據(jù)Neustar國(guó)際網(wǎng)絡(luò)安全委員會(huì)在2020年發(fā)布的調(diào)查報(bào)告顯示，四成受訪的安全相關(guān)人員表示，至少有一半針對(duì)他們應(yīng)用層的攻擊繞過了WAF;而有一成的人員表示，超過90%的攻擊可以輕松避開WAF防御。

 

這份報(bào)告也佐證了Ponemon Institute在2019年的調(diào)研結(jié)果：65%的組織在他們的WAF中經(jīng)歷過旁路，而只有9%的組織表示他們沒有被入侵;同時(shí)，只有40%的受訪者對(duì)他們現(xiàn)有的WAF感到滿意。Ponemon Institute還發(fā)現(xiàn)，平均每家企業(yè)雇用2.5名安全管理員，他們每周花費(fèi)45個(gè)小時(shí)處理WAF警報(bào)，另外每周花費(fèi)16個(gè)小時(shí)編寫WAF新規(guī)則。

 

傳統(tǒng)WAF的可靠性和滿意度問題已經(jīng)引起了業(yè)界的高度關(guān)注，這意味著WAF市場(chǎng)正面臨一次重大的調(diào)整和變革。

 

 

事實(shí)上，WAF是一個(gè)相當(dāng)成熟的安全品類，發(fā)展至今已近20年。

 

在早期，以網(wǎng)站為核心的Web應(yīng)用興起，由于應(yīng)用類型單一，惡意程序的復(fù)雜度較低，基于規(guī)則和特征匹配的傳統(tǒng)WAF可以滿足Web應(yīng)用防護(hù)的需求。

 

然而，時(shí)代在飛速的變化。近年來移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，誕生了APP、H5、小程序等多種應(yīng)用形式，更多的企業(yè)核心業(yè)務(wù)、交易平臺(tái)都越來越依賴這些新型應(yīng)用程序，它們可能部署在本地、云上乃至混合環(huán)境中，企業(yè)員工和用戶都可以從網(wǎng)絡(luò)的任意位置進(jìn)行訪問。與此同時(shí)，越來越多的第三方API接口被調(diào)用，API業(yè)務(wù)帶來的Web敞口風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管控鏈條的不斷擴(kuò)大，已非傳統(tǒng)WAF的防護(hù)范疇。

 

 

傳統(tǒng)WAF除了防護(hù)范圍的局限外，在識(shí)別各類規(guī)模化、高效率的工具化、智能化、擬人化的Bots攻擊行為的能力上也是捉襟見肘。Bots威脅不僅讓各種利用Web應(yīng)用漏洞進(jìn)行攻擊的事件與日俱增，更對(duì)數(shù)字化業(yè)務(wù)產(chǎn)生重大影響和危害。應(yīng)對(duì)Bots所產(chǎn)生的已知和未知應(yīng)用風(fēng)險(xiǎn)、數(shù)據(jù)泄漏風(fēng)險(xiǎn)、業(yè)務(wù)風(fēng)險(xiǎn)，已經(jīng)大大超出了傳統(tǒng)WAF的防護(hù)能力范圍。

 

《Forrester Analytics: Application Security Solutions Forecast, 2020 To 2025 (Global)》報(bào)告指出，2019年到2025年，應(yīng)用安全解決方案市場(chǎng)規(guī)模將從47億美元增長(zhǎng)到129億美元，Bot機(jī)器人管理將涵蓋許多Web應(yīng)用程序防火墻(WAF)的核心功能，并能夠在2025年超越傳統(tǒng)WAF成為核心應(yīng)用程序保護(hù)解決方案。通過Bot機(jī)器人管理，一系列基于Bot的攻擊，包括撞庫(kù)、爬蟲等欺詐威脅，都可以被檢測(cè)并阻攔。另外，在Bot機(jī)器人管理工具保護(hù)應(yīng)用程序免受惡意機(jī)器人攻擊的同時(shí)，善意機(jī)器人將被允許通行，人類用戶也不會(huì)受到不必要的驗(yàn)證碼和其他挑戰(zhàn)的阻礙。

 

 

不難發(fā)現(xiàn)，傳統(tǒng)WAF已經(jīng)難以跟上威脅態(tài)勢(shì)發(fā)展的步伐。數(shù)字化時(shí)代的WAF防護(hù)機(jī)制該如何演進(jìn)，才能助力企業(yè)抵御未知威脅，做好新時(shí)代的安全運(yùn)營(yíng)?作為業(yè)界公認(rèn)的權(quán)威咨詢機(jī)構(gòu)，Gartner對(duì)WAF技術(shù)的進(jìn)一步演化給出了答案。2021年，Gartner將多年來發(fā)布的WAF魔力象限改為了WAAP魔力象限，進(jìn)一步擴(kuò)展了安全防護(hù)范圍和安全深度。

 

Gartner指出，到2023年，30%以上面向公眾的Web應(yīng)用程序和API將受到云Web應(yīng)用程序和API保護(hù)(WAAP)服務(wù)的保護(hù)，WAAP服務(wù)結(jié)合了分布式拒絕服務(wù)(DDoS)防御、機(jī)器人程序緩解(Bot Mitigation)、API保護(hù)和WAF。

 

• WAF能力：WAF不僅能檢測(cè)已知威脅，還要能檢測(cè)未知威脅，這對(duì)于基于規(guī)則和特征匹配的傳統(tǒng)WAF來說是一個(gè)很大的挑戰(zhàn)。

 

• Bots自動(dòng)化攻擊防護(hù)能力：Bots自動(dòng)化攻擊在逐年增加，幾乎60%的互聯(lián)網(wǎng)流量都是機(jī)器人程序生成的。為了提高攻擊效率，Bots攻擊者嘗試?yán)酶鞣N各樣的手段繞過檢測(cè)措施，這使得前端對(duì)抗不斷升級(jí)。但相對(duì)于傳統(tǒng)安全攻防，企業(yè)普遍缺乏對(duì)于Bots攻擊的認(rèn)知，這進(jìn)一步加劇了Bots攻擊帶來的危害。因此，下一代WAF應(yīng)具備Bots自動(dòng)化攻擊的識(shí)別和防護(hù)能力。

 

• API保護(hù)能力：相比傳統(tǒng)的Web頁面，API承載了更多業(yè)務(wù)流程。隨著API訪問環(huán)境的愈發(fā)開放、API數(shù)量的極速攀升，以及API本身的快速變化，基于規(guī)則的API應(yīng)用漏洞攻擊防護(hù)，已經(jīng)無法滿足API接口被濫用、越權(quán)訪問、僵尸API、數(shù)據(jù)泄漏等安全防護(hù)需求。因此，下一代WAF應(yīng)具備API內(nèi)外保護(hù)的能力，這也是目前市場(chǎng)上很多WAF產(chǎn)品都在努力補(bǔ)足的方向。

 

• DDoS防護(hù)能力：DDoS是一種常見的攻擊方式，尤其在攻擊應(yīng)用時(shí)非常有效。如今黑灰產(chǎn)的DDoS攻擊能力在逐年加強(qiáng)，大規(guī)模攻擊的組織能力也在不斷提升，攻擊者嘗試通過變化多種攻擊特征和大規(guī)模分布式加大攻擊量，繞過防御規(guī)則，壓垮防護(hù)設(shè)備性能;同時(shí)，可以在不觸發(fā)限速防御策略的情況下實(shí)現(xiàn)攻擊，讓傳統(tǒng)WAF的策略失效。因此，下一代WAF應(yīng)具備DDosS防護(hù)能力，對(duì)漏洞的威脅面要有更好的預(yù)判，對(duì)攻擊團(tuán)伙的監(jiān)控要有更深入而持續(xù)的跟蹤。

 

雖然WAF產(chǎn)品通過多年的發(fā)展已經(jīng)相對(duì)成熟，但其對(duì)復(fù)雜威脅的檢測(cè)和響應(yīng)能力仍有待進(jìn)一步提升。因此，傳統(tǒng)WAF功能將被納入到WAAP平臺(tái)中，與威脅情報(bào)、Bot防護(hù)、DDoS防御、API保護(hù)等功能組件緊密協(xié)同，幫助企業(yè)用戶打造針對(duì)Web應(yīng)用的主動(dòng)防護(hù)體系。

 

 

瑞數(shù)下一代WAF，即WAAP平臺(tái)，以獨(dú)特的“動(dòng)態(tài)安全”為核心技術(shù)，以Bot防護(hù)為核心功能，結(jié)合智能威脅檢測(cè)技術(shù)、行為分析技術(shù)，提供傳統(tǒng)Web安全防御能力的同時(shí)，更能將威脅提前止于攻擊的漏洞探測(cè)和踩點(diǎn)階段，輕松應(yīng)對(duì)新興和快速變化的Bots攻擊、0day攻擊、應(yīng)用DDoS攻擊和API安全防護(hù)。

 

在Bot防護(hù)層面，針對(duì)Bots自動(dòng)化工具的識(shí)別與防御是瑞數(shù)信息產(chǎn)品中所反應(yīng)出的最突出的能力之一。瑞數(shù)信息以“動(dòng)態(tài)安全”技術(shù)為核心的“動(dòng)態(tài)安全引擎”，通過對(duì)服務(wù)器網(wǎng)頁底層代碼的持續(xù)動(dòng)態(tài)變換，以動(dòng)態(tài)封裝、動(dòng)態(tài)驗(yàn)證、動(dòng)態(tài)混淆、動(dòng)態(tài)令牌等創(chuàng)新技術(shù)，增加服務(wù)器行為的“不可預(yù)測(cè)性”，讓攻擊者無從下手，大幅提升攻擊難度，從而實(shí)現(xiàn)了從用戶端到服務(wù)器端的全方位“主動(dòng)防護(hù)”。

 

在DDoS 防護(hù)層面，多源低頻、慢速攻擊、精準(zhǔn)打擊等技術(shù)的應(yīng)用，讓針對(duì)業(yè)務(wù)/應(yīng)用層的CC攻擊難以防護(hù)。區(qū)別基于限頻的防護(hù)技術(shù)，瑞數(shù)信息“動(dòng)態(tài)安全引擎”中的“動(dòng)態(tài)令牌”技術(shù)，可從根源上對(duì)Bots發(fā)起的CC攻擊進(jìn)行識(shí)別攔截，降低資源消耗，保障業(yè)務(wù)的正常穩(wěn)定性運(yùn)行。

 

在WAF層面，借助“動(dòng)態(tài)安全引擎”，瑞數(shù)信息不依賴基于簽名和特征的傳統(tǒng)規(guī)則，即可實(shí)現(xiàn)對(duì)工具化應(yīng)用漏洞探測(cè)和攻擊的識(shí)別，以及0day的自動(dòng)化攻擊和探測(cè)。同時(shí)，與“智能威脅檢測(cè)引擎”“規(guī)則引擎”形成三大引擎協(xié)同工作，對(duì)手動(dòng)攻擊、自動(dòng)化攻擊提供更為高效全面的Web應(yīng)用防護(hù)能力，實(shí)現(xiàn)縱深防御。

 

在API防護(hù)層面，瑞數(shù)信息采用智能威脅檢測(cè)技術(shù)、行為分析技術(shù)，通過API感知、發(fā)現(xiàn)、監(jiān)控分析和保護(hù)四大模塊，實(shí)現(xiàn)對(duì)API接口的自動(dòng)發(fā)現(xiàn)，建立API清單，能夠有效實(shí)現(xiàn)API資產(chǎn)管理和API訪問行為管控。同時(shí)，建立API安全基線，對(duì)API濫用、API異常訪問、惡意掃描、注入攻擊等進(jìn)行監(jiān)控分析，能夠?qū)崿F(xiàn)API安全防護(hù)和敏感數(shù)據(jù)管控。

 

目前，瑞數(shù)下一代WAF - WAAP平臺(tái)已廣泛應(yīng)用在運(yùn)營(yíng)商、金融、政府、教育、醫(yī)院、企業(yè)客戶中，幫助各類組織機(jī)構(gòu)真正實(shí)現(xiàn)網(wǎng)站/APP/小程序/API的安全防護(hù)，有效抗擊黑產(chǎn)，降低其安全風(fēng)險(xiǎn)和經(jīng)濟(jì)損失。同時(shí)，瑞數(shù)信息參與了大量攻防實(shí)戰(zhàn)演練、進(jìn)博會(huì)保障、建國(guó)70周年保障等國(guó)家級(jí)網(wǎng)絡(luò)安全重保工作，并取得了良好的成績(jī)，因而被用戶贊譽(yù)為“重保神器”。

 

正如瑞數(shù)信息技術(shù)總監(jiān)吳劍剛所說，“網(wǎng)絡(luò)安全遵從‘木桶原理’，網(wǎng)絡(luò)整體安全水平由安全級(jí)別最低的部分所決定”。當(dāng)單一的WAF產(chǎn)品已不足以解決無處不在的安全風(fēng)險(xiǎn)，從WAF走向WAAP的整體安全能力才能夠補(bǔ)足現(xiàn)有的安全盲點(diǎn)，實(shí)現(xiàn)真正覆蓋Web、APP、云和API資產(chǎn)的應(yīng)用安全一體化防御，而瑞數(shù)下一代WAF - WAAP平臺(tái)正是這樣的代表之作。