Кибердом подвел итоги первого независимого тестирования российских систем класса Web Application Firewall

.



Центр по развитию информационной безопасности Кибердом опубликовал результаты независимого тестирования WAF‑продуктов. Цель проекта — поддержка импортозамещения ключевых средств ИБ в России, стимулирование совершенствования ИБ‑продуктов, помощь в выборе качественных поставщиков и раскрытие функционала WAF‑решений.

В результате независимой экспертизы рынок получил возможность узнать о ключевых особенностях WAF от различных производителей в рамках тест‑кейсов, в то время как разработчики решений смогли собрать информацию для совершенствования своих продуктов. С подробными результатами WAF‑тестирования можно ознакомиться на сайте проекта.

Для независимого тестирования WAF‑решений по результатам опроса в отраслевых клубах CISO были выбраны продукты трех российских разработчиков: SolidWall WAF, решение PT Application Firewall и «Гарда WAF». К тестированию также были приглашены другие вендоры — проект открыт для участия еще двух производителей WAF‑решений. Проводили тестирование две независимые команды опытных пентестеров: DeteAct и Singleton Security.

Директор по развитию бизнеса SolidLab/SolidSoft Вячеслав Железняков воспринял идею проекта с энтузиазмом: «Организация подобных тестирований — хорошая идея для того, чтобы распространять лучшие практики по использованию продуктов ИБ и упрощать взаимодействие между всеми участниками рынка. А для нас это еще одна возможность, как говорят, „других посмотреть и себя показать“ — собрать актуальные требования пользователей к WAF и продемонстрировать потенциальным заказчикам уникальные особенности нашего решения».

Алексей Астахов, руководитель продуктов Application Security в Positive Technologies, также прокомментировал участие в проекте: «Это очень правильная и в то же время очень сложная задача. При построении реальной защиты WAF становится частью инфраструктуры и инструментом в руках команды безопасности. Поэтому к набору возможностей и стабильности этого инструмента относятся с пристальным вниманием и команда ИТ, и команда ИБ. Однако в первую очередь WAF — это экспертиза по защите, которая первой встречает хакера, и к ней предъявляются повышенные требования. И найти способ правильно и независимо ее оценить — нетривиальная задача, решение которой важно не только тем, кто защищается, но и тем, кто эту защиту создает».

Лука Сафонов, технический директор «Гарда WAF», называет проект по тестированию WAF-систем настоящим вызовом: «Проект для смелых и сильных. Все его участники не просто заявляют о своих разработках в красивой маркетинговой упаковке, но и открыто демонстрируют ее содержимое, предоставляют на тест-драйв и, более того, готовы дорабатывать в ответ на потребности заказчика. Главное преимущество этого „состязания“ в объективности, ведь методология испытаний создавалась не членами некоего жюри, а совместными усилиями производителей, заказчиков и экспертов. Для нас участие в проекте — это вызов. Мы представили продукт аудитории лишь в начале апреля, но уже смело конкурируем с игроками рынка и, опять же, не на словах, а делом».

По результатам тестирования все участники смогли продемонстрировать часть основных возможностей своих средств защиты и сформулировать те аспекты, которые еще предстоит показать и проверить. Следующие этапы тестирования будут включать демонстрацию целого ряда ключевых функций и гарантий, которые дает решение.

Консультант проекта, основатель и генеральный директор CyberEd & Singleton Security Егор Богомолов поделился своими впечатлениями от первого WAF-дня в Кибердоме: «Первый этап тестирования абсолютно точно достиг своей цели! Привлек интерес к актуальным возможностям WAF-средств и сформировал запросы от аудитории клиентов и экспертов о том, что нужно знать о WAF пользователям и лицам, принимающим решения. Это событие обогатило опыт индустрии и продолжит работу над поиском ответа на вопрос: „Каким должен быть зрелый продукт по защите приложений?“».

«Честная конкуренция в индустрии — это качественный отраслевой скачок. С помощью проекта мы хотим оказать поддержку вендорам, которые работают по направлению импортозамещения и разрабатывают критически необходимые продукты и технологии. По итогам WAF-дня заказчики получат независимую оценку качества продуктов, а вендоры найдут дополнительные пути для их совершенствования. Задача Кибердома — заложить фундамент этого проекта и развивать его, а также вместе с вендорами, клиентами, экспертами рынка и белыми хакерами совершенствовать методику тестирования», — комментирует Александра Шадюк, заместитель генерального директора Кибердома.

Независимый тест WAF стал первым в серии испытаний отечественных продуктов информационной безопасности. Результаты опубликованы на сайте проекта. Кибердом планирует и дальше проводить подобные тестирования и приглашает производителей WAF‑решений присоединиться к следующим испытаниям.