您所在的位置: 首頁 >
新聞資訊 >
技術前沿 >
新一代WAF的五大技術創(chuàng)新點
目前,由于受到種種潛在利益的驅動,Web應用程序已然成為攻擊者的首要目標。Web應用程序上的安全漏洞有可能造成數(shù)百萬美元損失。令人驚訝的是,與DNS(域名系統(tǒng))有關的服務中斷和分布式拒絕服務(DDoS)攻擊會給業(yè)務帶來嚴重的負面影響。在眾多應對策略中,Web應用程序防火墻(WAF)無疑扮演著最重要的首道防線角色。
Web應用程序防火墻的基本功能是建立一道堅固的防線,以防止某些惡意流量任意攫取資源。盡管WAF技術自上世紀九十年代末就已誕生,然而早期技術成果早已無法適應如今愈發(fā)復雜的網(wǎng)絡攻擊活動。隨著安全風險的不斷提升,新一代Web應用程序防火墻已然成為唯一值得信賴的防護方案。
01. 傳統(tǒng)WAF正走向消亡
早期,Web應用程序還相對少見,因此由Web帶來的威脅也不明顯。那時的惡意程序復雜度較低,而且易于檢測。網(wǎng)絡安全需求量較少,并且通過基本的網(wǎng)絡安全管理即可滿足。
如今,一切已經(jīng)不復當初。Web應用程序可能部署在本地、云上乃至混合環(huán)境當中??蛻艏皢T工可以從任意位置通過網(wǎng)絡加以訪問。由于IP地址不斷變化并被CDN所屏蔽,防火墻很難跟蹤當前正在發(fā)生什么、請求的具體來源以及確切去向。
面對種種挑戰(zhàn)及復雜威脅,WAF自然有必要扛起防御的大旗。但傳統(tǒng)WAF主要由獨立的硬件設備實現(xiàn),這些硬件設備難以使用、可視性較差并且性能較低。事實上,高達90%的組織表示其WAF過于復雜。
根據(jù)Ponemon研究所發(fā)布的報告,有65%的組織曾遭遇過WAF繞過問題,只有9%的組織表示其WAF從未失效。然而,這并不能夠保證他們會永遠不會遭遇這種問題。因此,所有公司都應該重視自身WAF的效能與安全保障水平。
Ponemon的研究報告還指出,只有40%的受訪者對其現(xiàn)有WAF感到滿意,意味著這類方案一直未能得到充分利用。實際上有部分企業(yè)表示他們只是使用WAF生成安全警報,而從未將其真正用于阻止可疑活動。
最糟糕的是,組織本身甚至可能被WAF所拖垮——對于這樣一種耗資甚巨的資產(chǎn),組織對于WAF乏善可陳的安全增強表現(xiàn)感到無可奈何。為了解決這方面難題,新一代Web應用程序防火墻應運而生。
02. 傳統(tǒng)WAF面臨的挑戰(zhàn)
從業(yè)者們經(jīng)常強調,他們之所以選擇從傳統(tǒng)Web應用程序防火墻轉向下一代WAF,主要基于以下幾點重要考量:
1、技術創(chuàng)新
Web應用程序標準一直在不斷變化,這就提高了用戶對于WAF的功能要求。
JSON有效載荷與HTTP/2的日趨普及,迫使大部分Web應用程序防火墻供應商必須努力跟上。在市場對于安全產(chǎn)品創(chuàng)新的需求壓力之下,相當一部分WAF供應商已經(jīng)逐漸被時代所拋棄。
2、缺乏可擴展性
組織對于網(wǎng)絡擴展能力的要求,往往帶來更高的成本、更長的時間投入與更復雜的管理流程。以此為基礎,設備集群的部署與維護都變得難于打理。
DevOps與敏捷方法也要求組織對集群進行統(tǒng)一的重新配置與重新調整,這一切都將進一步占用本就十分緊張的安全資源。
3、零日漏洞的利用
雖然WAF能夠有效監(jiān)控Web流量以防止針對HTTP的攻擊,但面對零日攻擊時卻束手無策。WAF的基本設計思路在于根據(jù)預先配置的模式進行惡意活動檢測,但零日漏洞卻可能被任意攻擊者所利用,導致預配置模式在攻擊面前始終不起作用。
4、阻斷合法流量
大多數(shù)WAF用戶還抱怨稱,傳統(tǒng)WAF經(jīng)常會無緣無故就阻斷合法流量,即引發(fā)所謂誤報問題。盡管這種狀況在安全層面看似無害,但卻可能給組織本身帶來災難性的影響。由于一部分訪問者無法正常獲取應用功能、上傳媒體數(shù)據(jù)或者購買產(chǎn)品,他們往往會轉向其他廠商,引發(fā)嚴重的客戶流失。
一種可行的應對辦法,在于盡可能減少安全模式的應用數(shù)量。但這往往又會增加網(wǎng)絡的運行風險。大多數(shù)WAF解決方案很難在這兩個極端之間找到完美平衡。除非投入專門的資源進行管理,否則組織幾乎無法充分發(fā)揮傳統(tǒng)WAF的價值。這也成為傳統(tǒng)WAF與新一代WAF之間的最大差異所在。
5、DDoS攻擊
最重要的是,DDoS攻擊也給WAF帶來了困擾。我們發(fā)現(xiàn)不少組織在使用WAF抵御DDoS攻擊,并號稱能夠借此獲得良好的保護效果。
但問題在于,傳統(tǒng)WAF在自身設置上并不足以抵擋大規(guī)模DDoS攻擊。另外,現(xiàn)有應用程序往往由第三方平臺共享/提供,因此無法立足本地防御層加以保護。如果沒有基于云的WAF,您將很難提前規(guī)劃容量;即使有所規(guī)劃,容量仍存在明確上限,往往不足以消化掉瞬間涌現(xiàn)的惡意流量。
云WAF(特別是托管型云WAF)擁有更強的規(guī)模伸縮能力。企業(yè)只需要根據(jù)實際資源使用量付費,而不必為未來可能需要的容量預先投入固定成本。
03. 新一代WAF的基本功能
盡管眾多WAF供應商都宣稱提供下一代WAF產(chǎn)品,但其中大多延續(xù)與傳統(tǒng)WAF相同的安全模式,因此不能算是真正的下一代方案。我們可以將下一代WAF的基本功能及特性總結如下:
1、應用程序與Web使用控制
應用程序與Web使用控制解決了“哪些流量類型需要阻斷?”這一核心問題。下一代WAF將使用多種標識類別對跨網(wǎng)絡站點及應用內(nèi)的往來流量進行身份標記,進而確定應如何處理。
準確的流量分類無疑是下一代WAF的核心功能,有助于防止組織訪問各類惡意、不相關或者可能造成法律糾紛的網(wǎng)站及應用。
2、高級Web應用程序安全分析
基于云的WAF不僅能夠解決困擾大多數(shù)Web應用程序的新興攻擊活動,同時也能夠在威脅可見性及分析層面做出持續(xù)改進。在傳統(tǒng)WAF中,企業(yè)通常會對已有的問題視而不見,假裝一切風平浪靜,直到問題發(fā)生。
新一代WAF能夠實時監(jiān)控性能指標,突出展示基礎設施、應用程序以及最終用戶群體內(nèi)正在發(fā)生的一切。您可以在問題真正出現(xiàn)之前做出反應,并相信WAF能夠始終按照預期方式運行。
3、Web應用程序安全評估與惡意軟件檢測
新一代防火墻充分意識到,即使合法有效的站點也有可能存在某些不為人知的漏洞,甚至可能鏈接至惡意軟件站點及惡意負載處。此外,企業(yè)有時還希望對社交媒體平臺授予訪問權限,而這些平臺上往往也充斥著惡意鏈接或文件。
在這種情況下,能夠提供與應用風險緊密關聯(lián)的WAF策略、并持續(xù)加以迭代的新一代WAF將擁有傳統(tǒng)方案所無法比擬的優(yōu)勢。
4、全球威脅情報
這種基于云的安全平臺能夠充分利用覆蓋全球的部署體系,全面了解世界范圍內(nèi)的流量變化趨勢。它會監(jiān)控并分析所有流量,當在一個位置發(fā)現(xiàn)安全威脅之后,隨機會對全球所有部署節(jié)點進行更新與強化。
5、自動干預
基于云的WAF不僅可以通過預定義的策略與簽名實現(xiàn)流量阻斷,同時也提供托管服務,供用戶根據(jù)風險需求準確建立自定義規(guī)則。新一代WAF以實時模式及行為分析為基礎,持續(xù)監(jiān)控并自動過濾出合法請求與惡意流量。此外,它還能提供虛擬補丁程序,借此預防零日漏洞利用等安全隱患。
04. 展望未來
傳統(tǒng)WAF與新一代WAF之間有著一系列的關鍵差異。如今的攻擊者早已熟知傳統(tǒng)WAF的特性,善于尋找漏洞、入侵Web應用程序。因此,請選擇新一代WAF為您帶來的高級Web保護功能,在維持業(yè)務正常運行的前提下迎接安全層面上的良好投資回報。
原文鏈接:https://thehackernews.com/2020/11/why-replace-traditional-web-application.html
來源:互聯(lián)網(wǎng)安全內(nèi)參