Всё дело в комбинации: история системы безопасности одного сайта
Один из заказчиков, очень крупный интернет-магазин, как-то попросил нас обеспечить защиту веб-приложения от веб-атак. Учитывая масштабы ресурса, мы начали поиск нужного подхода. В результате решили применить комбинацию позитивной и негативной модели безопасности, реализовав её с помощью файрвола для веб-приложений (в данном случае в качестве WAF использовался продукт F5 ASM, но в целом подход универсальный для большинства WAF). Многие компании не любят пользоваться позитивной моделью, поскольку очень опасаются (и зачастую справедливо), что для части пользователей ресурс может оказаться недоступным и продажи снизятся, да ещё и придётся потратить массу времени на настройку политик. Однако без этого защита веб-ресурса не будет полноценной.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Безопасность ИИ: как перестать бежать анализировать каждое новое ПО и перейти к системному подходу
- [Перевод] Как Cursor с Claude Opus снёс продакшен базу данных за 9 секунд
- Мерчандайзинг в интерфейсах: Как ваши привычки стали врагом номер один
- Вход по УКЭП в корпоративных системах: практическая архитектура
- Миллион в месяц за блокировки интернета, или чем отличается капитализм от социализма
- Экспертное мнение: Искусство слушания: 10 техник медиации, которые меняют восприятие и поведение в бизнес-конфликте
- Когда расширение делает больше, чем обещает: разбор Page Locker
- Российская инфраструктура стала тихой гаванью для киберпреступников. Причем тут Руцентр, Рег.Ру и DDoS-Guard?
- Pragmata взломали за два дня до релиза. Шесть слоёв защиты Denuvo и как их обходят через гипервизор
- Страшно, когда не видно: взгляд внутрь домена