據Neustar國際網絡安全委員會在2020年發布的調查報告顯示,四成受訪的安全相關人員表示,至少有一半針對他們應用層的攻擊繞過了WAF;而有一成的人員表示,超過90%的攻擊可以輕松避開WAF防御。
這份報告也佐證了PonemonInstitute在2019年的調研結果:65%的組織在他們的WAF中經歷過旁路,而只有9%的組織表示他們沒有被入侵;同時,只有40%的受訪者對他們現有的WAF感到滿意。PonemonInstitute還發現,平均每家企業雇用2.5名安全管理員,他們每周花費45個小時處理WAF警報,另外每周花費16個小時編寫WAF新規則。
傳統WAF的可靠性和滿意度問題已經引起了業界的高度關注,這意味著WAF市場正面臨一次重大的調整和變革。
多類型應用興起,凸顯傳統WAF防護局限
事實上,WAF是一個相當成熟的安全品類,發展至今已近20年。
在早期,以網站為核心的Web應用興起,由于應用類型單一,惡意程序的復雜度較低,基于規則和特征匹配的傳統WAF可以滿足Web應用防護的需求。
然而,時代在飛速的變化。近年來移動互聯網的快速發展,誕生了APP、H5、小程序等多種應用形式,更多的企業核心業務、交易平臺都越來越依賴這些新型應用程序,它們可能部署在本地、云上乃至混合環境中,企業員工和用戶都可以從網絡的任意位置進行訪問。與此同時,越來越多的第三方API接口被調用,API業務帶來的Web敞口風險和風險管控鏈條的不斷擴大,已非傳統WAF的防護范疇。
Bot威脅攀升,Bot機器人管理超越傳統WAF
傳統WAF除了防護范圍的局限外,在識別各類規模化、高效率的工具化、智能化、擬人化的Bots攻擊行為的能力上也是捉襟見肘。Bots威脅不僅讓各種利用Web應用漏洞進行攻擊的事件與日俱增,更對數字化業務產生重大影響和危害。應對Bots所產生的已知和未知應用風險、數據泄漏風險、業務風險,已經大大超出了傳統WAF的防護能力范圍。
《ForresterAnalytics:ApplicationSecuritySolutionsForecast,2020To2025(Global)》報告指出,2019年到2025年,應用安全解決方案市場規模將從47億美元增長到129億美元,Bot機器人管理將涵蓋許多Web應用程序防火墻(WAF)的核心功能,并能夠在2025年超越傳統WAF成為核心應用程序保護解決方案。通過Bot機器人管理,一系列基于Bot的攻擊,包括撞庫、爬蟲等欺詐威脅,都可以被檢測并阻攔。另外,在Bot機器人管理工具保護應用程序免受惡意機器人攻擊的同時,善意機器人將被允許通行,人類用戶也不會受到不必要的驗證碼和其他挑戰的阻礙。
下一代WAF,從WAF工具走向WAAP平臺
不難發現,傳統WAF已經難以跟上威脅態勢發展的步伐。數字化時代的WAF防護機制該如何演進,才能助力企業抵御未知威脅,做好新時代的安全運營?作為業界公認的權威咨詢機構,Gartner對WAF技術的進一步演化給出了答案。2021年,Gartner將多年來發布的WAF魔力象限改為了WAAP魔力象限,進一步擴展了安全防護范圍和安全深度。
Gartner指出,到2023年,30%以上面向公眾的Web應用程序和API將受到云Web應用程序和API保護(WAAP)服務的保護,WAAP服務結合了分布式拒絕服務(DDoS)防御、機器人程序緩解(BotMitigation)、API保護和WAF。
•WAF能力:WAF不僅能檢測已知威脅,還要能檢測未知威脅,這對于基于規則和特征匹配的傳統WAF來說是一個很大的挑戰。
•Bots自動化攻擊防護能力:Bots自動化攻擊在逐年增加,幾乎60%的互聯網流量都是機器人程序生成的。為了提高攻擊效率,Bots攻擊者嘗試利用各種各樣的手段繞過檢測措施,這使得前端對抗不斷升級。但相對于傳統安全攻防,企業普遍缺乏對于Bots攻擊的認知,這進一步加劇了Bots攻擊帶來的危害。因此,下一代WAF應具備Bots自動化攻擊的識別和防護能力。
•API保護能力:相比傳統的Web頁面,API承載了更多業務流程。隨著API訪問環境的愈發開放、API數量的極速攀升,以及API本身的快速變化,基于規則的API應用漏洞攻擊防護,已經無法滿足API接口被濫用、越權訪問、僵尸API、數據泄漏等安全防護需求。因此,下一代WAF應具備API內外保護的能力,這也是目前市場上很多WAF產品都在努力補足的方向。
•DDoS防護能力:DDoS是一種常見的攻擊方式,尤其在攻擊應用時非常有效。如今黑灰產的DDoS攻擊能力在逐年加強,大規模攻擊的組織能力也在不斷提升,攻擊者嘗試通過變化多種攻擊特征和大規模分布式加大攻擊量,繞過防御規則,壓垮防護設備性能;同時,可以在不觸發限速防御策略的情況下實現攻擊,讓傳統WAF的策略失效。因此,下一代WAF應具備DDosS防護能力,對漏洞的威脅面要有更好的預判,對攻擊團伙的監控要有更深入而持續的跟蹤。
雖然WAF產品通過多年的發展已經相對成熟,但其對復雜威脅的檢測和響應能力仍有待進一步提升。因此,傳統WAF功能將被納入到WAAP平臺中,與威脅情報、Bot防護、DDoS防御、API保護等功能組件緊密協同,幫助企業用戶打造針對Web應用的主動防護體系。
瑞數下一代WAF-WAAP平臺,提供一站式動態主動防御
瑞數下一代WAF,即WAAP平臺,以獨特的“動態安全”為核心技術,以Bot防護為核心功能,結合智能威脅檢測技術、行為分析技術,提供傳統Web安全防御能力的同時,更能將威脅提前止于攻擊的漏洞探測和踩點階段,輕松應對新興和快速變化的Bots攻擊、0day攻擊、應用DDoS攻擊和API安全防護。
在Bot防護層面,針對Bots自動化工具的識別與防御是瑞數信息產品中所反應出的最突出的能力之一。瑞數信息以“動態安全”技術為核心的“動態安全引擎”,通過對服務器網頁底層代碼的持續動態變換,以動態封裝、動態驗證、動態混淆、動態令牌等創新技術,增加服務器行為的“不可預測性”,讓攻擊者無從下手,大幅提升攻擊難度,從而實現了從用戶端到服務器端的全方位“主動防護”。
在DDoS防護層面,多源低頻、慢速攻擊、精準打擊等技術的應用,讓針對業務/應用層的CC攻擊難以防護。區別基于限頻的防護技術,瑞數信息“動態安全引擎”中的“動態令牌”技術,可從根源上對Bots發起的CC攻擊進行識別攔截,降低資源消耗,保障業務的正常穩定性運行。
在WAF層面,借助“動態安全引擎”,瑞數信息不依賴基于簽名和特征的傳統規則,即可實現對工具化應用漏洞探測和攻擊的識別,以及0day的自動化攻擊和探測。同時,與“智能威脅檢測引擎”“規則引擎”形成三大引擎協同工作,對手動攻擊、自動化攻擊提供更為高效全面的Web應用防護能力,實現縱深防御。
在API防護層面,瑞數信息采用智能威脅檢測技術、行為分析技術,通過API感知、發現、監控分析和保護四大模塊,實現對API接口的自動發現,建立API清單,能夠有效實現API資產管理和API訪問行為管控。同時,建立API安全基線,對API濫用、API異常訪問、惡意掃描、注入攻擊等進行監控分析,能夠實現API安全防護和敏感數據管控。
目前,瑞數下一代WAF-WAAP平臺已廣泛應用在運營商、金融、政府、教育、醫院、企業客戶中,幫助各類組織機構真正實現網站/APP/小程序/API的安全防護,有效抗擊黑產,降低其安全風險和經濟損失。同時,瑞數信息參與了大量攻防實戰演練、進博會保障、建國70周年保障等國家級網絡安全重保工作,并取得了良好的成績,因而被用戶贊譽為“重保神器”。
正如瑞數信息技術總監吳劍剛所說,“網絡安全遵從‘木桶原理’,網絡整體安全水平由安全級別最低的部分所決定”。當單一的WAF產品已不足以解決無處不在的安全風險,從WAF走向WAAP的整體安全能力才能夠補足現有的安全盲點,實現真正覆蓋Web、APP、云和API資產的應用安全一體化防御,而瑞數下一代WAF-WAAP平臺正是這樣的代表之作。
