ИДС/IPS

IDPS означает, что вы хотите обнаруживать вторжения и защищаться от вторжений. В большинстве случаев проводится различие между IDS (пассивная система обнаружения вторжений) и IPS (активная система предотвращения вторжений).

WAF (брандмауэр веб-приложений)

WAF (https://en.wikipedia.org/wiki/Web_application_firewall) — это технология, созданная в 1990-х годах.

Что это такое? Обратный прокси-сервер HTTP, который анализирует проходящие через него полезные данные HTTP.

Примеры: ModSecurity, популярный модуль Apache или Nginx, CloudFlare, Fortinet...

Как это работает? WAF будет обнаруживать и/или блокировать атаки на основе шаблонов, статистического анализа и алгоритмов, таких как libinjection. WAF может реализовать полезную защиту от атак типа «отказ в обслуживании», поскольку они расположены в сети — перед приложением.

Неудобство: из-за небольшого количества информации, которую они используют для принятия мер, WAF обычно страдает от ложных срабатываний (они блокируют законные атаки или предупреждают вас о законных атаках).

RASP (защита приложений во время выполнения)

RASP (пока нет страницы в Википедии) — гораздо более современный метод защиты.

Что это такое? Библиотека или SDK, встроенная в код вашего приложения.

Примеры: Sqreen, Prevoty, Checkmarx, Contrast Security, ...

Как это работает? RASP изменяет поведение приложения во время выполнения (например, он будет проверять наличие межсайтовых сценариев только при отображении страницы, а не при любом входящем HTTP-запросе). Он может делать все, что может делать WAF (поскольку он также имеет доступ к входящему HTTP-запросу), но также может использовать более сложные алгоритмы (https://blog.sqreen.io/block-sql-injections).-not-customers/), поскольку он имеет доступ к контексту любой библиотеки, используемой приложение. Это делает ноль ложных срабатываний.

Неудобно: RASP не может защитить веб-приложения от атак типа "отказ в обслуживании".