這使得解決Web安全的主流技術(shù)--WAF傳統技術(shù)面臨各種挑戰。越來(lái)越多的企業(yè)對WAF的防御有效性、業(yè)務(wù)性能影響性以及高昂的維護成本等問(wèn)題產(chǎn)生不滿(mǎn)和質(zhì)疑。
Web安全的四大類(lèi)“新難題”
- 難管理,Web安全到底怎么管?
各類(lèi)應用層安全系統各自為政,缺乏有效的聯(lián)動(dòng)和統一編排,切實(shí)的安全風(fēng)險應對能力難以真正得到提升,業(yè)務(wù)的不斷變化使得安全防護是一個(gè)體系化工作,管理員和安全團隊很難及時(shí)掌握最新的攻擊和保護措施,如何保障業(yè)務(wù)關(guān)鍵型Web應用程序免受常見(jiàn)攻擊,才能滿(mǎn)足更加嚴格的合規性要求?
- 難融合,各類(lèi)Web安全服務(wù)能否統一形成閉環(huán)?
不同應用安全層的各類(lèi)設備及系統,在使用時(shí)也由不同廠(chǎng)商提供服務(wù),這就對安全產(chǎn)品的多形態(tài)部署能力、協(xié)同聯(lián)動(dòng)能力提出了很高要求,然而實(shí)際上,現有的Web安全服務(wù)彼此之間常常出現難以融合的局面,無(wú)法實(shí)現統一的安全服務(wù)閉環(huán)。
- 難適應,業(yè)務(wù)三天一調整,政策半年一變化?
當前,隨著(zhù)業(yè)務(wù)和監管要求的不斷變化,新的安全建設在完成之后,仍需不斷調整Web安全策略,API業(yè)務(wù)的調整周期甚至以天為單位。但當那些專(zhuān)注API或是更復雜的業(yè)務(wù)威脅,比如證書(shū)填充、應用邏輯漏洞利用、Bots泛濫導致的API接口被濫用及0day利用來(lái)臨時(shí),運維管理卻復雜低效,乃至束手無(wú)策。
- 難上線(xiàn),誤報、漏報怎么辦?
基于特征匹配和靜態(tài)簽名/規則的傳統Web安全檢測技術(shù),誤報和漏報是一對較難調和的矛盾,通常在應用變更時(shí)花費大量時(shí)間進(jìn)行規則調優(yōu)。而由于誤報問(wèn)題,在生產(chǎn)環(huán)境中可能僅啟用相對有限的檢測規則,這導致Web安全技術(shù)被繞過(guò)的概率增加。
嘗試解決上述難點(diǎn),需要認真考慮以下三個(gè)基本點(diǎn):
基于業(yè)務(wù)發(fā)展的“一個(gè)中心,三個(gè)基本點(diǎn)”,安全需要以業(yè)務(wù)為中心,通過(guò)協(xié)作為業(yè)務(wù)提供可持續性保障,當業(yè)務(wù)不斷發(fā)展時(shí),安全架構應該是持續動(dòng)態(tài)變化相適應的。
- 基本點(diǎn)一:Web應用架構向服務(wù)化架構變遷
Web應用架構正從傳統的三層架構(Web服務(wù)器-應用服務(wù)器-數據庫)向服務(wù)化(API、可編程)架構變遷。基礎架構的變化,應用異構混合運行于傳統機架服務(wù)器上、云上。軟件開(kāi)發(fā)模式在DevOps基礎上迭代越來(lái)越快,業(yè)務(wù)上線(xiàn)頻次從月到周,也可能是天,對Web安全服務(wù)提出了更靈活、適配性更強的高要求。
- 基本點(diǎn)二:AI、機器學(xué)習、行為分析、可編程對抗等新技術(shù)突破傳統WAF局限
投入相當多資金購買(mǎi)的傳統WAF產(chǎn)品,雖然可以順利通過(guò)合規性檢查,然而在技術(shù)上卻有其局限。通過(guò)應用學(xué)習的WAF,根本無(wú)法自適應業(yè)務(wù)的更改,常常觸發(fā)基于異常的規則防護;而基于語(yǔ)義分析的 WAF,則仍然不具備對未知威脅的進(jìn)化適應能力,只能處于被動(dòng)應對狀態(tài),人工添加黑白名單對 WAF 進(jìn)行防護策略調整。這類(lèi)WAF 產(chǎn)品安全防護的誤報率和漏報率,影響業(yè)務(wù)使用遲遲不能上線(xiàn)。因此從技術(shù)發(fā)展趨勢上看,人工智能、機器學(xué)習、行為分析、可編程對抗等技術(shù)的融入必然成為WAF產(chǎn)品升級的新要求。
- 基本點(diǎn)三:提升對Bots自動(dòng)化威脅的防護
隨著(zhù)自動(dòng)化攻擊手段的發(fā)展,業(yè)務(wù)系統面臨的攻擊類(lèi)型也越來(lái)越多,OWASP最新發(fā)布的《Automated Threat Handbook》中提到的自動(dòng)化威脅已達到21種之多。有咨詢(xún)機構稱(chēng),“到2023年,網(wǎng)絡(luò )中Bot流量的比例將會(huì )超過(guò)‘人的請求流量’。”
但與此同時(shí),相對于傳統安全攻防,企業(yè)普遍缺乏對于Bots攻擊的認知和防護。Bots流量完全異于之前面對的SQL注入、XSS、漏洞掃描等行為,特別是To B業(yè)務(wù)中,Bots流量大量存在于第三方接口調用的業(yè)務(wù)之中,無(wú)法依靠簡(jiǎn)單的阻斷來(lái)阻止威脅,如何將Bots管理納入到企業(yè)應用和業(yè)務(wù)威脅管理架構中是各大客戶(hù)急需解決的一個(gè)問(wèn)題。
Web安全問(wèn)題的“新高度”:WAAP安全框架
Gartner指出,到2023年,30%以上面向公眾的Web應用程序和API將受到云Web應用程序和API保護(WAAP)服務(wù)的保護,WAAP服務(wù)結合了分布式拒絕服務(wù)(DDoS)防御、機器人程序緩解(Bot Mitigation)、API保護和WAF。
瑞數ALL IN ONE 一站式WAAP解決方案
以瑞數信息顛覆性的“動(dòng)態(tài)防御”+“AI智能雙引擎”為技術(shù)基石,可以與本地、各類(lèi)云端充分整合,支持WAF、Bots管理、API防護獨立或聯(lián)合部署,提供多層級的聯(lián)動(dòng)防御機制,令企業(yè)安全地將各類(lèi)Web業(yè)務(wù)和應用交付在混合架構中,實(shí)現Web安全一體化防御:
- 動(dòng)態(tài)防御,主動(dòng)應對已知和未知威脅;
- AI智能檢測,深度識別,精準檢測低誤報;
- Bot防護,區分自動(dòng)化與人類(lèi)流量;
- 應用層DDOS保護,運維效率顯著(zhù)提升;
- 快速部署,易于使用,自動(dòng)化響應流程;
- 同時(shí)支持內部使用及面向公眾的Web應用和API。
瑞數信息利用動(dòng)態(tài)技術(shù)隱藏攻擊入口,主動(dòng)識別和阻擋傳統防護手段乏力的Bots自動(dòng)化攻擊,同時(shí)利用AI人工智能技術(shù),將安全數據與海量威脅情報分析相結合,為用戶(hù)提供全景的安全威脅可視、攻擊溯源定位等功能,為企業(yè)客戶(hù)提供從基礎設施到業(yè)務(wù)的全方位安全保護。
瑞數WAAP解決方案四大變革
- Web應用協(xié)同防護
融合傳統架構及云上應用多場(chǎng)景的適配和可擴展性,從傳統網(wǎng)絡(luò )邊界,遷移到各種 Web應用、APP應用和API云服務(wù),構建集中于業(yè)務(wù)邏輯、用戶(hù)、數據和應用的可信安全架構,全面抵擋新的安全威脅。
- 安全技術(shù)變革,化被動(dòng)為“主動(dòng)防御”
瑞數專(zhuān)利的動(dòng)態(tài)安全技術(shù),無(wú)需依賴(lài)規則和補丁,為網(wǎng)站安全提供主動(dòng)式安全防護。以“動(dòng)態(tài)防護”技術(shù)為核心,增加服務(wù)器行為的“不可預測性”;提供面向業(yè)務(wù)層的主動(dòng)防御,高效甄別偽裝和假冒正常行為的已知和未知自動(dòng)化攻擊,攔截未知威脅,幫助企業(yè)安全團隊從被動(dòng)防護的困局中突破出來(lái)。
- 基于A(yíng)I技術(shù)的新思路
瑞數信息AI智能威脅引擎,通過(guò)使用機器學(xué)習的多種威脅模型來(lái)確定異常攻擊,并阻攔確定的攻擊請求。每個(gè)威脅模型都代表特定的攻擊類(lèi)別(SQL注入,跨站點(diǎn)腳本,OS命令注入等)。這些威脅模型經(jīng)過(guò)瑞數研發(fā)團隊使用來(lái)自各種來(lái)源的數十萬(wàn)個(gè)真實(shí)攻擊樣本,包括眾所周知的第三方數據庫,如CVE和Exploit DB以及威脅情報,及第三方漏洞掃描程序收集的數據,進(jìn)行了廣泛訓練和測試,從而發(fā)現高度隱蔽的攻擊,有效提高檢測速率,降低誤報、錯報率。
- 強化對新興Bots威脅防護
針對Bots自動(dòng)化工具的識別與防御是瑞數信息產(chǎn)品中所反應出的最突出的能力之一。目前復雜Bots機器人程序攻擊的手段和覆蓋范圍正在不斷增加,安全攻擊變得更具侵略性,瑞數信息的Bots防護能力可以高效抵御由自動(dòng)化工具發(fā)起的高效大規模攻擊,如惡意爬蟲(chóng)、撞庫、虛假注冊、交易篡改、內網(wǎng)安全、API濫用、零日攻擊等,保障企業(yè)和政府機構在業(yè)務(wù)、應用和數據層面的安全升級。
瑞數WAAP解決方案優(yōu)勢
- 多渠道、易管理
滿(mǎn)足用戶(hù)在任何Web場(chǎng)景的需要,構建全應用安全防護體系,為用戶(hù)提供多種業(yè)務(wù)接入的方式,包括API接入、APP客戶(hù)端、網(wǎng)頁(yè)端、微信小程序和H5頁(yè)面等,提供可視化和報告管理,實(shí)現Web安全一體化統一管理。
- 多維度、易適應
瑞數WAAP一站式解決方案,以動(dòng)態(tài)安全技術(shù)為核心,從感知、發(fā)現、監控、保護等多緯度彌補應用安全防御,自適應業(yè)務(wù)快速變化,有效識別與阻擋多源低頻、模擬業(yè)務(wù)邏輯、網(wǎng)頁(yè)零日漏洞等業(yè)務(wù)及應用的攻擊行為。獨有的全程式業(yè)務(wù)威脅感知和AI智能分析技術(shù),以?xún)戎玫耐ㄓ米詣?dòng)化威脅模型,輕松解決業(yè)務(wù)面臨的撞庫、惡意注冊、惡意爬蟲(chóng)、拖庫、應用DDoS等欺詐行為。
- 聯(lián)防、易融合
對抗手段動(dòng)態(tài)變化,聯(lián)合各個(gè)安全模塊統一防護,通過(guò)圖形化界面,簡(jiǎn)答點(diǎn)擊配置,即可全面對抗Web、APP、API等業(yè)務(wù)面臨的Bots威脅、應用層CC攻擊、OWASP TOP10威脅、API管理/防護等,通過(guò)數據融合分析,威脅可視,從而實(shí)現可阻斷、可延遲、可隨機處理等的細粒度軟攔截。
- 協(xié)同、易上線(xiàn)
自動(dòng)化流程,最大限度地減少配置失誤。封裝為虛擬設備運行在虛擬環(huán)境和云基礎架構上,為使用該設備的IT企業(yè)和應用提供了前所未有的靈活性。快速部署,無(wú)需對業(yè)務(wù)服務(wù)器做任何調整,大幅減少人工維護量和資源消耗,讓整體安全防護更加輕量高效。
總結
萬(wàn)物互聯(lián)的時(shí)代下,愈加復雜的Web環(huán)境、不斷增多的應用和層出不窮的攻擊類(lèi)型,都在推動(dòng)WAF市場(chǎng)的升級和變革,除了Web應用安全防護,DDoS防御、Bots管理、API安全維護都將成為未來(lái)WAF評估所注重的核心功能。
瑞數ALL IN ONE 一站式WAAP解決方案,以創(chuàng )新的“動(dòng)態(tài)安全”技術(shù)為核心,結合規則匹配及行為分析技術(shù),打造出“動(dòng)態(tài)安全”+ “AI智能威脅檢測”雙引擎協(xié)同工作機制,提供傳統Web安全防御能力的同時(shí),更能將威脅提前止于攻擊的漏洞探測和踩點(diǎn)階段,輕松應對新興和快速變化的Bots攻擊,0day攻擊和應用DDoS攻擊,同時(shí)具備業(yè)界首創(chuàng )的API攔截能力,結合瑞數可編程對抗系統,賦予企業(yè)Web業(yè)務(wù)高強度對抗能力,為企業(yè)的安全穩定運行保駕護航。
