WAAP(웹 애플리케이션 및 API 보호)란?

웹 애플리케이션 및 API 보호(WAAP)는 ZEVENET 보안 제품인 웹 애플리케이션 방화벽(WAF)의 점진적인 발전입니다. WAAP는 기존 WAF와 동일한 기능을 제공하지만 웹 애플리케이션 외에 API도 보호합니다.

클라우드 서비스와 SaaS(Software as a Service)의 진화로 다양한 환경 통합의 필요성이 대두되면서 API 사용이 고도화되어 이러한 모든 서비스를 조율하는 최상의 솔루션을 제공합니다. 이 기능은 공공 서비스를 포함하는 네트워크의 가장자리에 WAAP를 배포하거나 ADC와 동일한 환경에서 구성할 수 있으므로 WAF보다 WAAP를 더 발전시킵니다.

따라서 ZEVENET ADC와 WAAP가 함께 작동하여 애플리케이션을 제공하기 전에 웹 애플리케이션 및 API를 보호하는 곳입니다.

WAAP가 필요한 이유

API와 Web Application은 인터넷상에서 쉽게 접근할 수 있기 때문에 민감한 데이터가 노출되기 때문에 보안이 매우 중요합니다. 공격자는 개인 정보를 얻기 위해 보안 위반을 일으킬 수 있습니다. 따라서 기존 웹 보안은 다음 작업을 처리하지 못하므로 WAAP가 필요합니다.

서명 일치는 애플리케이션 보안에 충분하지 않습니다.
웹 애플리케이션 및 API의 콘텐츠는 지속적으로 변화하고 있습니다. 따라서 콘텐츠의 서명을 얻기가 어렵습니다. 웹 게시 콘텐츠 및 API는 계속 변경되므로 시스템에 지속적인 학습이 필요합니다.

소스 IP 또는 대상 포트를 기반으로 트래픽을 차단하는 것만으로는 충분하지 않습니다.
기존 방화벽은 IP와 포트를 차단하지만 이 정보는 일반적으로 암호화됩니다. 콘텐츠를 해독하고 분석하고 다시 암호화하는 메커니즘이 중요합니다. 우리는 TLS 메커니즘을 사용하므로 WAAP는 더 높은 수준의 보안을 제공할 수 있습니다.

HTTP(S) 트래픽은 현재 가장 많이 사용되며 분석에 복잡성을 제공할 수 있습니다. 대부분의 웹 트래픽은 OSI 모델의 레이어 7 프로토콜 HTTP(S)로 향하므로 80년대부터 현재까지 사용되는 최신 프로토콜. 이것은 보안 솔루션이 IPS 또는 IDS 메커니즘을 사용할 뿐만 아니라 OSI 모델의 상위 계층, HTTP 및 HTTPS와 같은 계층 7 프로토콜에 대한 공격으로부터 보호할 수 있도록 합니다.

WAAP가 제공할 수 있는 기능 중 기존 WAF가 제공할 수 없는 기능

WAAP는 기존 WAF가 제공할 수 없는 엄청난 기능을 제공합니다.

자동화 및 학습: WAAP는 ADC 내에 통합된 살아 있는 요소입니다. 이 보안 기능은 DoS 감지, 봇 감지, 프로토콜 보호 및 적용과 같은 메커니즘을 사용하여 정보를 수신하고 지속적으로 학습합니다. WAAP 엔진에는 INPUT 데이터를 수신하기 위한 채널이 필요합니다. 여기서 WAAP 엔진은 지속적으로 새로운 정보를 수신하고 수신된 정보를 처리 및 검사된 데이터와 비교합니다.

보안 API 및 마이크로서비스: 엔지니어는 매일 API와 마이크로서비스를 구축하여 공공 서비스를 제공합니다. WAAP는 노출된 정보를 고려하여 이러한 엔드포인트를 보호해야 합니다.

ZEVENET이 WAAP로 작동하는 방식

ZEVENET ADC에는 IPDS(침입 방지 및 탐지 시스템)라는 사이버 보안 모듈이 포함되어 있습니다. 이 모듈은 WEB 및 API에 대한 WAAP 기능, 자동화 및 학습을 제공합니다. ZEVENET에는 zevenet-ipds라는 패키지가 포함되어 있으며 이 패키지는 매일 업데이트됩니다. 이 패키지에는 웹 애플리케이션 및 API 보호를 위한 4개 이상의 메커니즘이 있습니다. 속성은 다음과 같습니다.

차단 목록 규칙

차단 목록은 아래에 설명된 대로 지리적 위치 및 다양한 소스를 기반으로 트래픽을 그룹화하기 위한 보안 메커니즘의 일부입니다.

geo_*: 이러한 차단 목록에는 국가별 IP 및 네트워크가 포함됩니다.
TOR_노드: 이 차단 목록은 TOR 프로젝트에서 가져온 것입니다. 여기에서 TOR 트래픽이 인터넷에 게시되는 소스 IP를 찾을 수 있습니다.
웹 익스플로잇: 소스 목록의 구성원은 웹 익스플로러로 식별되었습니다. 이러한 공격자는 취약점을 찾기 위해 웹 서버에 대해 여러 요청을 실행하려고 시도했습니다.
ssh_bruteforce: 포함된 소스는 ssh 공격 서버의 사용자와 암호를 얻기 위해 무차별 대입 기법을 사용하는 ssh 공격자 목록입니다.
스파이웨어: 포함된 소스는 악성 스파이웨어 및 애드웨어 IP 주소 범위 목록입니다.
대리: TOR 및 기타 공개 프록시를 포함합니다.
mail_spammer: 포함된 소스는 스팸 발송이 감지된 IP를 기반으로 한 목록입니다.
bad_peers: 포함된 출처는 p2p에서의 악행 제보를 바탕으로 한 목록입니다.
wordpress_list: Brute-Force 로그인으로 Joomla, WordPress 및 기타 웹 로그인을 공격하는 모든 IP.
Private_networks: 포함된 소스는 인터넷에서 라우팅할 수 없는 모든 IPv4 소스 주소를 기반으로 한 목록입니다.
메일 목록: 지난 48시간 이내에 서비스 Mail, Postfix에 대한 공격이 실행된 것으로 보고된 모든 IP 주소입니다.
ssh_list: 지난 48시간 동안 서비스 SSH에 대한 공격을 실행한 것으로 보고된 모든 IP 주소입니다.
ftp_list: 최근 48시간 이내에 서비스 FTP에 대한 공격이 보고된 모든 IP 주소입니다.
apache_list: 지난 48시간 이내에 Apache, Apache-DDOS, RFI-Attacks 서비스에 대한 공격을 실행한 것으로 보고된 모든 IP 주소
CIArmy: 여기에 포함된 소스는 CIArmy 프로젝트에서 제공합니다. 본 프로젝트는 인터넷 주변의 센티넬 그룹을 기반으로 트래픽을 분석하여 얻은 데이터 소스를 제공합니다.
보곤: 여기에 포함된 출처는 예약되었지만 아직 인터넷에 의해 할당되거나 위임되지 않은 IP 주소 공간 영역에서 온 것이라고 주장합니다.

DOS 규칙

서비스 거부 완화는 엄청난 양의 불법 요청으로 인해 서비스를 사용할 수 없게 만드는 공격의 영향을 보호하거나 줄이기 위한 일련의 규칙입니다. ZEVENET IPDS 엔진에는 웹 애플리케이션 및 API에 대한 DoS 보호를 수행하는 다양한 기술이 포함되어 있습니다.

이러한 규칙은 아래에 설명되어 있습니다.

가짜 TCP 플래그:
모든 TCP 트래픽에서 TCP 패킷은 알려진 흐름을 따릅니다. BOGUS TCP 공격은 TCP 흐름이 예상되는 TCP 경로를 따르지 않는 공격입니다. 예를 들어 패킷이 SYN-ACK 경로 대신 예상치 못한 SYN-FIN 경로를 따를 수 있습니다. ZEVENET은 TCP 흐름을 모니터링하고 제어합니다. 예기치 않은 패킷이 수신되면 ZEVENET이 패킷을 삭제합니다.

소스 IP당 총 연결 제한:
ZEVENET은 초당 요청 수를 기준으로 소스 제한을 적용하고 소스 IP당 제한에 도달하면 ZEVENET은 들어오는 패킷을 삭제합니다.

초당 RST 패킷 제한:
이것은 공격자가 TCP 소켓을 열려고 시도하고 TCP 응답 패킷을 수신하면 공격자가 TCP RST 패킷을 호스트로 보내는 일반적인 DoS 공격입니다.

초당 연결 제한:
ZEVENET은 초당 요청 수에 따라 대상 제한을 적용합니다. 대상 IP 당 제한에 도달하면 ZEVENET은 들어오는 패킷을 삭제합니다.

RBL 규칙

실시간 블랙홀 목록은 스팸 발송자로부터 보호하기 위해 메일 서버에서 사용하는 보안 시스템입니다. 메일 서버가 연결을 수신하면 소스 IP를 캡처하고 알려진 DNS 서버에 대해 확인을 시도합니다. DNS 확인이 작동하면 소스 IP 주소가 공격자로 감지됩니다.

ZEVENET은 이 보안 메커니즘을 발전시켜 특정 흐름에서 모든 소스 IP를 캡처하고 DNS 영역에 대해 소스 IP를 확인하려고 시도할 수 있습니다. 각 DNS 영역은 서로 다른 동작을 기반으로 소스 IP를 확인하며 이러한 영역은 아래에 설명되어 있습니다.

지역 all.rbl.zevenet.com: 소스 IP는 rbl.zevenet.com에 포함된 모든 하위 영역에 대해 해결을 시도합니다.
지역 apache.rbl.zevenet.com: 이 하위 영역에 포함된 소스는 Apache 호스트에 대한 공격자를 참조합니다.
지역 별표.rbl.zevenet.com: 이 하위 영역에 포함된 소스는 Asterisk 호스트에 대한 공격자를 참조합니다.
지역 bruteforcelogin.rbl.zevenet.com: 이 하위 영역에 포함된 소스는 무차별 대입 메커니즘을 사용하여 다양한 호스트 서비스에 대한 사용자 및 암호를 얻으려고 시도한 공격자를 참조합니다.
지역 ftp.rbl.zevenet.com: 이 하위 영역에 포함된 소스는 FTP 호스트에 대한 공격자를 참조합니다.
지역 mysql.rbl.zevenet.com: 이 하위 영역에 포함된 소스는 Mysql 호스트에 대한 공격자를 참조합니다.
지역 ssh.rbl.zevenet.com: 이 하위 영역에 포함된 소스는 SSH 호스트에 대한 공격자를 참조합니다.
지역 webmin.rbl.zevenet.com: 이 하위 영역에 포함된 소스는 Webmin 웹 애플리케이션에 대한 공격자를 참조합니다.
지역 apacheddos.rbl.zevenet.com: 이 하위 영역에 포함된 소스는 분산 서비스 거부 메커니즘을 사용하여 웹 서버인 Apache에 대한 공격자를 참조합니다.
지역 mail.rbl.zevenet.com: 이 하위 영역에 포함된 소스는 메일 호스트에 대한 공격자를 참조합니다.

WAF 규칙

ZEVENET은 두 가지 방법으로 HTTP(S) 트래픽을 검사합니다.

1 - OWASP 규칙 세트(Open Web Application Security Project)를 기반으로 미리 정의된 규칙 사용. ZEVENET 6에 포함된 규칙 세트는 OWASP Core Rule Set 버전 4를 기반으로 합니다. 이 규칙은 매일 업데이트됩니다. OWASP 규칙 세트에서 변경 사항이 발생하면 다음 IPDS 패키지 업데이트에 변경 사항이 포함됩니다.

2 – 타사 공급업체에서 얻은 규칙 또는 당사 고객인 귀하가 설계한 사용자 정의 규칙을 사용합니다. ZEVENET은 타사 규칙 세트에 ModSecurity 엔진 지원을 사용하거나 dissector HTTP 언어를 기반으로 자신의 규칙을 만듭니다.

기본적으로 ZEVENET IPDS에는 다음 공격에 대한 보안 패킷이 포함되어 있습니다.

SQL 주입 (SQLi)
사이트 간 스크립팅 (XSS)
로컬 파일 포함(LFI)
RFI(원격 파일 포함)
PHP/Java/Ruby/Perl 코드 삽입
Shellshock
유닉스 쉘 주입
세션 고정
스크립팅/스캐너/봇 감지

ZEVENET 6의 규칙 세트에는 다음이 포함됩니다.

REQUEST-905-공통 예외
이러한 규칙은 발생할 수 있는 일반적인 가양성을 제거하기 위한 예외 메커니즘으로 사용됩니다.
요청-911-방법-시행
허용된 요청 방법.
REQUEST-913-스캐너 감지
크롤러, 봇, 스크립트 등과 같은 스캐너를 확인합니다.
요청-920-프로토콜-시행
다수의 애플리케이션 계층 공격을 제거하는 HTTP 요청을 검증합니다.
REQUEST-921-프로토콜 공격
프로토콜 공격을 확인합니다.
요청-930-애플리케이션-공격-LFI
LFI(Local File Inclusion)를 사용하여 애플리케이션 공격을 확인합니다.
요청-931-애플리케이션-공격-RFI
RFI(원격 파일 포함)를 사용하여 애플리케이션 공격을 확인합니다.
REQUEST-932-애플리케이션-공격-RCE
원격 코드 실행(RCE)을 사용하여 애플리케이션 공격을 확인합니다.
REQUEST-933-애플리케이션-공격-PHP
PHP를 사용하여 애플리케이션 공격을 확인합니다.
REQUEST-934-애플리케이션-공격-일반
Node.js, Ruby 및 Perl을 사용하여 애플리케이션 공격을 확인합니다.
요청-941-애플리케이션-공격-XSS
XSS를 사용하여 애플리케이션 공격을 확인합니다.
REQUEST-942-APPLICATION-ATTACK-SQLI
Sql 주입을 사용하여 애플리케이션 공격을 확인합니다.
REQUEST-943-애플리케이션-공격-세션-고정
세션 고정을 사용하여 애플리케이션 공격을 확인합니다.
REQUEST-944-APPLICATION-ATTACK-JAVA.
Java를 사용한 애플리케이션 공격을 확인합니다.

IPDS 엔진은 웹 애플리케이션 및 API 보호를 위한 위협 인텔리전스 메커니즘입니다. 엔진의 핵심으로 작동하는 zevenet-ipds 패킷을 통해 매일 업데이트되어 이 엔진을 ZEVENET 규칙 및 고객이 사용자 정의한 규칙으로 업데이트합니다.

이 zevenet-ipds 핵심 규칙 세트는 타사 데이터 교차, 감시 로그 분석 또는 개인 정보에 대한 빅 데이터 분석과 같은 이러한 보안 규칙을 생성하기 위한 다양한 메커니즘을 사용합니다. ZEVENET IPDS 핵심 규칙 세트에 일부 소스 IP 또는 규칙이 오 탐지로 포함되어 있음을 확인한 경우 당사에 연락하면 가능한 한 빨리 문제를 해결해 드리겠습니다.