概述
據Forrester統計,2013年有超過半數的企業的Web應用被泄露,其中不少因此遭到嚴重的財務損失。近年來,企業安全事件屢見報端:2011年,多家公司和政府網站被黑客攻擊;2012年的DDoS攻擊令眾多美國銀行網站癱瘓;更不用提那些造成數百萬用戶信用卡信息泄露的網絡安全事故了。傳統的網絡安全防護體系已無法招架如今的黑客們了。
今天,網絡罪犯已不僅僅把目光鎖定在知名大公司上,每一個存在漏洞的網站都可能成為被攻擊的目標。黑客們的攻擊方式一般可以分為以下三種:技術性Web攻擊、業務邏輯處理攻擊、以及網絡欺詐。
技術性Web攻擊
技術性Web攻擊恐怕是黑客們最熱衷的攻擊方式了。SQL注入以及跨站點腳本攻擊絕對是網絡罪犯的最愛, 在黑客論壇里,有關SQL注入的討論占據了全部話題的五分之一。相關安全研究也表明,全球超過97%的數據泄露與SQL注入有關。
業務邏輯處理攻擊
黑客們不會局限于傳統的Web攻擊方式,近年來,他們開始利用企業的業務邏輯漏洞發起攻擊,例如在論壇中張貼垃圾評論廣告,破壞網站以竊取其中的高價值知識產權內容,執行重復的暴力破解攻擊,或是在搜索中運用通配符令應用程序中斷。這類攻擊往往令公司束手無策,因為應用程序掃描通常無法檢測到業務邏輯漏洞,而在安全開發中也難以規避此類問題。
網絡欺詐
黑客還會把目標轉向沒有防備的網站訪客,用欺詐軟件如Zeus和SpyEye潛入上百萬臺電腦。這些欺詐軟件會盜取用戶的信任憑證、通過追蹤鍵擊和操縱網絡內容進行劫持會話。盡管欺詐軟件針對的是最終用戶,但受害者實際是網站的擁有者,如銀行和電商網站,因為需要支付高昂的賠償和修復費用。
網絡安全防護為何失效?
當上個世紀90年代企業開始業務聯網時,他們遇到的是現代黑客的先行者—通過開放端口和平臺的漏洞進行惡意攻擊的入侵者。針對此類攻擊,企業開始部署防火墻和IPSs。然而,當這些企業開始部署web應用時,黑客很快就學會規避這些防火墻,而通過編碼和惡意評論等繞過技術規避IPS特征檢測。
下一代防火墻(NGFW)在幾年后進入視野,提供鑒別應用流量(如HTTP或即時通信)等新功能。然而,這類功能并不能阻止網絡攻擊。NGFW不能攔截針對定制的web應用漏洞的攻擊,也無法偵查針對cookie,會話、參數值篡改的攻擊。NGFW同樣不能阻攔被欺詐軟件入侵的終端設備,或者業務邏輯攻擊。僅僅依賴這類網絡安全解決方案的企業,實際無法保護網絡應用安全。
Web應用安全是企業業務安全的核心
WAF已成為企業為應用提供安全防護的的核心平臺,能夠全面抵御包括技術性Web攻擊、業務邏輯攻擊以及網絡欺詐在內的網絡威脅。WAF通過對Web應用的深入理解和輸入驗證, 能有效阻攔SQL注入、跨站點攻擊和目錄遍歷攻擊,阻止惡意掃描并修補漏洞。WAF還能夠自動進行更新,預防新的攻擊對企業核心應用造成的安全威脅。
作為企業戰略層面的防護,企業在選擇WAF產品時必須對其安全性能、管理方式以及調度方式進行全面仔細的評估。下文中列舉的內容即WAF應當具備的十大特性:
WAF應當具備的十大特性:
1:充分了解Web應用
挑戰:
當今企業面臨的是日益先進且多樣的Web攻擊。豐富的Java腳本和SQL給了黑客們無數可乘之機。特定代碼可以幫助檢測Web攻擊,但它要么由于檢測的范圍過于寬泛而導致誤報威脅,要么由于對句法限定過于精確而造成威脅漏報。黑客們完全可以通過一些逃避手段或創新方法繞過傳統的安全防護,威脅Web應用的安全。
對WAF的要求:
為了對Web應用進行精確的防護,WAF必須對受保護的應用進行充分了解,包括URLs,各項參數以及Cookies。了解受保護的應用和輸入驗證可以有效防止SQL注入、參數篡改以及Cookie中毒。為實現輸入驗證,WAF需要檢查特定字符的參數值,如省略號、括號等,預測其是否具有攻擊意圖。由于企業更新應用愈發頻繁,WAF必須能夠自動地捕捉到應用的更新,從而在保證WAF最高防護水平的情況下,實現對WAF的有效管理。
2:領先黑客一步
挑戰:
黑客總是在創新。無論是發明新的攻擊工具,通過更隱秘的方式擴大黑客組織,還是不斷優化現有攻擊技術,總之,應用威脅在不斷升級。在黑客們的秘密論壇中,不斷有新的攻擊向量和漏洞被曝光。騙子們也不閑著,欺詐軟件開發者開發出可以自我突變的文件來逃避病毒特征代碼的檢測。如今的網絡罪犯可以規避物理認證、智能卡和外帶認證來進行欺詐。目前應用安全解決方案面臨的最大障礙恐怕就是如何跟上這些層出不窮、花樣百出的威脅的腳步。
對WAF的要求:
WAF必須具備最新的防護以應對層出不窮的網絡威脅,充分利用來自全世界的活躍攻擊信息和欺詐數據來識別攻擊和攻擊者。WAF應能夠對安全代碼、政策、信譽數據和欺詐情報自動進行更新。除此之外,關注其安全調研部門的報告也是非常重要的。此安全調研是否關注Web應用安全?是否具備抵御最新應用攻擊的能力?如果答案是否定的,則應該研究替代方案。
3:逃逸攔截技術 Thwart Evasion Techniques
挑戰:
企業需要在不阻礙合法流量的前提下抵御Web攻擊。這個要求聽起來相當合理,但對于多數安全解決方案來說卻并非如此。如前所述,WAF需要輸入驗證,但它不應該阻止無意的錯誤輸入。如果黑客于在線表格郵編一欄內輸入常見的Web攻擊字符,如方括號或省略號,那么WAF應該檢測到這一反常行為。但如果這個行為是發生在合法用戶的無意輸入時呢?如何區分這是網絡罪犯在發起攻擊還是普通網絡用戶正在填表?又如何創建攻擊代碼對SQL關鍵詞進行監測,并確保在合法請求中不出現這些關鍵詞?答案是:通過先進的分析方法和智能關聯。
對WAF的要求:
WAF必須擁有一個分析引擎,對多樣的攻擊行為進行檢測,以避免漏報。這個分析引擎不僅要能識別攻擊字符串,同時要能夠對攻擊關鍵詞、特定字符、違反協議等因素進行評估分析。它不僅要能識別違規行為,還應運用風險評分和正規表達式對惡意請求和非常規但無害的流量進行區分。WAF還要能夠關聯超時請求,以檢測重復的攻擊行為,例如暴力登錄和DDoS攻擊。只有具備了靈活而智能的關聯引擎的WAF才能抵御那些老練的黑客攻擊,同時不阻礙合法用戶的正常使用。
4:防止自動攻擊和僵尸網絡
挑戰:
當今的網絡犯罪已經產業化,黑客們利用自動化操作發起更具效率和規模的攻擊,并將之轉化為價值數萬億美元的生意。通過網絡漏洞掃描和僵尸網絡,網絡罪犯們可以發現易受攻擊的網站,再利用諸如Havij這樣的SQL自動注入工具,便可獲取到敏感數據資源。除了這類由職業黑客發起的攻擊以外,企業還被另一類自動攻擊所威脅,比如競爭對手自動抓取網頁內容,以及網站垃圾評論注入。
對WAF的要求:
WAF必須有能力阻攔自動攻擊行為,包括網站抓取、垃圾評論、DDoS和漏洞掃描等。鑒于如今自動攻擊頻發,攔截惡意用戶與攔截惡意請求同樣重要。正確地識別惡意用戶需要多重防御。第一,WAF要能夠識別僵尸網絡,它們是絕大多數自動攻擊的元兇。可以通過測試網絡用戶的瀏覽器來確定它們是否正常,還是已經成為僵尸網絡或是被腳本注入。第二,WAF要能夠檢測用戶在短時間內出現大量的頁面請求,這是僵尸網絡的一個重要信號。其它信號還包括重復下載大容量文件,或者要求長時間的響應。通過僵尸檢測,WAF可以廣泛而有效地攔截自動攻擊行為,保護網站不受到惡意破壞。
5:攻擊者的來源
挑戰:
惡意的網頁訪問者會千方百計地尋找漏洞、竊取數據、實施欺詐,甚至攻陷網站,但他們可不全是人類,很多時候是僵尸機器人在自動地對一個接一個的網站發起持續攻擊;人類黑客就聰明和復雜得多了,他們會用匿名Proxy或木馬掩藏身份;而網絡欺詐者有著獨特的攻擊方式,比如說通過釣魚盜取用戶數字證書。
對于當今的企業,最大的問題是只有攻擊造成一定范圍的影響之后,才能判斷是否是惡意用戶或非法網站。
對WAF的要求:
為了保護web應用,WAF必須能夠識別已知的惡意攻擊來源和網站。WAF需要鑒別出那些對其他網站已有攻擊歷史的惡意來源,在損害造成之前攔截;而由于黑客通常匿名,WAF需能識別來自Proxy和木馬的訪問;針對釣魚行為,則需識別來自于釣魚網站的用戶;而地理位置也很重要,WAF需能限制來自特定地區的訪問,以減少不需要的流量及攔截來自某個高攻擊率地區的DDoS攻擊。另外,由于WAF是防護網絡攻擊的最有效的解決方案,也理應能夠收集和分享關于攻擊行為和來源的信息。基于云的社區防護產品則應能發布精準、實時的攻擊數據。這才是未來的應用安全。
6:虛擬補丁漏洞
挑戰:
目前的現實情況是,大部分的Web應用都有漏洞。而修復一個被發現的漏洞平均需要至少38天,意味著這是些應用會長時間曝光在攻擊之下。除了修復漏洞所需的時間和花費,企業還需考慮那些多年閑置的遺留應用以及應用包里的漏洞帶來的麻煩。
對WAF的要求:
WAF必須能夠預防那些利用漏洞乘虛而入的行為,諸如輸入校驗(Input Validation)、HTTP協議校驗、攻擊特征這樣的防護功能必須能夠阻攔大部分漏洞攻擊。除此之外,企業還需實施精細管控,以確保對已知Web應用漏洞的嚴格識別。企業可通過整合WAF和應用掃描,配合自定義的安全策略,對掃描到的漏洞進行補丁。
7:阻止惡意軟件
挑戰:
欺詐軟件是金融機構的頭號敵人。網絡罪犯開始把他們在網上銀行的成功攻擊經驗復制到電商和網絡支付上:他們先通過Zeus病毒,或者SpyEye木馬入侵終端,然后當被感染的用戶登陸目標Web應用比如說網上銀行時,這些惡意軟件就會進行未授權交易,或者竊取個人登陸信息。一旦欺詐軟件入侵個人用戶,由于涉及龐大的修復和賠償費用,最大的受害者實際是銀行和電商本身。
對WAF的要求:
WAF必須能緩解欺詐軟件的持續攻擊。置于網絡用戶和應用之間,WAF能夠清晰看到應用層的交易,并分析終端用戶的行為特點、網絡流量的模式,以及時發現及攔截被感染的終端。其他功能還需包括:在特定時間段監測用戶,發出警報,聯合欺詐管理解決方案進行偵查等,同時無需修改應用。
8:減少支付和賬戶欺詐
挑戰:
近期全球發生多個電商巨頭的網絡攻擊事件,損失巨大。如何防護Web應用被惡意欺詐,如何在昂貴而漫長的應用開發和更新完成之前,盡快實施抵御措施?
對WAF的要求:
WAF 需要聯合基于云的防欺詐解決方案,辨識并分析可疑現象:瀏覽器不規則使用(browser irregularities),被入侵的設備、可疑的支付信息等。WAF需能在不改動web應用的情況下,把歷史欺詐數據和網絡攻擊、用戶行為關聯起來,識別并阻止入侵。
9:支持本地和云端部署
挑戰:
應用的基礎架構和網絡攻擊一樣,呈多樣化和快速進化態勢,這導致安全需求和配置也日趨多樣化:有的企業在本地部署應用,有的在云端;有的需要透明的安全解決方案,對web應用零影響,有的則需重寫URLs和編碼,從而改變web應用內容;有的企業需要高性能的硬件部署,有的只需靈活的虛擬部署;大企業要求全套部署,則需多樣化的部署選擇,以支持不同部門、不同地理位置托管的遠程應用。
對WAF的要求:
WAF需要提供靈活的配置選擇,以滿足不同企業的不同需求。在許多企業逐漸向云遷移的過程中,WAF需能支持針對私有云的虛擬配置方案,提供基于云的安全服務,保護被托管的web應用。
在本地部署應用的企業需求也很復雜:有的需要高性能、不改變現有web應用或網絡設備的解決方案;有的需要WAF能修改內容、標記cookies、重寫HTML;有的需要非聯機的部署。企業在選擇WAF時應考慮一個既滿足現有、又能滿足未來需求的解決方案。
10:自動化和規模化運營
挑戰:
WAF可以很復雜,但阻止入侵不能復雜。安全管理員應無需學習腳本語言就能創建定制化的安全政策;另一挑戰來自于企業往往運行上十數百個位于不同數據中心,甚至不同國家的網絡服務器,這意味著企業需能實施集中化應用安全策略管理,并監測全球范圍的事件;最后,企業需能細致地偵查安全事故,這有賴于WAF提供細致的安全報警和定制化的監測和鑒別。
對WAF的要求:
WAF需簡單易用,同時提供靈活的政策配置,不單是初始配置,還能讓安全管理員方便地審核其他同事創建的安全政策;除了定制化政策之外,WAF需能支持集中化管理,使企業能在全球不同數據中心的不同WAF間實現政策和應用管理的同步;最后,WAF需能提供細致、響應迅速的安全事件信息。詳盡的監測和報告、集中化管理、靈活的政策配置,使得企業能管理、監測和保護web應用。
結論
今天,web應用已成為驅動業務的核心力量。企業要保障業務安全,則要保護應用和數據安全,而一般的防火墻和IPS并不是為此而設,只有Web應用防火墻,才能真正做到這一點。以上列舉的十點應是每一個WAF都具備的基本特性,企業可據此標準來判斷WAF的部署。
京公網安備 11010502049343號