий и КИИ

Крупных коммерческих компаний

Крупных маркетплейсов

Организаций среднего бизнеса

Возможности AML

Разовая обработка журнала [«пакетный режим»] и постоянный мониторинг веб-ресурса [«потоковый режим»].
Создание белых списков из IP и User-Agent.
Автоматическая отправка команды на веб-сервер о блокировке нарушителей по IP и User-Agent.
Подтверждение или опровержение результата работы модели - это учитывается в итоговой статистике.
Просмотр детализированной информации по каждой сессии - можно самостоятельно убедиться в правильности оценки типа сессии и её риска.
Использование принципа виртуального патчинга для атакуемых компонентов веб-ресурса.
Просмотр статистических дашбордов и отчётов.

Принцип работы AML

Конечная цель AML — выявить компьютерную атаку и заблокировать нарушителя. Для корректной работы AML использует «сырые» записи журналов без какой-либо предварительной обработки.

Подключение
Пользователь в веб-интерфейсе AML подключает защищаемый веб-ресурс
Выбор журнала
Пользователь в веб-интерфейсе AML указывает журнал веб-ресурса, который нужно анализировать на наличие компьютерных атак
Анализ логов
Система анализирует предоставленный журнал и разбивает его на сессии
Классификация сессий
Система анализирует каждую сессию с помощью специальной модели и классифицирует эту сессию как «атакующую» или «пользовательскую»
Оценка риска
Система для атакующей сессии автоматически вычисляет уровень риска для атаки
Блокировка атаки
Если атакующей сессии присваивается высокий или критический риск, система посылает запрос на веб-сервер для блокировки нарушителя
Детальная статистика
Пользователь видит итоговую статистику по атакующим и пользовательским сессиям с возможностью посмотреть детали: характеристики сессии, запросы и другие параметры

Режимы работы

Пакетный режим
Потоковый режим

Пакетный режим

Принцип работы
Пользователь загружает журнал веб-ресурса вручную. Система анализирует этот файл и выдаёт результат.

Результат
Пользователь получает детализированную статистику по конкретному загруженному журналу.

Когда полезен

Для разовых проверок журналов
Для сравнительного анализа
При подключении нового ресурса
Для ретроспективного анализа без ограничений по давности логов

Потоковый режим

Принцип работы
Пользователь указывает файл журнала, в котором система автоматически отслеживает изменения и анализирует их «в потоке». Система разделяет записи журнала на сессии и определяет тип сессий: атакующий или пользовательский. При появлении новых записей в журнале система дополняет уже существующие сессии или формирует новые, а затем пересчитывает оценку типа сессий.

Результат
Пользователь отслеживает состояние веб-ресурса «на лету» и может в динамике видеть появление атакующих сессий, их видоизменение, расширение и завершение.

Когда полезен
Для постоянного мониторинга веб-ресурса и его защиты в режиме 24/7
Потоковый режим

Вопросы и ответы

Какой формат записи журнала поддерживает AML?

AML умеет адаптироваться под разные форматы записей журналов с помощью инструмента «Парсер». Ключевое требование - поставлять в AML записи непосредственно из журнала веб-сервера без предварительной обработки и без изменения порядка записей.

Возможны ли конфликты AML со средствами защиты информации?

Нет, продукт в своей работе никаким образом не пересекается со средствами защиты информации.

Возможно ли использовать AML в сочетании с типовыми средствами защиты информации?

Да, даже нужно! Если в организации уже стоят инструменты типа WAF, SIEM и т.п., то AML станет отличным дополнением к эшелонированной системе защиты. Если организация хочет начать выстраивание такой системы защиты, то AML отличный выбор для старта. Продукт позволит получить множество полезной информации о том, какие запросы поступают на веб-ресурс и какие из них могут потенциально нанести ущерб.

Поддерживает ли AML выявление атак OWASP TOP-10?

Алгоритмы AML основаны на анализе паттернов поведения пользователя. В связи с этим продукт не просто покрывает атаки типа OWASP TOP-10, а выявляет вредоносные действия самых разных типов.

AML - это СЗИ или не СЗИ?

Типовые средства защиты информации работают напрямую с трафиком - анализируют сетевые пакеты, параметры HТТР-запросов и другое. На законодательном уровне утверждены требования к таким инструментам, чтобы они могли применяться в определённых информационных системах.
AML нельзя отнести к типовым средствам защиты информации, так как продукт не анализирует содержимое сетевых пакетов или HТТР-запросов. Даже если веб-сервер настроен на логирование содержимого запроса, AML игнорирует эти данные. AML также не работает с персональными данными и иной чувствительной информацией.

Запросить коммерческое предложение

Защитите свои веб‑ресурсы с AML Web Protection

Заполните форму связи, чтобы получить индивидуальное коммерческое предложение. Мы проанализируем особенности вашей инфраструктуры и подготовим расчёт стоимости внедрения AML Web Protection под задачи вашей организации.

Позвоните нам!

Добавьте товар в корзину Открыть корзину

Ваш заказ готов к оформлению