WallarmRU changelog
WallarmRU changelog
wallarm.ru

Резервное копирование правил для большей надежности

 

New

  

Правила Валарм — один из важнейших механизмов, с помощью которых решение Валарм адаптируется к вашим приложениям. Поэтому надежность правил - один из ключевых показателей платформы. Новая опция резервного копирования правил позволяет избежать случайной потери данных за счет создания их регулярных копий.

image.png

Вам доступны два типа резервных копий правил:

  • Резервные копии, которые создаются автоматически при любом изменении набора правил.

  • Резервные копии, которые вы создаете вручную.

Управление резервными копиями осуществляется в разделе Правила в Консоли управления Валарм. Вы можете создать новую резервную копию правил в любое время или восстановить набор правил из созданной копии.

Более подробное описание вы можете найти в документации Валарм.

Анализируйте и сокращайте поверхность атак

 

New

  

Новые виджеты дашборда упрощают анализ критических уязвимостей вашей системы и выявление слабых мест:

  • Виджет CVE позволяет посмотреть, какие уязвимости пытаются эксплуатировать злоумышленники при атаках на вашу инфраструктуру, оценить их влияние и при необходимости сформировать меры защиты.

image.png

  • С помощью виджета Аутентификация вы можете посмотреть, какие протоколы аутентификации являются мишенью для злоумышленников и выявить слабые места или скомпрометированные учетные данные на основе этой информации.

image.png

Более подробное описание вы можете найти в документации Валарм.

Обновленное решение Sidecar-прокси Валарм

 

New

  

1200x628.png

Мы ради анонсировать релиз Sidecar-прокси Валарм 2.0!

Sidecar-прокси Валарм 2.0 – стабильное, безопасное и масштабируемое решение для защиты приложений, развернутых в подах Kubernetes. В этом релизе мы “переосмыслили” предыдущее аналогичное решение, учитывая новые возможности Kubernetes и накопленный пользовательский опыт.

Ключевые возможности решения Sidecar-прокси Валарм 2.0:

  • Встраивается в под K8s автоматически
  • Формат деплоя и настройки решения аналогичен приложениям, что упрощает внедрение защиты для отдельных микросервисов, реплик и shard'ов
  • Минимальная настройка решения — достаточно задать несколько аннотации и меток поду с приложением, чтобы его защитить
  • Поддерживает все возможности последней версии ноды Валарм 4.2

Если вы используете предыдущее решение Sidecar-прокси Валарм, рекомендуем заменить его на новое. По всем вопросам о миграции на новую версию решения Sidecar-прокси Валарм можно обратиться в техническую поддержку Валарм.

Если вы выбираете решение для защиты приложений, развернутых в подах K8s, Sidecar-прокси Валарм – одна из наиболее подходящих опций, так же, как и Ingress-контроллер Валарм. Подробнее о решении Sidecar-прокси Валарм

Мы поддерживаем и множество других способов установки, например: DEB- и RPM-пакеты, облачные платформы, Docker-образы и другие. Вы можете ознакомиться с набором всех способов в документации Валарм.

Служба поддержки поможет ответить на все возникшие вопросы — support@wallarm.com.

Новости от команды детекта Валарм (Август 2022)

 

API Security

  

new-detects.png

Мы рады поделиться последними результатами работы над качеством обнаружения атак и уязвимостей!

Чтобы снизить количество ложных срабатываний при поиске уязвимостей, мы сделали рефакторинг следующих правил Сканера Валарм:

  • Основных правил для поиска уязвимостей типа SQLi, это также позволило покрыть больше типов обфускации
  • Правил обнаружения уязвимостей типа XSS

Набор правил для обнаружения атак стал еще шире и точнее:

  • Новые правила для обнаружения атак типа Path Traversal, а именно – попыток атак Tomcat через маппинг обратного прокси
  • Новые правила для обнаружения загрузки Web-Shell

Все изменения уже поддерживаются компонентами Валарм. Дополнительная настройка продукта не требуется.

Нативная интеграция с Datadog

 

New

  

image.png

В Валарм доступна нативная интеграция с Datadog! Datadog — это популярная SaaS-платформа для анализа динамических данных.

Поддержка нативных интеграций с различными инструментами DevOps и SecOps — одна из приоритетных задач в Валарм. Среди доступных интеграций уже представлено множество популярных инструментов, один из которых — Datadog.

Эта интеграция позволяет вам анализировать и обрабатывать события Валарм вместе с данными от других ваших сервисов и продуктов в Datadog. Таким образом, вы будете иметь полную картину того, что происходит в вашей инфраструктуре.

Более подробное описание вы можете найти в документации Валарм.

Нода Валарм 4.2 - защита от BOLA и обнаружение вредоносных JWT

 

New

  

image.png

Мы рады сообщить о выпуске ноды Валарм версии 4.2!

С обновлением до последней версии ноды Валарм вам будут доступны новые возможности:

Защита от IDOR/BOLA

Broken Object Level Authorization (BOLA), также известная как Insecure Direct Object References (or IDOR), стала одной из самых распространенных уязвимостей API. В приложениях с уязвимостью IDOR/BOLA существует большая вероятность того, что конфиденциальная информация будут раскрыта злоумышленникам. Чтобы проэксплуатировать уязвимость, злоумышленнику достаточно подобрать реальный идентификатор какого-либо объекта и обратиться к нему через API. Отсутствие или некорректная проверка прав пользователя позволяет злоумышленникам получить доступ к запрашиваемому объекту и прочитать/изменить его данные. Целью атаки может стать любой эндпоинт API, который принимает идентификатор объекта.

Чтобы предотвратить эксплуатацию этой уязвимости, нода Валарм 4.2 поддерживает новый триггер, который вы можете использовать для защиты своих эндпоинтов от BOLA-атаки. Триггер отслеживает количество запросов к указанному эндпоинту и регистрирует BOLA-атаки при превышении пороговых значений, указанных в триггере.

Проверка JSON Web Token на наличие атак

JSON Web Token (JWT) является одним из самых распространенных методов аутентификации, что делает его популярным инструментом для реализации атак (например, SQLi или RCE). К тому же, данные в JWT кодируются, поэтому находить атаки в его значении может быть сложно.

Нода Валарм 4.2 находит JWT в любом элементе запроса, декодирует его и блокирует попытки атаки с помощью этого метода аутентификации. События о таких атаках отображаются в Консоли Валарм наряду с другими атаками.

Также, начиная с ноды Валарм 4.2:

  • Прекращена поддержка дистрибутивов для операционных систем CentOS 6 и Debian 9. Нода Валарм 4.0 и ниже по-прежнему поддерживает эти операционные системы.

  • Логика работы черного списка IP-адресов соответствует стандартному поведению такого типа списков. Теперь нода Валарм не анализирует запросы с заблокированных IP, а сразу блокирует их в любом режиме фильтрации. Для реализации этой логики директива wallarm_acl_access_phase имеет значение on по умолчанию.

Новый релиз содержит и ряд других улучшений. Подробное описание всех изменений, а также инструкции по безопасной миграции на новую версию приведены в официальной документации.

Служба поддержки поможет ответить на все возникшие вопросы — support@wallarm.com

Работайте со своими внешними и внутренними API по отдельности

 

New

  

Для защиты ваших API необходима ясная картина их структуры, используемых ими ресурсов и способов взаимодействия с ними пользователей и приложений.

Теперь эта картина становится более полной: модуль Обнаружения API автоматически определяет, какие хосты API доступны из внешней сети, а какие только из внутренней. Это позволяет более эффективно анализировать структуру вашего API, так как для работы с внутренними и внешними ресурсами могут применяться разные сценарии и подходы.

image.png

Более подробное описание вы можете найти в документации Валарм.

Будьте в курсе изменений в вашем API

 

New

  

API как живой организм, в нём постоянно происходят различные изменения. И крайне важно быть в курсе таких изменений, так как они могут иметь серьёзные последствия для безопасности всего вашего решения. К примеру в один из эндпоинтов начали передавать PII, либо у вас появился новый неизвестный эндпоинт, которые может быть Shadow API.

Теперь вы можете решить эту проблему с помощью модуля Обнаружение API от Валарм. Модуль непрерывно отслеживает изменения, которые происходят в вашем API и отображает их в Консоли управления Валарм:

  • Какие эндпоинты появились в структуре API
  • Какие эндпоинты больше не вызываются и исключены из структуры
  • Какие изменения произошли в эндпоинтах

image.png

Более подробное описание вы можете найти в документации Валарм.

Улучшена видимость API-угроз

 

New

  

Мы изменили наши дашборды чтобы упростить анализ вредоносного трафика и определение критичных векторов атаки:

  • Новый виджет Протоколы API повышает информированность об используемых в системе протоколах и связанных с ними атаках. С помощью данного виджета вы можете обнаружить появление новых, не согласованных к использованию протоколов, или отследить существенное изменение в количестве атак. При необходимости вы можете перейти из виджета на вкладку События для анализа деталей по атакам на выбранный протокол.

image.png

  • Виджеты Источники атак и Цели атак теперь располагаются более компактно, что позволяет проще анализировать расположение источников угроз и ресурсы, на которые эти угрозы направлены. В виджет “Цели атак” добавлена возможность просмотра статистики атак по доменам, что упрощает анализ угроз в случае если у вас не были настроены приложения.

image.png

Более подробное описание вы можете найти в документации Валарм.

Обновление статуса уязвимости Spring Data MongoDB SpEL Expression Injection (CVE-2022-22980)

 

API Security

  

Обзор

20 июня 2022 Spring опубликовал версии Spring Data MongoDB 3.4.1 и 3.3.5 для митигации следующей критической уязвимости:

CVE-2022-22980, уязвимость Spring Data MongoDB SpEL Expression injection в методах запроса к репозиторию.

Наличие данной уязвимости было анонсировано 13 июня 2022.

Уязвимость Spring Data MongoDB SpEL Expression injection

Эта уязвимость содержится в приложениях Spring Data MongoDB, в которых методы запроса к репозиторию имеют аннотацию @Query или @Aggregation и которые используют параметризованные операторы SpEL. Для эксплуатации уязвимости используются методы запроса к репозиторию, в которых не происходит валидация входных данных.

Обновления Валарм

Мы протестировали обнаружение Валарм атак на основе известного эксплойта и подтвердили, что попытки вторжения успешно обнаруживаются и блокируются. Никаких дальнейших действий с вашей стороны не требуется.

Для устранения уязвимости при работе Валарм в режиме мониторинга рекомендуется создать правило типа virtual patch.

Пожалуйста, обращайтесь по адресу support@wallarm.com, если вам нужна помощь.