WallarmRU changelog wallarm.ru

API Security

Your API inventory may contain thousands of endpoints. Some may handle sensitive data, and others may become targets of attack. In addition, your endpoints may have open vulnerabilities with different threat levels. And of course your API inventory is constantly and rapidly changing - new endpoints are added, existing endpoints are changed or removed. With such large amounts of data to assess, it can be difficult to focus on the endpoints issues that have the most significant impact your security posture.

To keep your applications safe, the Wallarm API Discovery provides the following data:

Which of your endpoints are attacked the most The Wallarm API Discovery module displays the number of malicious requests (hits) executed against your endpoints on a per-endpoint basis. You can triage your endpoints by filtering and sorting the list to find those that have been attacked the most.

Stay on top of your riskiest endpoints The Wallarm API Discovery module automatically calculates a risk score from 1 (low risk) to 10 (high risk) for each endpoint in your API inventory. The risk score criteria includes: the presence of sensitive data, the number of parameters passed to the endpoint, etc. This score enables you to understand which endpoints are most likely to be an attack target and therefore should be the focus of your security efforts. For example, an endpoint that handles sensitive data and can be the target of a BOLA attack would have a higher risk score than an endpoint that simply passed an JSON object with several parameters.

You can find more detailed information about these features in our documentation.

New

We are pleased to announce the release of Wallarm node 4.4

Here is a list of the main features which will be available when you upgrade to the latest Wallarm node version:

Checking JSON Web Token strength

JSON Web Token (JWT) is one of the most popular authentication methods. Unfortunately, JWTs may contain many weaknesses which might be missed or forgotten about during development. Any of these will allow attackers access to your application, for example, with administrator rights.

Wallarm node now detects weaknesses in JWTs and records the corresponding vulnerabilities when:

• JWT is not signed
• JWT is signed using a compromised key

Libdetection library enabled by default

Wallarm introduced a fully grammar-based attack detection library libdetection a few years back and since then commited to improve and enhance it. First introduced as a feature for the power-users, it's then became available for everyone.

Starting node 4.4 it's by default enabled for all the customers. This is a major improvement as our core thing of getting the most accurate attack detection, with near-zero false positives. Focus on what matters, don't waste time on the tuning - we back you up.

Supported installation options

• Added support for Ubuntu 22.04 LTS (jammy)
• Dropped support for Debian 10.x (buster) for Wallarm to be installed as the module for either NGINX stable or NGINX Plus

More

Wallarm node 4.4 incorporates dozens of other improvements. A more detailed changelog and instructions on safe upgrade from previous versions are published in the official documentation.

If you have any questions, feel free to contact our support team at support@wallarm.com

New

Валарм предоставляет расширенную интеграцию со Splunk c помощью приложения! Приложение позволяет организовать данные, полученные от Валарм, в виде дашборда.

Поддержка нативных интеграций с различными инструментами DevOps и SecOps — одна из приоритетных задач в Валарм. Среди доступных интеграций уже представлено множество популярных инструментов, один из которых — Splunk.

Приложение Валарм для Splunk — это приложение для сервиса Splunk Enterprise и Splunk Cloud. Интеграция Валарм со Splunk позволяет:

• Получать и анализировать данные о вредоносных запросах к вашим приложениям
• Анализировать уязвимости, найденные в приложениях
• Получать оповещения о событиях, на которые настроены триггеры Валарм
• Получать оповещения о событиях сервиса Валарм, таких как добавление новой учетной записи в личный кабинет Валарм, изменение настроек интеграции со сторонним сервисом и т. д.

С приложением Валарм анализ данных, переданных в Splunk, станет еще проще. Вы можете установить приложение Валарм для Splunk из официальной библиотеки приложений Splunk.

Более подробное описание вы можете найти в документации Валарм.

New

Иногда анализировать атаки, инциденты и уязвимости, обнаруженные Валарм, удобнее вместе с остальными логами вашего приложения. Или вам может понабиться список индикаторов компрометации (IoC) из обнаруженных атак и инцидентов – это могут быть IP-адреса злоумышленников, векторы атак (вредоносные пэйлоады) и т. д. Эти индикаторы необходимы при проведении расследования инцидента безопасности.

Для этих и других подобных сценариев вы можете получить отчет с атаками, инцидентами и уязвимостями в формате CSV. Выполните поисковый запрос для получения нужных событий и запросите отчет с ними в формате CSV. Сформированный отчет будет отправлен на ваш адрес электронной почты.

Более подробное описание вы можете найти в документации Валарм.

New

Правила Валарм — один из важнейших механизмов, с помощью которых решение Валарм адаптируется к вашим приложениям. Поэтому надежность правил - один из ключевых показателей платформы. Новая опция резервного копирования правил позволяет избежать случайной потери данных за счет создания их регулярных копий.

Вам доступны два типа резервных копий правил:

• Резервные копии, которые создаются автоматически при любом изменении набора правил.

• Резервные копии, которые вы создаете вручную.

Управление резервными копиями осуществляется в разделе Правила в Консоли управления Валарм. Вы можете создать новую резервную копию правил в любое время или восстановить набор правил из созданной копии.

Более подробное описание вы можете найти в документации Валарм.

New

Новые виджеты дашборда упрощают анализ критических уязвимостей вашей системы и выявление слабых мест:

• Виджет CVE позволяет посмотреть, какие уязвимости пытаются эксплуатировать злоумышленники при атаках на вашу инфраструктуру, оценить их влияние и при необходимости сформировать меры защиты.

• С помощью виджета Аутентификация вы можете посмотреть, какие протоколы аутентификации являются мишенью для злоумышленников и выявить слабые места или скомпрометированные учетные данные на основе этой информации.

Более подробное описание вы можете найти в документации Валарм.

New

Мы ради анонсировать релиз Sidecar-прокси Валарм 2.0!

Sidecar-прокси Валарм 2.0 – стабильное, безопасное и масштабируемое решение для защиты приложений, развернутых в подах Kubernetes. В этом релизе мы “переосмыслили” предыдущее аналогичное решение, учитывая новые возможности Kubernetes и накопленный пользовательский опыт.

Ключевые возможности решения Sidecar-прокси Валарм 2.0:

• Встраивается в под K8s автоматически
• Формат деплоя и настройки решения аналогичен приложениям, что упрощает внедрение защиты для отдельных микросервисов, реплик и shard'ов
• Минимальная настройка решения — достаточно задать несколько аннотации и меток поду с приложением, чтобы его защитить
• Поддерживает все возможности последней версии ноды Валарм 4.2

Если вы используете предыдущее решение Sidecar-прокси Валарм, рекомендуем заменить его на новое. По всем вопросам о миграции на новую версию решения Sidecar-прокси Валарм можно обратиться в техническую поддержку Валарм.

Если вы выбираете решение для защиты приложений, развернутых в подах K8s, Sidecar-прокси Валарм – одна из наиболее подходящих опций, так же, как и Ingress-контроллер Валарм. Подробнее о решении Sidecar-прокси Валарм

Мы поддерживаем и множество других способов установки, например: DEB- и RPM-пакеты, облачные платформы, Docker-образы и другие. Вы можете ознакомиться с набором всех способов в документации Валарм.

Служба поддержки поможет ответить на все возникшие вопросы — support@wallarm.com.

API Security

Мы рады поделиться последними результатами работы над качеством обнаружения атак и уязвимостей!

Чтобы снизить количество ложных срабатываний при поиске уязвимостей, мы сделали рефакторинг следующих правил Сканера Валарм:

• Основных правил для поиска уязвимостей типа SQLi, это также позволило покрыть больше типов обфускации
• Правил обнаружения уязвимостей типа XSS

Набор правил для обнаружения атак стал еще шире и точнее:

• Новые правила для обнаружения атак типа Path Traversal, а именно – попыток атак Tomcat через маппинг обратного прокси
• Новые правила для обнаружения загрузки Web-Shell

Все изменения уже поддерживаются компонентами Валарм. Дополнительная настройка продукта не требуется.

New

В Валарм доступна нативная интеграция с Datadog! Datadog — это популярная SaaS-платформа для анализа динамических данных.

Поддержка нативных интеграций с различными инструментами DevOps и SecOps — одна из приоритетных задач в Валарм. Среди доступных интеграций уже представлено множество популярных инструментов, один из которых — Datadog.

Эта интеграция позволяет вам анализировать и обрабатывать события Валарм вместе с данными от других ваших сервисов и продуктов в Datadog. Таким образом, вы будете иметь полную картину того, что происходит в вашей инфраструктуре.

Более подробное описание вы можете найти в документации Валарм.

New

Мы рады сообщить о выпуске ноды Валарм версии 4.2!

С обновлением до последней версии ноды Валарм вам будут доступны новые возможности:

Защита от IDOR/BOLA

Broken Object Level Authorization (BOLA), также известная как Insecure Direct Object References (or IDOR), стала одной из самых распространенных уязвимостей API. В приложениях с уязвимостью IDOR/BOLA существует большая вероятность того, что конфиденциальная информация будут раскрыта злоумышленникам. Чтобы проэксплуатировать уязвимость, злоумышленнику достаточно подобрать реальный идентификатор какого-либо объекта и обратиться к нему через API. Отсутствие или некорректная проверка прав пользователя позволяет злоумышленникам получить доступ к запрашиваемому объекту и прочитать/изменить его данные. Целью атаки может стать любой эндпоинт API, который принимает идентификатор объекта.

Чтобы предотвратить эксплуатацию этой уязвимости, нода Валарм 4.2 поддерживает новый триггер, который вы можете использовать для защиты своих эндпоинтов от BOLA-атаки. Триггер отслеживает количество запросов к указанному эндпоинту и регистрирует BOLA-атаки при превышении пороговых значений, указанных в триггере.

Проверка JSON Web Token на наличие атак

JSON Web Token (JWT) является одним из самых распространенных методов аутентификации, что делает его популярным инструментом для реализации атак (например, SQLi или RCE). К тому же, данные в JWT кодируются, поэтому находить атаки в его значении может быть сложно.

Нода Валарм 4.2 находит JWT в любом элементе запроса, декодирует его и блокирует попытки атаки с помощью этого метода аутентификации. События о таких атаках отображаются в Консоли Валарм наряду с другими атаками.

Также, начиная с ноды Валарм 4.2:

• Прекращена поддержка дистрибутивов для операционных систем CentOS 6 и Debian 9. Нода Валарм 4.0 и ниже по-прежнему поддерживает эти операционные системы.

• Логика работы черного списка IP-адресов соответствует стандартному поведению такого типа списков. Теперь нода Валарм не анализирует запросы с заблокированных IP, а сразу блокирует их в любом режиме фильтрации. Для реализации этой логики директива wallarm_acl_access_phase имеет значение on по умолчанию.

Новый релиз содержит и ряд других улучшений. Подробное описание всех изменений, а также инструкции по безопасной миграции на новую версию приведены в официальной документации.

Служба поддержки поможет ответить на все возникшие вопросы — support@wallarm.com