據(jù)Neustar國(guó)際網(wǎng)絡(luò)安全委員會(huì)在2020年發(fā)布的調(diào)查報(bào)告顯示,四成受訪的安全相關(guān)人員表示,至少有一半針對(duì)他們應(yīng)用層的攻擊繞過(guò)了WAF;而有一成的人員表示,超過(guò)90%的攻擊可以輕松避開(kāi)WAF防御。
這份報(bào)告也佐證了Ponemon Institute在2019年的調(diào)研結(jié)果:65%的組織在他們的WAF中經(jīng)歷過(guò)旁路,而只有9%的組織表示他們沒(méi)有被入侵;同時(shí),只有40%的受訪者對(duì)他們現(xiàn)有的WAF感到滿意。Ponemon Institute還發(fā)現(xiàn),平均每家企業(yè)雇用2.5名安全管理員,他們每周花費(fèi)45個(gè)小時(shí)處理WAF警報(bào),另外每周花費(fèi)16個(gè)小時(shí)編寫(xiě)WAF新規(guī)則。
傳統(tǒng)WAF的可靠性和滿意度問(wèn)題已經(jīng)引起了業(yè)界的高度關(guān)注,這意味著WAF市場(chǎng)正面臨一次重大的調(diào)整和變革。
多類型應(yīng)用興起,凸顯傳統(tǒng)WAF防護(hù)局限
事實(shí)上,WAF是一個(gè)相當(dāng)成熟的安全品類,發(fā)展至今已近20年。
在早期,以網(wǎng)站為核心的Web應(yīng)用興起,由于應(yīng)用類型單一,惡意程序的復(fù)雜度較低,基于規(guī)則和特征匹配的傳統(tǒng)WAF可以滿足Web應(yīng)用防護(hù)的需求。
然而,時(shí)代在飛速的變化。近年來(lái)移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展,誕生了APP、H5、小程序等多種應(yīng)用形式,更多的企業(yè)核心業(yè)務(wù)、交易平臺(tái)都越來(lái)越依賴這些新型應(yīng)用程序,它們可能部署在本地、云上乃至混合環(huán)境中,企業(yè)員工和用戶都可以從網(wǎng)絡(luò)的任意位置進(jìn)行訪問(wèn)。與此同時(shí),越來(lái)越多的第三方API接口被調(diào)用,API業(yè)務(wù)帶來(lái)的Web敞口風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管控鏈條的不斷擴(kuò)大,已非傳統(tǒng)WAF的防護(hù)范疇。
Bot威脅攀升,Bot機(jī)器人管理超越傳統(tǒng)WAF
傳統(tǒng)WAF除了防護(hù)范圍的局限外,在識(shí)別各類規(guī)?;⒏咝实墓ぞ呋?、智能化、擬人化的Bots攻擊行為的能力上也是捉襟見(jiàn)肘。Bots威脅不僅讓各種利用Web應(yīng)用漏洞進(jìn)行攻擊的事件與日俱增,更對(duì)數(shù)字化業(yè)務(wù)產(chǎn)生重大影響和危害。應(yīng)對(duì)Bots所產(chǎn)生的已知和未知應(yīng)用風(fēng)險(xiǎn)、數(shù)據(jù)泄漏風(fēng)險(xiǎn)、業(yè)務(wù)風(fēng)險(xiǎn),已經(jīng)大大超出了傳統(tǒng)WAF的防護(hù)能力范圍。
《Forrester Analytics: Application Security Solutions Forecast, 2020 To 2025 (Global)》報(bào)告指出,2019年到2025年,應(yīng)用安全解決方案市場(chǎng)規(guī)模將從47億美元增長(zhǎng)到129億美元,Bot機(jī)器人管理將涵蓋許多Web應(yīng)用程序防火墻(WAF)的核心功能,并能夠在2025年超越傳統(tǒng)WAF成為核心應(yīng)用程序保護(hù)解決方案。通過(guò)Bot機(jī)器人管理,一系列基于Bot的攻擊,包括撞庫(kù)、爬蟲(chóng)等欺詐威脅,都可以被檢測(cè)并阻攔。另外,在Bot機(jī)器人管理工具保護(hù)應(yīng)用程序免受惡意機(jī)器人攻擊的同時(shí),善意機(jī)器人將被允許通行,人類用戶也不會(huì)受到不必要的驗(yàn)證碼和其他挑戰(zhàn)的阻礙。
下一代WAF,從WAF工具走向WAAP平臺(tái)
不難發(fā)現(xiàn),傳統(tǒng)WAF已經(jīng)難以跟上威脅態(tài)勢(shì)發(fā)展的步伐。數(shù)字化時(shí)代的WAF防護(hù)機(jī)制該如何演進(jìn),才能助力企業(yè)抵御未知威脅,做好新時(shí)代的安全運(yùn)營(yíng)?作為業(yè)界公認(rèn)的權(quán)威咨詢機(jī)構(gòu),Gartner對(duì)WAF技術(shù)的進(jìn)一步演化給出了答案。2021年,Gartner將多年來(lái)發(fā)布的WAF魔力象限改為了WAAP魔力象限,進(jìn)一步擴(kuò)展了安全防護(hù)范圍和安全深度。
Gartner指出,到2023年,30%以上面向公眾的Web應(yīng)用程序和API將受到云Web應(yīng)用程序和API保護(hù)(WAAP)服務(wù)的保護(hù),WAAP服務(wù)結(jié)合了分布式拒絕服務(wù)(DDoS)防御、機(jī)器人程序緩解(Bot Mitigation)、API保護(hù)和WAF。
• WAF能力:WAF不僅能檢測(cè)已知威脅,還要能檢測(cè)未知威脅,這對(duì)于基于規(guī)則和特征匹配的傳統(tǒng)WAF來(lái)說(shuō)是一個(gè)很大的挑戰(zhàn)。
• Bots自動(dòng)化攻擊防護(hù)能力:Bots自動(dòng)化攻擊在逐年增加,幾乎60%的互聯(lián)網(wǎng)流量都是機(jī)器人程序生成的。為了提高攻擊效率,Bots攻擊者嘗試?yán)酶鞣N各樣的手段繞過(guò)檢測(cè)措施,這使得前端對(duì)抗不斷升級(jí)。但相對(duì)于傳統(tǒng)安全攻防,企業(yè)普遍缺乏對(duì)于Bots攻擊的認(rèn)知,這進(jìn)一步加劇了Bots攻擊帶來(lái)的危害。因此,下一代WAF應(yīng)具備Bots自動(dòng)化攻擊的識(shí)別和防護(hù)能力。
• API保護(hù)能力:相比傳統(tǒng)的Web頁(yè)面,API承載了更多業(yè)務(wù)流程。隨著API訪問(wèn)環(huán)境的愈發(fā)開(kāi)放、API數(shù)量的極速攀升,以及API本身的快速變化,基于規(guī)則的API應(yīng)用漏洞攻擊防護(hù),已經(jīng)無(wú)法滿足API接口被濫用、越權(quán)訪問(wèn)、僵尸API、數(shù)據(jù)泄漏等安全防護(hù)需求。因此,下一代WAF應(yīng)具備API內(nèi)外保護(hù)的能力,這也是目前市場(chǎng)上很多WAF產(chǎn)品都在努力補(bǔ)足的方向。
• DDoS防護(hù)能力:DDoS是一種常見(jiàn)的攻擊方式,尤其在攻擊應(yīng)用時(shí)非常有效。如今黑灰產(chǎn)的DDoS攻擊能力在逐年加強(qiáng),大規(guī)模攻擊的組織能力也在不斷提升,攻擊者嘗試通過(guò)變化多種攻擊特征和大規(guī)模分布式加大攻擊量,繞過(guò)防御規(guī)則,壓垮防護(hù)設(shè)備性能;同時(shí),可以在不觸發(fā)限速防御策略的情況下實(shí)現(xiàn)攻擊,讓傳統(tǒng)WAF的策略失效。因此,下一代WAF應(yīng)具備DDosS防護(hù)能力,對(duì)漏洞的威脅面要有更好的預(yù)判,對(duì)攻擊團(tuán)伙的監(jiān)控要有更深入而持續(xù)的跟蹤。
雖然WAF產(chǎn)品通過(guò)多年的發(fā)展已經(jīng)相對(duì)成熟,但其對(duì)復(fù)雜威脅的檢測(cè)和響應(yīng)能力仍有待進(jìn)一步提升。因此,傳統(tǒng)WAF功能將被納入到WAAP平臺(tái)中,與威脅情報(bào)、Bot防護(hù)、DDoS防御、API保護(hù)等功能組件緊密協(xié)同,幫助企業(yè)用戶打造針對(duì)Web應(yīng)用的主動(dòng)防護(hù)體系。
瑞數(shù)下一代WAF - WAAP平臺(tái),提供一站式動(dòng)態(tài)主動(dòng)防御
瑞數(shù)下一代WAF,即WAAP平臺(tái),以獨(dú)特的“動(dòng)態(tài)安全”為核心技術(shù),以Bot防護(hù)為核心功能,結(jié)合智能威脅檢測(cè)技術(shù)、行為分析技術(shù),提供傳統(tǒng)Web安全防御能力的同時(shí),更能將威脅提前止于攻擊的漏洞探測(cè)和踩點(diǎn)階段,輕松應(yīng)對(duì)新興和快速變化的Bots攻擊、0day攻擊、應(yīng)用DDoS攻擊和API安全防護(hù)。
在Bot防護(hù)層面,針對(duì)Bots自動(dòng)化工具的識(shí)別與防御是瑞數(shù)信息產(chǎn)品中所反應(yīng)出的最突出的能力之一。瑞數(shù)信息以“動(dòng)態(tài)安全”技術(shù)為核心的“動(dòng)態(tài)安全引擎”,通過(guò)對(duì)服務(wù)器網(wǎng)頁(yè)底層代碼的持續(xù)動(dòng)態(tài)變換,以動(dòng)態(tài)封裝、動(dòng)態(tài)驗(yàn)證、動(dòng)態(tài)混淆、動(dòng)態(tài)令牌等創(chuàng)新技術(shù),增加服務(wù)器行為的“不可預(yù)測(cè)性”,讓攻擊者無(wú)從下手,大幅提升攻擊難度,從而實(shí)現(xiàn)了從用戶端到服務(wù)器端的全方位“主動(dòng)防護(hù)”。
在DDoS 防護(hù)層面,多源低頻、慢速攻擊、精準(zhǔn)打擊等技術(shù)的應(yīng)用,讓針對(duì)業(yè)務(wù)/應(yīng)用層的CC攻擊難以防護(hù)。區(qū)別基于限頻的防護(hù)技術(shù),瑞數(shù)信息“動(dòng)態(tài)安全引擎”中的“動(dòng)態(tài)令牌”技術(shù),可從根源上對(duì)Bots發(fā)起的CC攻擊進(jìn)行識(shí)別攔截,降低資源消耗,保障業(yè)務(wù)的正常穩(wěn)定性運(yùn)行。
在WAF層面,借助“動(dòng)態(tài)安全引擎”,瑞數(shù)信息不依賴基于簽名和特征的傳統(tǒng)規(guī)則,即可實(shí)現(xiàn)對(duì)工具化應(yīng)用漏洞探測(cè)和攻擊的識(shí)別,以及0day的自動(dòng)化攻擊和探測(cè)。同時(shí),與“智能威脅檢測(cè)引擎”“規(guī)則引擎”形成三大引擎協(xié)同工作,對(duì)手動(dòng)攻擊、自動(dòng)化攻擊提供更為高效全面的Web應(yīng)用防護(hù)能力,實(shí)現(xiàn)縱深防御。
在API防護(hù)層面,瑞數(shù)信息采用智能威脅檢測(cè)技術(shù)、行為分析技術(shù),通過(guò)API感知、發(fā)現(xiàn)、監(jiān)控分析和保護(hù)四大模塊,實(shí)現(xiàn)對(duì)API接口的自動(dòng)發(fā)現(xiàn),建立API清單,能夠有效實(shí)現(xiàn)API資產(chǎn)管理和API訪問(wèn)行為管控。同時(shí),建立API安全基線,對(duì)API濫用、API異常訪問(wèn)、惡意掃描、注入攻擊等進(jìn)行監(jiān)控分析,能夠?qū)崿F(xiàn)API安全防護(hù)和敏感數(shù)據(jù)管控。
目前,瑞數(shù)下一代WAF - WAAP平臺(tái)已廣泛應(yīng)用在運(yùn)營(yíng)商、金融、政府、教育、醫(yī)院、企業(yè)客戶中,幫助各類組織機(jī)構(gòu)真正實(shí)現(xiàn)網(wǎng)站/APP/小程序/API的安全防護(hù),有效抗擊黑產(chǎn),降低其安全風(fēng)險(xiǎn)和經(jīng)濟(jì)損失。同時(shí),瑞數(shù)信息參與了大量攻防實(shí)戰(zhàn)演練、進(jìn)博會(huì)保障、建國(guó)70周年保障等國(guó)家級(jí)網(wǎng)絡(luò)安全重保工作,并取得了良好的成績(jī),因而被用戶贊譽(yù)為“重保神器”。
正如瑞數(shù)信息技術(shù)總監(jiān)吳劍剛所說(shuō),“網(wǎng)絡(luò)安全遵從‘木桶原理’,網(wǎng)絡(luò)整體安全水平由安全級(jí)別最低的部分所決定”。當(dāng)單一的WAF產(chǎn)品已不足以解決無(wú)處不在的安全風(fēng)險(xiǎn),從WAF走向WAAP的整體安全能力才能夠補(bǔ)足現(xiàn)有的安全盲點(diǎn),實(shí)現(xiàn)真正覆蓋Web、APP、云和API資產(chǎn)的應(yīng)用安全一體化防御,而瑞數(shù)下一代WAF - WAAP平臺(tái)正是這樣的代表之作。