据Neustar国际网络安全委员会在2020年发布的调查报告显示,四成受访的安全相关人员表示,至少有一半针对他们应用层的攻击绕过了WAF;而有一成的人员表示,超过90%的攻击可以轻松避开WAF防御。
这份报告也佐证了PonemonInstitute在2019年的调研结果:65%的组织在他们的WAF中经历过旁路,而只有9%的组织表示他们没有被入侵;同时,只有40%的受访者对他们现有的WAF感到满意。PonemonInstitute还发现,平均每家企业雇用2.5名安全管理员,他们每周花费45个小时处理WAF警报,另外每周花费16个小时编写WAF新规则。
传统WAF的可靠性和满意度问题已经引起了业界的高度关注,这意味着WAF市场正面临一次重大的调整和变革。
多类型应用兴起,凸显传统WAF防护局限
事实上,WAF是一个相当成熟的安全品类,发展至今已近20年。
在早期,以网站为核心的Web应用兴起,由于应用类型单一,恶意程序的复杂度较低,基于规则和特征匹配的传统WAF可以满足Web应用防护的需求。
然而,时代在飞速的变化。近年来移动互联网的快速发展,诞生了APP、H5、小程序等多种应用形式,更多的企业核心业务、交易平台都越来越依赖这些新型应用程序,它们可能部署在本地、云上乃至混合环境中,企业员工和用户都可以从网络的任意位置进行访问。与此同时,越来越多的第三方API接口被调用,API业务带来的Web敞口风险和风险管控链条的不断扩大,已非传统WAF的防护范畴。
Bot威胁攀升,Bot机器人管理超越传统WAF
传统WAF除了防护范围的局限外,在识别各类规模化、高效率的工具化、智能化、拟人化的Bots攻击行为的能力上也是捉襟见肘。Bots威胁不仅让各种利用Web应用漏洞进行攻击的事件与日俱增,更对数字化业务产生重大影响和危害。应对Bots所产生的已知和未知应用风险、数据泄漏风险、业务风险,已经大大超出了传统WAF的防护能力范围。
《ForresterAnalytics:ApplicationSecuritySolutionsForecast,2020To2025(Global)》报告指出,2019年到2025年,应用安全解决方案市场规模将从47亿美元增长到129亿美元,Bot机器人管理将涵盖许多Web应用程序防火墙(WAF)的核心功能,并能够在2025年超越传统WAF成为核心应用程序保护解决方案。通过Bot机器人管理,一系列基于Bot的攻击,包括撞库、爬虫等欺诈威胁,都可以被检测并阻拦。另外,在Bot机器人管理工具保护应用程序免受恶意机器人攻击的同时,善意机器人将被允许通行,人类用户也不会受到不必要的验证码和其他挑战的阻碍。
下一代WAF,从WAF工具走向WAAP平台
不难发现,传统WAF已经难以跟上威胁态势发展的步伐。数字化时代的WAF防护机制该如何演进,才能助力企业抵御未知威胁,做好新时代的安全运营?作为业界公认的权威咨询机构,Gartner对WAF技术的进一步演化给出了答案。2021年,Gartner将多年来发布的WAF魔力象限改为了WAAP魔力象限,进一步扩展了安全防护范围和安全深度。
Gartner指出,到2023年,30%以上面向公众的Web应用程序和API将受到云Web应用程序和API保护(WAAP)服务的保护,WAAP服务结合了分布式拒绝服务(DDoS)防御、机器人程序缓解(BotMitigation)、API保护和WAF。
•WAF能力:WAF不仅能检测已知威胁,还要能检测未知威胁,这对于基于规则和特征匹配的传统WAF来说是一个很大的挑战。
•Bots自动化攻击防护能力:Bots自动化攻击在逐年增加,几乎60%的互联网流量都是机器人程序生成的。为了提高攻击效率,Bots攻击者尝试利用各种各样的手段绕过检测措施,这使得前端对抗不断升级。但相对于传统安全攻防,企业普遍缺乏对于Bots攻击的认知,这进一步加剧了Bots攻击带来的危害。因此,下一代WAF应具备Bots自动化攻击的识别和防护能力。
•API保护能力:相比传统的Web页面,API承载了更多业务流程。随着API访问环境的愈发开放、API数量的极速攀升,以及API本身的快速变化,基于规则的API应用漏洞攻击防护,已经无法满足API接口被滥用、越权访问、僵尸API、数据泄漏等安全防护需求。因此,下一代WAF应具备API内外保护的能力,这也是目前市场上很多WAF产品都在努力补足的方向。
•DDoS防护能力:DDoS是一种常见的攻击方式,尤其在攻击应用时非常有效。如今黑灰产的DDoS攻击能力在逐年加强,大规模攻击的组织能力也在不断提升,攻击者尝试通过变化多种攻击特征和大规模分布式加大攻击量,绕过防御规则,压垮防护设备性能;同时,可以在不触发限速防御策略的情况下实现攻击,让传统WAF的策略失效。因此,下一代WAF应具备DDosS防护能力,对漏洞的威胁面要有更好的预判,对攻击团伙的监控要有更深入而持续的跟踪。
虽然WAF产品通过多年的发展已经相对成熟,但其对复杂威胁的检测和响应能力仍有待进一步提升。因此,传统WAF功能将被纳入到WAAP平台中,与威胁情报、Bot防护、DDoS防御、API保护等功能组件紧密协同,帮助企业用户打造针对Web应用的主动防护体系。
瑞数下一代WAF-WAAP平台,提供一站式动态主动防御
瑞数下一代WAF,即WAAP平台,以独特的“动态安全”为核心技术,以Bot防护为核心功能,结合智能威胁检测技术、行为分析技术,提供传统Web安全防御能力的同时,更能将威胁提前止于攻击的漏洞探测和踩点阶段,轻松应对新兴和快速变化的Bots攻击、0day攻击、应用DDoS攻击和API安全防护。
在Bot防护层面,针对Bots自动化工具的识别与防御是瑞数信息产品中所反应出的最突出的能力之一。瑞数信息以“动态安全”技术为核心的“动态安全引擎”,通过对服务器网页底层代码的持续动态变换,以动态封装、动态验证、动态混淆、动态令牌等创新技术,增加服务器行为的“不可预测性”,让攻击者无从下手,大幅提升攻击难度,从而实现了从用户端到服务器端的全方位“主动防护”。
在DDoS防护层面,多源低频、慢速攻击、精准打击等技术的应用,让针对业务/应用层的CC攻击难以防护。区别基于限频的防护技术,瑞数信息“动态安全引擎”中的“动态令牌”技术,可从根源上对Bots发起的CC攻击进行识别拦截,降低资源消耗,保障业务的正常稳定性运行。
在WAF层面,借助“动态安全引擎”,瑞数信息不依赖基于签名和特征的传统规则,即可实现对工具化应用漏洞探测和攻击的识别,以及0day的自动化攻击和探测。同时,与“智能威胁检测引擎”“规则引擎”形成三大引擎协同工作,对手动攻击、自动化攻击提供更为高效全面的Web应用防护能力,实现纵深防御。
在API防护层面,瑞数信息采用智能威胁检测技术、行为分析技术,通过API感知、发现、监控分析和保护四大模块,实现对API接口的自动发现,建立API清单,能够有效实现API资产管理和API访问行为管控。同时,建立API安全基线,对API滥用、API异常访问、恶意扫描、注入攻击等进行监控分析,能够实现API安全防护和敏感数据管控。
目前,瑞数下一代WAF-WAAP平台已广泛应用在运营商、金融、政府、教育、医院、企业客户中,帮助各类组织机构真正实现网站/APP/小程序/API的安全防护,有效抗击黑产,降低其安全风险和经济损失。同时,瑞数信息参与了大量攻防实战演练、进博会保障、建国70周年保障等国家级网络安全重保工作,并取得了良好的成绩,因而被用户赞誉为“重保神器”。
正如瑞数信息技术总监吴剑刚所说,“网络安全遵从‘木桶原理’,网络整体安全水平由安全级别最低的部分所决定”。当单一的WAF产品已不足以解决无处不在的安全风险,从WAF走向WAAP的整体安全能力才能够补足现有的安全盲点,实现真正覆盖Web、APP、云和API资产的应用安全一体化防御,而瑞数下一代WAF-WAAP平台正是这样的代表之作。