Информация для заказа Услуг
Услуга 1
Услуга 2
Услуга 3
Общие требования к Услугам
Часто задаваемые вопросы
Глоссарий
Главная
Услуга 3
Услуга многоуровневой защиты веб-приложений от кибератак прикладного уровня (услуга 3.2.1)

Описание Услуги

Услуга «Услуга многоуровневой защиты веб-приложений от кибератак прикладного уровня (услуга 3.2.1)» предназначена для обнаружения и предотвращения компьютерных атак, направленных на информационные ресурсы Потребителя, размещенные в рамках ЕЦП «ГосТех», опубликованных в сети Интернет и доступных по протоколам HTTP/HTTPS.
Объектом Услуги является комплект программных средств, объединённых в единую систему. Комплект программных средств предназначен для развертывания на вычислительных ресурсах, предоставляемых Заказчиком в объеме, необходимом для обеспечения обработки запросов защищаемых ресурсов.
В процессе оказания Услуги Исполнителем осуществляется:
  • настройка процедуры анализа прикладных запросов к веб-приложению Потребителей услуг с целью выявления вредоносного поведения;
  • внесение корректив в процесс фильтрации трафика веб-приложения Потребителя услуг с целью снижения количества ложных срабатываний;
  • настройка индивидуального профиля защиты веб-приложения Потребителя услуг (в период первичной настройки индивидуального профиля защиты ресурс находится в режиме мониторинга трафика до двух недель, блокирование атак не производится; по итогу первичного профилирования включается режим блокирования атак);
  • корректировка индивидуальных профилей защиты в случае выявления некорректных срабатываний, изменения состава/функциональности веб-приложений или по запросу Заказчика;
  • выявление ложных срабатываний механизмов защиты.
В рамках оказания Исполнителем Услуги к анализу прикладных запросов предъявляются следующие требования:
  • блокировка векторов атак из перечня OWASP TOP 10 (Cross-site-scripting, Remote Code Execution, SQL Injection, XXE и др.);
  • защита от ботов с использованием JS-проверки, BOT-сигнатур, анализ поведения браузеров, CAPTCHA;
  • защита от атак на клиентов (Client-side Attacks) (CSP, CSRF injection);
  • защита от авторизации с помощью автоматической подстановки украденных регистрационных данных (Credential stuffing);
  • предотвращение подбора учетных записей.
При оказании услуги многоуровневой защиты веб-приложений от кибератак прикладного уровня Исполнитель осуществляет мониторинг и реагирование на инциденты работоспособности Услуги:
  • мониторинг работоспособности узлов фильтрации и личного кабинета WAF;
  • реагирование на выявленные по результатам мониторинга инциденты в режиме 24 на 7;
  • восстановление работоспособности WAF, нарушенной в результате инцидентов;
  • оповещение о произошедших инцидентах, повлекших перерыв или ухудшение качества работы WAF;
  • предоставление отчетов по зафиксированным инцидентам и обращениям в техническую службу Исполнителя по запросу Потребителя услуг или Заказчика.
По результатам отчетного периода Исполнитель формирует «Отчет об оказании услуг по защите платформы «ГосТех».
Отчет об оказании услуг по защите платформы «ГосТех» в части услуги многоуровневой защиты веб-приложений от кибератак прикладного уровня (услуга 3.2.1) содержит два раздела: «Результаты мониторинга» и «Результаты блокировки атак».
Раздел «Результаты мониторинга» содержит следующую информацию:
  • количество HTTP/HTTPS-запросов в секунду;
  • источники запросов с распределением на ботов и людей;
  • используемые версии протокола HTTP;
  • время ответа веб-приложения с распределением по временным диапазонам;
  • среднее значение уникальных посетителей с распределением на людей и ботов;
  • распределение запросов по используемым браузерам и операционным системам;
  • распределение по кодам ошибок от веб-приложения.
Раздел «Результаты блокировки атак» содержит следующую информацию:
  • общая статистика по количеству атак;
  • данные о всех атаках за отчетный период;
  • топ-20 типов атак;
  • топ-20 IP-адресов – источников атак;
  • топ-20 стран – источников атак;
  • топ-20 атакуемых доменов;
  • топ-20 атакуемых путей.
С целью начала пользования Услугой Потребитель услуг (при необходимости в сопровождении специалистов Исполнителя) либо Исполнитель самостоятельно (получив аутентификационную информацию от Потребителя услуг) осуществляет перевод трафика на предоставленные Исполнителем IP-адреса посредством корректировки DNS-записи типа А и привязки доменного имени приложения к выделенному Исполнителем IP-адресу.
Для снижения количества блокировок легитимных запросов после подключения услуги проводится профилирование, которое в среднем длится две недели. В этот период WAF работает в режиме мониторинга, исключая блокировки любых запросов. По завершении профилирования WAF переключается в режим блокировки атак. Полнота профилирования зависит от степени активности в части использования функциональных сценариев пользователями информационной системы в период его проведения. Также необходимость в дополнительном профилировании остается на всем протяжении жизненного цикла информационной системы в связи с выходом новых обновлений, предполагающих добавление новых типов запросов или изменения текущих.
Обработка исключений является частью штатного оказания Услуги и не способна привести к недоступности Услуги, при этом при возможности добавления исключения необходимо изменить конфигурацию сервиса. Исполнитель инициирует запрос на изменение и согласовывает с Заказчиком и Потребителем услуги план и время работ в соответствии с порядком, определенным Регламентами взаимодействия и эксплуатации. В ином случае обработка исключений выполняется в рамках запроса на обслуживание, иницируемого со стороны Потребителя услуг.
Оказание Услуги осуществляется в том числе с учетом организационных мер, зафиксированных в организационно-распорядительной документации Исполнителя «Инструкция привилегированных пользователей Технологической инфраструктуры (администратора, администратора ИБ) ЕЦП «ГосТех», Инструкция администратора ИБ ЕЦП «ГосТех» и пользователя КСЗИ ЕЦП «ГосТех».
СЗИ может являться источником событий для мониторинга защищенности и реагирования на инциденты информационной безопасности, реализуемого при заказе Услуги.

Состав оборудования и (или) ПО, обеспечивающих оказание Услуги

В состав программного обеспечения, обеспечивающего оказание Услуги, входят следующие компоненты из состава ПО BI.ZONE WAF:
  • балансировщик нагрузки, предназначенный для: – приема и балансировки входящих веб-запросов защищаемого веб-приложения; – приема и обработки TLS-соединений (за исключением криптографических алгоритмов, соответствующих ГОСТ);
  • узлы фильтрации, предназначенные для: – приема, анализа и доставки HTTP-запросов защищаемого веб-приложения; – выявления атак в проходящем трафике;
  • узлы постаналитики, предназначенные для постобработки веб-запросов защищаемого веб-приложения и для реализации отслеживания частотных методов детектирования аномалий;
  • БД Конфигурации, предназначенная для хранения данных о конфигурации защищаемых веб-приложений;
  • система хранения состояния кластера БД Конфигурации, предназначенная для хранения состояния кластера БД Конфигурации для обеспечения отказоустойчивости компонента;
  • БД Хранения данных атак, предназначенная для хранения данных об атаках, направленных на защищаемое веб-приложение;
  • БД Статистики, предназначенная для хранения статистики запросов и ответов защищаемого веб-приложения;
  • API, предназначенный для обеспечения взаимодействия компонентов системы с веб-интерфейсом управления программным изделием;
  • веб-интерфейс управления, предназначенный для управления программным изделием и мониторинга результатов обработки трафика;
  • сервисы для анализа репутации, представляющие собой БД репутации для анализа трафика на предмет перебора по известным учетным данным.
Все компоненты Услуги разворачиваются в отказоустойчивом исполнении, которое обеспечивается:
  • для балансировщика нагрузки – за счет кластеризации в режиме Active-Active с использованием VRRP;
  • для узлов фильтрации – за счет дублирования компонента в составе N+1, при этом значение N не может быть равно нулю или быть выражено отрицательным числом;
  • для узлов постаналитики – за счет кластеризации в режиме Active-Active с использованием VRR;
  • для БД Конфигурации – за счет резервного копирования данных;
  • для системы хранения состояния кластера БД Конфигурации – за счет кластеризации базы данных с использованием дополнительных компонентов Consul и Patroni;
  • для БД Хранения данных атак – за счет кластеризации БД с использованием распределения ролей на Master-ноды, Coordinator-ноды и Data-ноды;
  • для БД Статистики – за счет кластеризации базы данных;
  • для API – за счет кластеризации в режиме Active-Active с использованием VRRP;
  • для веб-интерфейса управления – за счет кластеризации в режиме Active-Active с использованием VRRP;
  • сервисы для анализа репутации – за счет кластеризации в режиме Active-Active с использованием VRRP.
Предыдущий раздел
Метрики и пороговые значения для мониторинга
Следующий раздел
Заказ Услуги
Была ли страница полезной?
© 2026 . Версия портала - 4.7
docs_gostech@sberbank.ru