Всё дело в комбинации: история системы безопасности одного сайта
Один из заказчиков, очень крупный интернет-магазин, как-то попросил нас обеспечить защиту веб-приложения от веб-атак. Учитывая масштабы ресурса, мы начали поиск нужного подхода. В результате решили применить комбинацию позитивной и негативной модели безопасности, реализовав её с помощью файрвола для веб-приложений (в данном случае в качестве WAF использовался продукт F5 ASM, но в целом подход универсальный для большинства WAF). Многие компании не любят пользоваться позитивной моделью, поскольку очень опасаются (и зачастую справедливо), что для части пользователей ресурс может оказаться недоступным и продажи снизятся, да ещё и придётся потратить массу времени на настройку политик. Однако без этого защита веб-ресурса не будет полноценной.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Автоматизация против клиента: как рекламные звонки вредят людям и брендам
- Большой обзор рекламных форматов и лучших практик в 2025 году
- А был ли патчик? Как долго живут уязвимости в Рунете
- ИИ атакует, ИИ защищает: как использовать нейросети в ИБ
- Ginс Radar: Ginc Radar: как не утонуть в своём IT-стеке
- Разбор заданий AI CTF на Positive Hack Days Fest. Часть 2
- ИИ-агенты и удостоверение персональных данных
- Представляем «Динамическое SEO» — новый тип проектов в PromoPult
- [Перевод] Анализ активности пользователей Windows
- ВПО DarkWatchman: SFX-архивы, XOR-шифрование и алгоритм генерации доменов