目前,由于受到種種潛在利益的驅(qū)動,Web應(yīng)用程序已然成為攻擊者的首要目標(biāo)。Web應(yīng)用程序上的安全漏洞有可能造成數(shù)百萬美元損失。令人驚訝的是,與DNS(域名系統(tǒng))有關(guān)的服務(wù)中斷和分布式拒絕服務(wù)(DDoS)攻擊會給業(yè)務(wù)帶來嚴(yán)重的負(fù)面影響。在眾多應(yīng)對策略中,Web應(yīng)用程序防火墻(WAF)無疑扮演著最重要的首道防線角色。
Web應(yīng)用程序防火墻的基本功能是建立一道堅固的防線,以防止某些惡意流量任意攫取資源。盡管WAF技術(shù)自上世紀(jì)九十年代末就已誕生,然而早期技術(shù)成果早已無法適應(yīng)如今愈發(fā)復(fù)雜的網(wǎng)絡(luò)攻擊活動。隨著安全風(fēng)險的不斷提升,新一代Web應(yīng)用程序防火墻已然成為唯一值得信賴的防護(hù)方案。
01
傳統(tǒng)WAF正走向消亡
早期,Web應(yīng)用程序還相對少見,因此由Web帶來的威脅也不明顯。那時的惡意程序復(fù)雜度較低,而且易于檢測。網(wǎng)絡(luò)安全需求量較少,并且通過基本的網(wǎng)絡(luò)安全管理即可滿足。
如今,一切已經(jīng)不復(fù)當(dāng)初。Web應(yīng)用程序可能部署在本地、云上乃至混合環(huán)境當(dāng)中。客戶及員工可以從任意位置通過網(wǎng)絡(luò)加以訪問。由于IP地址不斷變化并被CDN所屏蔽,防火墻很難跟蹤當(dāng)前正在發(fā)生什么、請求的具體來源以及確切去向。
面對種種挑戰(zhàn)及復(fù)雜威脅,WAF自然有必要扛起防御的大旗。但傳統(tǒng)WAF主要由獨(dú)立的硬件設(shè)備實(shí)現(xiàn),這些硬件設(shè)備難以使用、可視性較差并且性能較低。事實(shí)上,高達(dá)90%的組織表示其WAF過于復(fù)雜。
根據(jù)Ponemon研究所發(fā)布的報告,有65%的組織曾遭遇過WAF繞過問題,只有9%的組織表示其WAF從未失效。然而,這并不能夠保證他們會永遠(yuǎn)不會遭遇這種問題。因此,所有公司都應(yīng)該重視自身WAF的效能與安全保障水平。
Ponemon的研究報告還指出,只有40%的受訪者對其現(xiàn)有WAF感到滿意,意味著這類方案一直未能得到充分利用。實(shí)際上有部分企業(yè)表示他們只是使用WAF生成安全警報,而從未將其真正用于阻止可疑活動。
最糟糕的是,組織本身甚至可能被WAF所拖垮——對于這樣一種耗資甚巨的資產(chǎn),組織對于WAF乏善可陳的安全增強(qiáng)表現(xiàn)感到無可奈何。為了解決這方面難題,新一代Web應(yīng)用程序防火墻應(yīng)運(yùn)而生。
02
傳統(tǒng)WAF面臨的挑戰(zhàn)
從業(yè)者們經(jīng)常強(qiáng)調(diào),他們之所以選擇從傳統(tǒng)Web應(yīng)用程序防火墻轉(zhuǎn)向下一代WAF,主要基于以下幾點(diǎn)重要考量:
1、技術(shù)創(chuàng)新
Web應(yīng)用程序標(biāo)準(zhǔn)一直在不斷變化,這就提高了用戶對于WAF的功能要求。
JSON有效載荷與HTTP/2的日趨普及,迫使大部分Web應(yīng)用程序防火墻供應(yīng)商必須努力跟上。在市場對于安全產(chǎn)品創(chuàng)新的需求壓力之下,相當(dāng)一部分WAF供應(yīng)商已經(jīng)逐漸被時代所拋棄。
2、缺乏可擴(kuò)展性
組織對于網(wǎng)絡(luò)擴(kuò)展能力的要求,往往帶來更高的成本、更長的時間投入與更復(fù)雜的管理流程。以此為基礎(chǔ),設(shè)備集群的部署與維護(hù)都變得難于打理。
DevOps與敏捷方法也要求組織對集群進(jìn)行統(tǒng)一的重新配置與重新調(diào)整,這一切都將進(jìn)一步占用本就十分緊張的安全資源。
3、零日漏洞的利用
雖然WAF能夠有效監(jiān)控Web流量以防止針對HTTP的攻擊,但面對零日攻擊時卻束手無策。WAF的基本設(shè)計思路在于根據(jù)預(yù)先配置的模式進(jìn)行惡意活動檢測,但零日漏洞卻可能被任意攻擊者所利用,導(dǎo)致預(yù)配置模式在攻擊面前始終不起作用。
4、阻斷合法流量
大多數(shù)WAF用戶還抱怨稱,傳統(tǒng)WAF經(jīng)常會無緣無故就阻斷合法流量,即引發(fā)所謂誤報問題。盡管這種狀況在安全層面看似無害,但卻可能給組織本身帶來災(zāi)難性的影響。由于一部分訪問者無法正常獲取應(yīng)用功能、上傳媒體數(shù)據(jù)或者購買產(chǎn)品,他們往往會轉(zhuǎn)向其他廠商,引發(fā)嚴(yán)重的客戶流失。
一種可行的應(yīng)對辦法,在于盡可能減少安全模式的應(yīng)用數(shù)量。但這往往又會增加網(wǎng)絡(luò)的運(yùn)行風(fēng)險。大多數(shù)WAF解決方案很難在這兩個極端之間找到完美平衡。除非投入專門的資源進(jìn)行管理,否則組織幾乎無法充分發(fā)揮傳統(tǒng)WAF的價值。這也成為傳統(tǒng)WAF與新一代WAF之間的最大差異所在。
5、DDoS攻擊
最重要的是,DDoS攻擊也給WAF帶來了困擾。我們發(fā)現(xiàn)不少組織在使用WAF抵御DDoS攻擊,并號稱能夠借此獲得良好的保護(hù)效果。
但問題在于,傳統(tǒng)WAF在自身設(shè)置上并不足以抵擋大規(guī)模DDoS攻擊。另外,現(xiàn)有應(yīng)用程序往往由第三方平臺共享/提供,因此無法立足本地防御層加以保護(hù)。如果沒有基于云的WAF,您將很難提前規(guī)劃容量;即使有所規(guī)劃,容量仍存在明確上限,往往不足以消化掉瞬間涌現(xiàn)的惡意流量。
云WAF(特別是托管型云WAF)擁有更強(qiáng)的規(guī)模伸縮能力。企業(yè)只需要根據(jù)實(shí)際資源使用量付費(fèi),而不必為未來可能需要的容量預(yù)先投入固定成本。
03
新一代WAF的基本功能
盡管眾多WAF供應(yīng)商都宣稱提供下一代WAF產(chǎn)品,但其中大多延續(xù)與傳統(tǒng)WAF相同的安全模式,因此不能算是真正的下一代方案。我們可以將下一代WAF的基本功能及特性總結(jié)如下:
1、應(yīng)用程序與Web使用控制
應(yīng)用程序與Web使用控制解決了“哪些流量類型需要阻斷?”這一核心問題。下一代WAF將使用多種標(biāo)識類別對跨網(wǎng)絡(luò)站點(diǎn)及應(yīng)用內(nèi)的往來流量進(jìn)行身份標(biāo)記,進(jìn)而確定應(yīng)如何處理。
準(zhǔn)確的流量分類無疑是下一代WAF的核心功能,有助于防止組織訪問各類惡意、不相關(guān)或者可能造成法律糾紛的網(wǎng)站及應(yīng)用。
2、高級Web應(yīng)用程序安全分析
基于云的WAF不僅能夠解決困擾大多數(shù)Web應(yīng)用程序的新興攻擊活動,同時也能夠在威脅可見性及分析層面做出持續(xù)改進(jìn)。在傳統(tǒng)WAF中,企業(yè)通常會對已有的問題視而不見,假裝一切風(fēng)平浪靜,直到問題發(fā)生。
新一代WAF能夠?qū)崟r監(jiān)控性能指標(biāo),突出展示基礎(chǔ)設(shè)施、應(yīng)用程序以及最終用戶群體內(nèi)正在發(fā)生的一切。您可以在問題真正出現(xiàn)之前做出反應(yīng),并相信WAF能夠始終按照預(yù)期方式運(yùn)行。
3、Web應(yīng)用程序安全評估與惡意軟件檢測
新一代防火墻充分意識到,即使合法有效的站點(diǎn)也有可能存在某些不為人知的漏洞,甚至可能鏈接至惡意軟件站點(diǎn)及惡意負(fù)載處。此外,企業(yè)有時還希望對社交媒體平臺授予訪問權(quán)限,而這些平臺上往往也充斥著惡意鏈接或文件。
在這種情況下,能夠提供與應(yīng)用風(fēng)險緊密關(guān)聯(lián)的WAF策略、并持續(xù)加以迭代的新一代WAF將擁有傳統(tǒng)方案所無法比擬的優(yōu)勢。
4、全球威脅情報
這種基于云的安全平臺能夠充分利用覆蓋全球的部署體系,全面了解世界范圍內(nèi)的流量變化趨勢。它會監(jiān)控并分析所有流量,當(dāng)在一個位置發(fā)現(xiàn)安全威脅之后,隨機(jī)會對全球所有部署節(jié)點(diǎn)進(jìn)行更新與強(qiáng)化。
5、自動干預(yù)
基于云的WAF不僅可以通過預(yù)定義的策略與簽名實(shí)現(xiàn)流量阻斷,同時也提供托管服務(wù),供用戶根據(jù)風(fēng)險需求準(zhǔn)確建立自定義規(guī)則。新一代WAF以實(shí)時模式及行為分析為基礎(chǔ),持續(xù)監(jiān)控并自動過濾出合法請求與惡意流量。此外,它還能提供虛擬補(bǔ)丁程序,借此預(yù)防零日漏洞利用等安全隱患。
04
展望未來
傳統(tǒng)WAF與新一代WAF之間有著一系列的關(guān)鍵差異。如今的攻擊者早已熟知傳統(tǒng)WAF的特性,善于尋找漏洞、入侵Web應(yīng)用程序。因此,請選擇新一代WAF為您帶來的高級Web保護(hù)功能,在維持業(yè)務(wù)正常運(yùn)行的前提下迎接安全層面上的良好投資回報。