作為一種成熟的安全產品品類,WAF能夠基于規則和特征為Web應用提供各種安全規則,并通過不斷維護規則庫,對Web應用進行保護。
然而,隨著攻防水平的不斷升級,這一套傳統的防御體系正在被打破。
傳統WAF可以“被繞過”
由于傳統WAF基于規則構建安全策略,只要針對Web服務器、Web應用對協議解析、字符解析、文件名解析、編碼解析以及SQL語法解析的差異進行變形,就可能達到繞過WAF的效果。
傳統WAF無法對新型的攻擊進行有效的識別和阻斷
目前市面上大多數的WAF都是基于規則匹配的,但規則的更新往往是滯后于攻擊發生,例如:0 day漏洞攻擊,沒有預配置的規則,只能在漏洞披露后,依據漏洞特征建立防護規則。再比如,利用海量IP地址池的多源低頻攻擊,使得限頻限IP的規則失效。
傳統WAF對于邏輯漏洞的防御捉襟見肘
傳統WAF對攻擊的識別來自于已經設定好的規則庫,對于看似“正常”的業務邏輯漏洞卻無能為力。例如越權操作,入侵者可以用低權限賬號登陸系統后,通過攔截并修改用戶參數,以達到查看或者修改其它權限賬號的目的,而傳統WAF并不能識別這一看似正常的操作。
可以看到,傳統WAF技術存在較大的局限性,已不再適應當下復雜的網絡攻擊形勢,因此WAF技術的革新成為必然。
瑞數下一代WAF - WAAP平臺:三大引擎全面升級應用安全防護
瑞數下一代WAF - WAAP平臺提供全面的Bot防護、DDoS防御、API保護等功能,而基于“動態安全引擎”+ “智能威脅檢測引擎”+“規則引擎”三大引擎的核心技術則進一步升級為更高效全面的應用防護能力,在提供傳統Web安全防御能力的同時,更能將威脅提前止于攻擊的漏洞探測和踩點階段,輕松應對新興和快速變化的Bots攻擊、0day攻擊和應用DDoS攻擊,幫助用戶打造覆蓋Web、APP、云和API資產等應用的主動防護體系。
三大引擎之一:動態安全引擎
基于瑞數信息獨創的動態安全技術,內置的動態安全引擎會對當前頁面內的合法請求地址授予一定時間內有效的動態令牌,阻攔沒有令牌的非法請求;并且通過在頁面中隨機自動插入動態驗證腳本,實現對訪問客戶端的人機識別,從而識別腳本、程序等Bots自動化攻擊行為,同時保障應用邏輯的正確運行。
采用動態安全引擎的主動式防護技術,可以在無規則升級的情況下對Web 已知漏洞的探測攻擊、0-day探測進行有效阻斷,防范于攻擊之前。同時,對無明顯惡意特征的模擬操作行為的Bot自動化威脅能有效甄別,實時攔截,無懼Bot工具手法的變化。
三大引擎之二:智能威脅檢測引擎
內置的智能威脅檢測引擎,擁有業界領先的AI模型檢測技術,無需復雜配置,自動防護已知和未知威脅。具體而言,智能威脅檢測引擎是基于AI機器學習算法,使用數百萬的業務樣本和攻擊樣本來建立智能威脅檢測模型,同時當有新的數據樣本后,可以很快訓練生成新的智能模型并應用到防護中。在“動態安全引擎”對各類Bots威脅高效攔截之外,在深度威脅行為的識別上更加智能和針對性。從技術上看主要包含四個方向:
業務流量自學習技術 –業務異常智能識別
建立正常業務流量模型,自動發現訪問行為的偏差;持續學習保持模型更新,實現對異常流量的檢測;還具備復雜字符集的學習能力,可以應對各類復雜的業務場景,從而提供精細和智能的業務防御能力。
語義分析技術 - 惡意代碼精準分析
采用詞法分析、語法解析、威脅語義評分機制對攻擊行為進行檢測、防御,針對實際業務接近于零誤報;同時對于一些通過編碼混淆而繞過規則的攻擊代碼,也能有效防護,顯著提高0day檢出率,降低誤報率、漏報率。
行為分析技術- 多應用異常訪問監控
通過對客戶端到服務器端所有的請求日志進行全訪問記錄,并利用機器學習進行深度行為分析,智能規則匹配,持續監控并分析Web、App、API訪問行為,從而深入檢測攻擊和異常的訪問操作,精準追蹤溯源。
Webshell檢測技術- 針對性智能檢測
基于AI檢測Webshell,即通過大量的訓練樣本,針對不同特點數據構建適宜的算法模型,自動學習數據內在特征和聯系,通過瑞數專家經驗訓練調參以達到最優效果。 AI檢測能克服傳統Webshell檢測方式的單一性和滯后性,對新型變種具備一定的識別效果,同時能很好處理通過加密編碼等繞過靜態檢測的Webshell。
在剛剛結束的“第三屆中國人工智能大賽”中,瑞數信息AI團隊在Webshell檢測識別方向,憑借檢出評價、誤報評價、效果測試三個方面均為第一名的好成績,勇奪大賽網絡安全方向A級冠軍,足見瑞數信息過硬的AI安全技術實力。
三大引擎之三:規則引擎
內置豐富特征規則庫,全面覆蓋OWASP TOP 10攻擊場景,包括注入攻擊防護、跨站腳本攻擊防護、Webshell防護、文件上傳下載攻擊防護、跨站請求偽造防護、敏感信息過濾等。同時,規則庫支持離線升級和在線自動更新。作為Web應用安全防護最基礎的規則引擎,豐富的特征庫是覆蓋應用威脅類型最為全面,應對手動攻擊基礎而高效的技術。
內置的三大引擎在能力上互補,引擎中的技術在Web、App、API等多應用訪問中依據各自特點發揮作用。其中,“動態引擎”在很大程度上阻攔了Bot自動化工具的攻擊,而“AI智能威脅檢測引擎”+“規則引擎”則針對人工滲透攻擊以及在威脅識別智能化、針對性和精細度上做了很好的補充。同時,三大引擎也可以獨立使用,通過無規則和輕規則的更新和調優,可以適配不同企業用戶的業務場景。
實現應用安全一體化防御 降低安全運維成本
對于企業用戶而言,通過瑞數下一代WAF - WAAP平臺既可以應對已知攻擊威脅,同時也有多種防護手段應對未知威脅攻擊,以極低的資源消耗就能防止人機攻擊行為、保障多類型的應用安全,讓企業的安全運維成本大幅降低。
目前,瑞數下一代WAF - WAAP平臺已廣泛應用在運營商、金融、政府、教育、醫院、企業客戶中,幫助政企機構真正實現網站/APP/小程序/API的安全防護,有效抗擊黑產,降低其安全風險和經濟損失。
同時,瑞數信息參與了多次攻防實戰演練、進博會保障、建國70周年保障等國家級網絡安全重保工作,在近兩年的攻防實戰演練中參與了30多家國家重要部門、大型銀行的防守工作,其下一代WAF產品在實戰演練中取得了良好的成績,因而被用戶贊譽為“重保神器”。
京公網安備 11010502049343號