Check Risk WAF: как сделать защиту веб-приложений доступной

Check Risk WAF — это российский фаервол веб-приложений с собственным ядром и отказоустойчивой архитектурой. В текущей реализации это SaaS-продукт, в 2026 году планируется релиз on-premise-версии, а также запуск ПАК-ов. Cyber Media взглянул на возможности продукта, чтобы оценить, действительно ли разработчикам удалось создать доступное решение для защиты от постоянной растущих веб-угроз.

Содержание

1. Check Risk «под капотом»
2. Как работает Check Risk WAF
3. Интеграция с экосистемой безопасности
4. Заключение

Иван Елисеев

Руководитель проекта Check Risk WAF

Философия проекта состоит в том, что защита от актуальных киберугроз должна быть доступна любому бизнесу вне зависимости от его размеров, а не только Enterprise-сегменту.

Продукт Check Risk WAF вырос из сервиса, который для своих нужд разрабатывал один из крупных ИБ-вендоров. Целью было создать функциональное решение для задач веб-безопасности, чтобы избежать затрат на приобретение продукта с рынка. В текущей ситуации стоимость такой системы начинается с нескольких миллионов рублей, и многие компании не могут себе позволить такие расходы. В результате они остаются уязвимыми перед постоянно растущими атаками: DDoS, взлом корпоративных веб-сервисов, попытки через веб-интерфейс вмешаться в работу систем «1С-Битрикс», бухгалтерского учета, ERP и т. д.

В команду разработки вошли специалисты с большим опытом работы в разных ИБ-компаниях. Они пришли к выводу, что существующие на данный момент подходы к работе с рисками и киберугрозами для веб-сервисов устарели. Попытки отсекать вредоносный трафик с помощью Captcha вредят пользовательскому опыту, а злоумышленники в некоторых случаях уже научились обходить такую систему защиты.

Check Risk «под капотом»

Решение Check Risk построено на базе двух основных сегментов — балансировочных узлов и узлов фильтрации. Первые отвечают за балансировку нагрузки и отражение DDoS-атак на уровнях L3, L4, L7. Вторые обеспечивают проверку и фильтрацию трафика.

Как только начинается атака на один из нодов, другие «подхватывают» нагрузку, используя собственную базу фидов разработчиков. Каждую минуту она обновляется из 20 источников, включая открытые, коммерческие и собственные ресурсы Check Risk. В результате при обнаружении атаки сервис может автоматически подключать механизмы защиты, например пройти Captcha-тест. Это позволяет динамически менять уровень безопасности, чтобы не перегружать пользователя излишними проверками при отсутствии реальной угрозы.

При этом каждая компания-пользователь Check Risk может настраивать собственный профиль, выбирая нужный уровень проверок в зависимости от профиля идущих атак, будь то DDoS-атаки, инъекции кода, Local File Inclusion и т. д.

Основной дашборд с обзором информации о работе сервиса

Пользователи могут буквально в один клик получить сверстанный PDF-документ со всеми ключевыми показателями: общее количество и динамика запросов за отчетный период, обнаруженные события, их вредоносный потенциал с указанием возможных сценариев. В отчет входит анализ IP-адресов и User-агентов, перечень самых популярных страниц веб-ресурса под защитой, источники веб-трафика.

Целью разработчиков было сделать техническую информацию доступной не только для специалистов, но и бизнес-руководства

На экране «Приложения» пользователи видят динамику запросов по каждому конкретному веб-сервису, в том числе долю вредоносных запросов, которые связаны с теми или иными атаками.

Экран «Приложения»

Здесь же при необходимости можно включить анти-DDoS- и антибот-проверки: автоматическую или с участием пользователя, когда он должен нажать кнопку, чтобы попасть на сайт. Сервис может блокировать всех ботов без исключения, пропускать безопасных или сверяться с «белым» списком (например, чтобы не блокировать поисковых роботов).

Для более глубокой аналитики (например, чтобы отслеживать активность разных ботов или передавать во внешние сервисы информацию о пользователях) разработчики предусмотрели возможность добавления UTM-меток после антибот-проверки.

Настройка антибот-проверки

Отказоустойчивость решения обеспечивается за счет географической распределенности. Система работает на базе трех ЦОДов, причем заказчики могут выбирать, на каких мощностях будет работать их выделенная инфраструктура. В список входят провайдеры FirstVDS, Yandex Cloud, Cloud.ru, Reg.ru. Все ЦОДы аттестованы на соответствие законодательству о персональных данных.

При выходе из строя одного из узлов нагрузка распределяется автоматически, а если недоступным окажется собственное ядро Check Risk, клиентские решения смогут продолжить работу — все политики сохраняются на хостах. Это позволит им сохранить уровень безопасности даже при физическом уничтожении инфраструктуры Check Risk.

Как работает Check Risk WAF

Решение предусматривает три режима работы:

1. «Активная защита» — основной режим, в котором к трафику применяются все правила и политики.
2. «Режим мониторинга» — отслеживание и анализ трафика без блокировки обнаруженных атак.
3. «Защита отключена».

Разработчики предусмотрели четыре уровня защиты: стандартный, расширенный, высокий и максимальный. Это позволяет компании настраивать необходимое количество проверок в зависимости от ее собственного ландшафта киберугроз и возможности проверять ложноположительные срабатывания — их доля предсказуемо увеличивается с ужесточением проверок.

По умолчанию в сервисе включен «Расширенный» уровень защиты. Тоггл «Использовать глобальные» включает и выключает возможность тонкой настройки каждого параметра

На экране «Атаки» в реальном времени собирается информация о зафиксированной вредоносной активности. Пользователь может «провалиться» в каждую атаку, просмотреть все данные HTTP-запроса или «сырой» JSON, сразу создать новое правило для блокировки, добавить IP-адрес атакующего хоста в «черный» список или в группу нежелательных хостов.

Данные по атакам также можно в один клик выгрузить в PDF, чтобы подготовить отчет для руководства или сформировать сводную информацию в наглядном виде

Одним из ключевых преимуществ продукта является возможность использовать TCP-TLS-подключение с корневыми сертификатами. Это позволяет Check Risk WAF выполнять глубокую инспекцию всего зашифрованного HTTPS-трафика, который составляет основу современного интернета.

При работе с SSL-сертификатами Check Risk WAF позволяет как добавить собственные, так и получить из Let’s Encrypt. Система самостоятельно следит за сроками действия сертификатов и автоматически их обновляет

Для пользователей процесс остается прозрачным и непрерывным, а администраторы избавляются от ручной работы по управлению SSL-сертификатами для каждого домена. Сервис генерирует их автоматически, используя доверенный корневой сертификат.

Кроме того, это обеспечивает централизованный контроль безопасности и позволяет защищать даже устаревшие бэкенд-сервисы, выступая для них современным и безопасным TLS-фасадом.

Интеграция с экосистемой безопасности

Продукт умеет отправлять события во внешние системы по Syslog. Разработчики создали подробную документацию с описанием интеграции Check Risk с PT SIEM, MaxPatrol SIEM и Kaspersky Unified Monitoring and Analysis Platform (KUMA). Помимо документации, продукт «из коробки» включает все необходимые коннекторы для работы с этими решениями.

По словам разработчиков, подключение Check Risk к PT SIEM или KUMA занимает буквально две минуты

Также «из коробки» Check Risk WAF включает средства интеграции со сканером уязвимостей HScan от компании «Крайон». В результате компания-пользователь может дополнить функционал WAF функциями обнаружения и управления уязвимостями цифровых активов.

Панель с результатами сканирования уязвимостей

Заключение

Check Risk WAF уже «прошел боевое крещение»: сейчас сервис обеспечивает защиту от DDoS-атак одного из крупных новостных порталов по информационной безопасности. Решение «прикрывает» портал на уровнях L3, L4, L7, блокирует попытки сетевых атак.

Иван Елисеев

Руководитель проекта Check Risk WAF

ИБ-специалисты, как саперы, могут ошибиться только один раз. Наш продукт — это первая линия обороны, поэтому мы чувствуем особую ответственность за покой наших заказчиков.

Check Risk WAF — заметный новичок на сегодняшнем ландшафте российских решений для веб-безопасности. Продукт предлагает альтернативу дорогим решениям, делая ставку на доступность, отказоустойчивость и глубокую работу с зашифрованным трафиком. В сегодняшних условиях, когда с веб-угрозами сталкиваются организации самых разных размеров, подобные решения могут стать важным элементом базовой киберустойчивости бизнеса.

Erid: 2SDnjcppCnb

* Реклама, Рекламодатель ИП ЕЛИСЕЕВ ИВАН ВЛАДИМИРОВИЧ, ИНН 236401038208