《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 業(yè)界動態(tài) > 新一代WAF的五大技術(shù)創(chuàng)新點

新一代WAF的五大技術(shù)創(chuàng)新點

2020-12-03
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: WAF DDoS

  微信圖片_20201203153041.jpg

      目前,由于受到種種潛在利益的驅(qū)動,,Web應(yīng)用程序已然成為攻擊者的首要目標(biāo),。Web應(yīng)用程序上的安全漏洞有可能造成數(shù)百萬美元損失。令人驚訝的是,,與DNS(域名系統(tǒng))有關(guān)的服務(wù)中斷和分布式拒絕服務(wù)(DDoS)攻擊會給業(yè)務(wù)帶來嚴(yán)重的負(fù)面影響。在眾多應(yīng)對策略中,,Web應(yīng)用程序防火墻(WAF)無疑扮演著最重要的首道防線角色,。

  Web應(yīng)用程序防火墻的基本功能是建立一道堅固的防線,以防止某些惡意流量任意攫取資源。盡管WAF技術(shù)自上世紀(jì)九十年代末就已誕生,,然而早期技術(shù)成果早已無法適應(yīng)如今愈發(fā)復(fù)雜的網(wǎng)絡(luò)攻擊活動,。隨著安全風(fēng)險的不斷提升,新一代Web應(yīng)用程序防火墻已然成為唯一值得信賴的防護(hù)方案,。

  01

  傳統(tǒng)WAF正走向消亡

  早期,,Web應(yīng)用程序還相對少見,因此由Web帶來的威脅也不明顯,。那時的惡意程序復(fù)雜度較低,,而且易于檢測。網(wǎng)絡(luò)安全需求量較少,,并且通過基本的網(wǎng)絡(luò)安全管理即可滿足,。

  如今,一切已經(jīng)不復(fù)當(dāng)初,。Web應(yīng)用程序可能部署在本地,、云上乃至混合環(huán)境當(dāng)中??蛻艏皢T工可以從任意位置通過網(wǎng)絡(luò)加以訪問,。由于IP地址不斷變化并被CDN所屏蔽,防火墻很難跟蹤當(dāng)前正在發(fā)生什么,、請求的具體來源以及確切去向,。

  面對種種挑戰(zhàn)及復(fù)雜威脅,WAF自然有必要扛起防御的大旗,。但傳統(tǒng)WAF主要由獨立的硬件設(shè)備實現(xiàn),,這些硬件設(shè)備難以使用、可視性較差并且性能較低,。事實上,,高達(dá)90%的組織表示其WAF過于復(fù)雜。

  根據(jù)Ponemon研究所發(fā)布的報告,,有65%的組織曾遭遇過WAF繞過問題,,只有9%的組織表示其WAF從未失效。然而,,這并不能夠保證他們會永遠(yuǎn)不會遭遇這種問題,。因此,所有公司都應(yīng)該重視自身WAF的效能與安全保障水平,。

微信圖片_20201203153045.jpg

  Ponemon的研究報告還指出,,只有40%的受訪者對其現(xiàn)有WAF感到滿意,意味著這類方案一直未能得到充分利用,。實際上有部分企業(yè)表示他們只是使用WAF生成安全警報,,而從未將其真正用于阻止可疑活動,。

  最糟糕的是,組織本身甚至可能被WAF所拖垮——對于這樣一種耗資甚巨的資產(chǎn),,組織對于WAF乏善可陳的安全增強(qiáng)表現(xiàn)感到無可奈何,。為了解決這方面難題,新一代Web應(yīng)用程序防火墻應(yīng)運而生,。

  02

  傳統(tǒng)WAF面臨的挑戰(zhàn)

  從業(yè)者們經(jīng)常強(qiáng)調(diào),,他們之所以選擇從傳統(tǒng)Web應(yīng)用程序防火墻轉(zhuǎn)向下一代WAF,主要基于以下幾點重要考量:

  1,、技術(shù)創(chuàng)新

  Web應(yīng)用程序標(biāo)準(zhǔn)一直在不斷變化,,這就提高了用戶對于WAF的功能要求。

  JSON有效載荷與HTTP/2的日趨普及,,迫使大部分Web應(yīng)用程序防火墻供應(yīng)商必須努力跟上,。在市場對于安全產(chǎn)品創(chuàng)新的需求壓力之下,相當(dāng)一部分WAF供應(yīng)商已經(jīng)逐漸被時代所拋棄,。

  2,、缺乏可擴(kuò)展性

  組織對于網(wǎng)絡(luò)擴(kuò)展能力的要求,往往帶來更高的成本,、更長的時間投入與更復(fù)雜的管理流程,。以此為基礎(chǔ),設(shè)備集群的部署與維護(hù)都變得難于打理,。

  DevOps與敏捷方法也要求組織對集群進(jìn)行統(tǒng)一的重新配置與重新調(diào)整,,這一切都將進(jìn)一步占用本就十分緊張的安全資源。

  3,、零日漏洞的利用

  雖然WAF能夠有效監(jiān)控Web流量以防止針對HTTP的攻擊,,但面對零日攻擊時卻束手無策。WAF的基本設(shè)計思路在于根據(jù)預(yù)先配置的模式進(jìn)行惡意活動檢測,,但零日漏洞卻可能被任意攻擊者所利用,,導(dǎo)致預(yù)配置模式在攻擊面前始終不起作用。

  4,、阻斷合法流量

  大多數(shù)WAF用戶還抱怨稱,,傳統(tǒng)WAF經(jīng)常會無緣無故就阻斷合法流量,即引發(fā)所謂誤報問題,。盡管這種狀況在安全層面看似無害,,但卻可能給組織本身帶來災(zāi)難性的影響。由于一部分訪問者無法正常獲取應(yīng)用功能,、上傳媒體數(shù)據(jù)或者購買產(chǎn)品,,他們往往會轉(zhuǎn)向其他廠商,引發(fā)嚴(yán)重的客戶流失,。

  一種可行的應(yīng)對辦法,,在于盡可能減少安全模式的應(yīng)用數(shù)量,。但這往往又會增加網(wǎng)絡(luò)的運行風(fēng)險。大多數(shù)WAF解決方案很難在這兩個極端之間找到完美平衡,。除非投入專門的資源進(jìn)行管理,否則組織幾乎無法充分發(fā)揮傳統(tǒng)WAF的價值,。這也成為傳統(tǒng)WAF與新一代WAF之間的最大差異所在,。

  5、DDoS攻擊

  最重要的是,,DDoS攻擊也給WAF帶來了困擾,。我們發(fā)現(xiàn)不少組織在使用WAF抵御DDoS攻擊,并號稱能夠借此獲得良好的保護(hù)效果,。

  但問題在于,,傳統(tǒng)WAF在自身設(shè)置上并不足以抵擋大規(guī)模DDoS攻擊。另外,,現(xiàn)有應(yīng)用程序往往由第三方平臺共享/提供,,因此無法立足本地防御層加以保護(hù)。如果沒有基于云的WAF,,您將很難提前規(guī)劃容量,;即使有所規(guī)劃,容量仍存在明確上限,,往往不足以消化掉瞬間涌現(xiàn)的惡意流量,。

  云WAF(特別是托管型云WAF)擁有更強(qiáng)的規(guī)模伸縮能力。企業(yè)只需要根據(jù)實際資源使用量付費,,而不必為未來可能需要的容量預(yù)先投入固定成本,。

  03

  新一代WAF的基本功能

  盡管眾多WAF供應(yīng)商都宣稱提供下一代WAF產(chǎn)品,但其中大多延續(xù)與傳統(tǒng)WAF相同的安全模式,,因此不能算是真正的下一代方案,。我們可以將下一代WAF的基本功能及特性總結(jié)如下:

  1、應(yīng)用程序與Web使用控制

  應(yīng)用程序與Web使用控制解決了“哪些流量類型需要阻斷,?”這一核心問題,。下一代WAF將使用多種標(biāo)識類別對跨網(wǎng)絡(luò)站點及應(yīng)用內(nèi)的往來流量進(jìn)行身份標(biāo)記,進(jìn)而確定應(yīng)如何處理,。

  準(zhǔn)確的流量分類無疑是下一代WAF的核心功能,,有助于防止組織訪問各類惡意、不相關(guān)或者可能造成法律糾紛的網(wǎng)站及應(yīng)用,。

  2,、高級Web應(yīng)用程序安全分析

  基于云的WAF不僅能夠解決困擾大多數(shù)Web應(yīng)用程序的新興攻擊活動,同時也能夠在威脅可見性及分析層面做出持續(xù)改進(jìn),。在傳統(tǒng)WAF中,,企業(yè)通常會對已有的問題視而不見,,假裝一切風(fēng)平浪靜,直到問題發(fā)生,。

  新一代WAF能夠?qū)崟r監(jiān)控性能指標(biāo),,突出展示基礎(chǔ)設(shè)施、應(yīng)用程序以及最終用戶群體內(nèi)正在發(fā)生的一切,。您可以在問題真正出現(xiàn)之前做出反應(yīng),,并相信WAF能夠始終按照預(yù)期方式運行。

  3,、Web應(yīng)用程序安全評估與惡意軟件檢測

  新一代防火墻充分意識到,,即使合法有效的站點也有可能存在某些不為人知的漏洞,甚至可能鏈接至惡意軟件站點及惡意負(fù)載處,。此外,,企業(yè)有時還希望對社交媒體平臺授予訪問權(quán)限,而這些平臺上往往也充斥著惡意鏈接或文件,。

  在這種情況下,,能夠提供與應(yīng)用風(fēng)險緊密關(guān)聯(lián)的WAF策略、并持續(xù)加以迭代的新一代WAF將擁有傳統(tǒng)方案所無法比擬的優(yōu)勢,。

  4,、全球威脅情報

  這種基于云的安全平臺能夠充分利用覆蓋全球的部署體系,全面了解世界范圍內(nèi)的流量變化趨勢,。它會監(jiān)控并分析所有流量,,當(dāng)在一個位置發(fā)現(xiàn)安全威脅之后,隨機(jī)會對全球所有部署節(jié)點進(jìn)行更新與強(qiáng)化,。

  5,、自動干預(yù)

  基于云的WAF不僅可以通過預(yù)定義的策略與簽名實現(xiàn)流量阻斷,同時也提供托管服務(wù),,供用戶根據(jù)風(fēng)險需求準(zhǔn)確建立自定義規(guī)則,。新一代WAF以實時模式及行為分析為基礎(chǔ),持續(xù)監(jiān)控并自動過濾出合法請求與惡意流量,。此外,,它還能提供虛擬補(bǔ)丁程序,借此預(yù)防零日漏洞利用等安全隱患,。

  04

  展望未來

  傳統(tǒng)WAF與新一代WAF之間有著一系列的關(guān)鍵差異,。如今的攻擊者早已熟知傳統(tǒng)WAF的特性,善于尋找漏洞,、入侵Web應(yīng)用程序,。因此,請選擇新一代WAF為您帶來的高級Web保護(hù)功能,在維持業(yè)務(wù)正常運行的前提下迎接安全層面上的良好投資回報,。

  


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com,。