传统WAF靠边站,瑞数双引擎WAF来了!

幸运草
幸运草
幸运草
955
文章
3
评论
2020年5月27日21:43:52 评论 132

《Gartner 2018 年WAF魔力象限报告》指出,全球WAF(Web Application Firewall)的市场高达8.5亿美元,亚太地区增长率为13.5%,超过全球11.9%的增长率,而中国WAF市场也以14% - 15%的速度在逐年增长。

企业 Web 应用最有效的技术中,WAF已处于首位(占73%)。

顾名思义,WAF是一款专针对Web应用攻击的防护产品,也是安全防护中的第一道防线。当前市面上的WAF产品,主要可以分为三种形态:硬件WAF、软件WAF以及云WAF。不同形态的WAF,适合不同类型用户的业务模式和诉求,并且每一种WAF本身,也各有优缺之处。

主流WAF优缺点浅析

首先是硬件WAF。

部署简单、可承受吞吐量高、防护范围大,可以说是硬件WAF比较明显的优势。

软件WAF不仅价格便宜,甚至还有免费产品。此外,软件WAF的功能通常比较丰富,除了对Web应用做到防护功能以外,还能帮助用户扫描木马、优化服务器等。

而近两年保守用户喜爱的云WAF,则以其部署简单、维护成本低、无需更新等特点,在市场上大放异彩,同时,具有的CDN功能,还能在进行防护的同时,提高网站访问的速率,更是加分满满。

但是,这些形态的WAF都存在一定的通病,这种基于规则和特征的防护方式,最普遍的就是容易出现误杀和被绕过。

Web应用安全除了要应对OWASP TOP10稳居前列的SQL注入、跨站脚本XSS、认证和Webshell木马上传等传统已知漏洞攻击,还要应对大量新兴安全威胁及漏洞,以及新的攻击方式,例如Bots攻击、API数据泄露、零日漏洞等。

Forrester Wave报告指出:“即使应用代码中移除了所有已知漏洞,威胁也会以零日攻击的形式继续存在。

这些新兴安全威胁更可以轻松绕过传统验证码的人机识别技术,也使传统WAF的防护瓶颈愈加凸显:

只能通过阻拦扫描手法实现隐藏漏洞的目的,但却无法隐藏网页目录结构;

只能通过规则更新阻拦零日漏洞,过于滞后和被动;

只能通过信誉库、黑名单、限频规则设定等手段防御应用DDoS;

只能通过策略规则识别和阻拦OWASP Top10 Web安全威胁,误报多,运维工作量大。

除此以外,每个形态的WAF也都有自己比较独特的问题:硬件WAF价格昂贵,中小微企业难以负担;软件WAF内存占用较多,且不太适合大型网站使用;云WAF则因数据需要上云导致存在泄漏的风险。

双引擎WAF的意义

2018年10月16日,瑞数信息发布了全球第一款双引擎动态WAF——瑞数灵动River Safeplus,采用瑞数独有的“动态安全引擎” + “AI智能威胁检测引擎”,内建智能模型,不依赖于规则,对改变了传统WAF被动防护的局面提供了新思路。

传统WAF靠边站,瑞数双引擎WAF来了!

首先,“动态安全引擎”可以主动高效地防御Bot。

对当前页面内的合法请求地址授予一定时间内有效的动态令牌,并为每个客户端生成不依赖于设备特征的唯一标识。令牌的动态变换,加上客户端唯一标识,可防止攻击者通过伪造客户端环境、伪造令牌的方式绕过追踪,阻拦非法的自动化攻击请求。

同时,动态安全引擎通过在页面中随机自动插入动态验证脚本,实现对访问客户端的人机识别,从而阻拦脚本、程序等自动化攻击行为,并保障应用逻辑的正确运行。

动态验证包含真实浏览器形态验证、浏览器指纹及异常行为模式监测三大模块。动态验证的过程中,还会根据威胁态势生成不同的检测代码,提升攻击者或自动化工具假冒合法客户端的难度,有效克服现有终端感知产品使用静态采集代码、被逆向后易于被绕过的安全难题。

“AI智能威胁检测引擎”的作用在于,可以深度识别和精准溯源。

通过对客户端到服务器端所有的请求日志进行全访问记录,并利用机器学习进行深度行为分析,智能规则匹配,持续监控并分析流量行为,从而深入检测威胁攻击。

传统WAF靠边站,瑞数双引擎WAF来了!

AI智能威胁检测引擎在用户和应用程序交互的过程中采集环境和行为特征信息,并利用统计模型来确定HTTP请求的异常。还会基于包括IP、设备指浏览器形态、操作事件、会话对象等在内的上百个维度进,行应用层威胁建模和数据训练学习,区分正常用户及攻击者操作序列,及时阻拦异常行为的访问请求。

简单来说,基于双引擎的特点,瑞数灵动的主要优势可以总结为以下几个方面。

漏洞隐藏防扫描

使漏洞扫描或漏洞利用工具无法发起有效自动化扫描探测,无法发现可利用的漏洞及网页目录结构。在网站未打补丁或补丁空窗期,为网站提供有效安全防护。

无需规则防 0-day

采用动态安全引擎的主动式防护技术,可以在无规则升级的情况下对Web 0-day探测进行有效阻断,防范于攻击之前。

应用层DoS/DDoS攻击防御

通过独有双引擎技术,防御攻击者针对资源消耗高的业务批量发起CC攻击。

OWASP Top10 Web安全威胁防御

防御SQL或远程命令注入、跨站脚本、XML外部实体、不安全的反序列化、使用含有漏洞的组件、Webshell木马上传等覆盖OWASP Top10的攻击。

精准追踪溯源

为每个访问被保护网站的客户端生成不依赖于设备特征的“唯一标识”,防止攻击者通过伪造客户端环境、伪造令牌的方式绕过追踪,从而实现精准攻击定位,结合不同于传统WAF的全访问记录,可以发现更隐蔽的攻击,精准追踪溯源。

除此以外,由于双引擎通过无规则和轻规则的更新和调优,即可阻拦扫描,隐藏网页目录结构,阻拦零日漏洞探测行为,快速识别出自动化工具行为并进行拦截,以极低的资源消耗就能防止自动化威胁,保障网站安全,所以也让用户的运维成本降级。

总的来说,双引擎WAF的问世,打破了传统WAF的常规限制,能够更有针对性地阻拦用户在应用层面临的各种威胁,让企业安全更轻松、更主动、更全面、更高效!

网站被木马恶意篡改了怎么办?

网站被篡改的情况多出现于企业官网,且做了百度竞价的一些网站。而且直接访问网站时,不易发现问题,但通过百度访问会发现跳转到了违法内容的链接。再通过百度搜索官网会发现搜索结果中网站的Title、Description都已经被篡改。 这类行为的目的就是通过这些受害网…

转载请注明:{{title}}-变化吧
  • 赞助本站
  • 微信扫一扫
  • weinxin
  • 赞助本站
  • 支付宝扫一扫
  • weinxin
幸运草
如何上TikTok(国际版抖音)?教程分享 使用教程

如何上TikTok(国际版抖音)?教程分享

在勒索病毒肆虐时,是时候聊聊汽车黑客了!从上周五一直延续至今的wannacry勒索病毒似乎还没有要消停的意思,反而衍生出了升级版,现在俄罗斯和英国已经成了重灾区。黑客入侵个人电脑你听多了,那你听说过黑...
勒索病毒来袭 多所高校中招“想哭” 劫持

勒索病毒来袭 多所高校中招“想哭”

【拒绝背锅】运维故障处理指南1.故障处理原则 故障处理的原则只有两个: 以恢复业务优先 及时升级 1.1 恢复业务优先 恢复业务优先是指,不管在任何情况下,也不管任何级别的故障,都要先做到恢复业务,这...