由“点”向“面”!简析新一代WAF的理念与应用
2023-11-15 12:52:29 Author: mp.weixin.qq.com(查看原文) 阅读量:11 收藏

一直以来,Web应用防火墙(WAF)都是企业组织开展网络安全建设的最基本要求之一,在企业数字化发展中扮演了重要角色。不过随着网络攻击的演进,WAF技术的应用也在发生变化,新一代WAF的产品理念开始被提出。相比传统的WAF产品,新一代WAF不仅要对组织的网站系统进行保护,还要对逐渐普及的Kubernetes、微服务、API以及无服务器部署等新兴业务应用模式进行保障和支撑。

传统WAF的挑战

尽管WAF已经是一种趋于成熟的网络安全产品,但最新的调研数据显示,用户组织对WAF产品的应用满意度却不容乐观。在国际网络安全委员会(Neustar)不久前开展的一次调研中,接近40%的受访者表示曾遇到WAF被攻击绕过的情况;有33%的受访者表示其正在使用的WAF系统存在误报的情况;此外,有超过30%的受访者表示,目前的WAF系统存在配置复杂、策略修订难等不足。

除传统WAF产品本身的性能瓶颈及功能不足外,当前企业组织对WEB应用模式的转变也带来了新的应用风险,也对传统WAF防护技术提出了新的要求:

  1. WEB应用的访问路径已不局限在网页中,小程序接入、APP接入、API调用方式已经成为WEB应用对外提供服务的主流,因此在做数据包分析时需要更加全面;

  2. 机器人攻击、人工智能手段、商业化的高级攻击软件比例增加,以及攻击者能力上升,都会对WAF的应用性能带来更大压力,并导致绕过WAF的可能性不断增加;

  3. 除SQL注入、一句话木马等网络攻击行为外,基于业务逻辑的攻击比例不断增加,而传统的WAF技术采用的独立会话判断模式无法识别出逻辑攻击的内容;

  4. 从需求侧看,随着攻击种类的增加,需要为WAF提交的配置越来越复杂,学习成本越来越高,用户对传统WAF产品的运营使用难度也会不断加大。

新一代WAF的理念

面对以上传统WAF产品应用中的不足,新一代的WAF产品需要通过更先进的设计理念和技术手段,进行能力完善和优化,从而提升WAF的应用价值。基于当前企业组织的WEB应用风险特征,并结合分析师对甲方用户和国内代表性WAF产品服务商的实际调研访谈,安全牛对新一代WAF的理念进行了以下思考和定义:

新一代WAF是指针对WEB应用系统执行过程中遇到的各种运行安全问题、数据安全问题以及业务安全问题,通过更广泛的原始数据采集和分析,提供多维度、智能化、可协同的系统性防护能力的产品或解决方案。在新一代WAF产品的设计中,应该对WEB应用执行切面,覆盖尽可能多的WEB应用防护场景,在同一平台、同一输入、同一流程下,针对当前Web应用安全需求,提供尽可能完备的防护能力覆盖。

Web应用风险模型

基于以上定义和思考,新一代WAF产品应该具有以下典型应用特征:

  • 平台化:新一代WAF不只是对单一数据包进行过滤匹配,因此需要在统一的平台进行威胁分析和检测,或者以云化的方式交付;

  • 生态化:从内部看,为了提升新一代WAF的能力,需要与威胁情报能力结合,提升威胁识别能力;从外部看,新一代WAF还可以与RASP产品、身份安全等产品等形成联动,对WEB应用全生命周期进行防护;

  • 能力泛化新一代WAF不仅针对应用的运行进行防护,还支撑了应用系统的数据安全防护、业务安全防护,其能力由点向面泛化;

  • 服务化:WEB应用随时接入互联网的特性让WAF的SaaS化交付成为可能,因此服务化交付是新一代WAF 的重要发展趋势,用户仅需要获得WAF的能力即可,不需要考虑WAF的实现方式、配置方式。服务化交付一方面可以提供更高的性能,另一方面也可以提升用户的部署效率;

  • 自动化:新一代WAF作为具备处置能力的设备,未来将拥有更强的自动化执行能力,随着WAF产品生态的落地,越来越多的具备分析能力的设备可将分析结果、处置策略传递给新一代WAF,提升网络边界侧的实时处置能力。

新一代WAF的能力架构

安全牛始终认为:安全不是一个口号,也不是一款产品,而是一种能力。为了实现“多维度、智能化、可协同”的Web应用安全防护能力,新一代WAF产品在研发设计时可以参考以下能力架构:

新一代WAF能力架构

新一代WAF能力的建设并不是要对传统WAF功能的摒弃,而是一种继承和完善,同时针对新的应用场景进行创新优化。围绕新一代WAF的核心能力建设,可以从核心技术、支撑技术、联动技术等视角去赋能或形成能力提升。

从核心能力角度看,新一代WAF的核心能力可分为延续能力和创新能力。能力延续即为传统WAF的能力,而新能力则是指基于传统WAF能力解决的新问题或通过联动其他技术形成的能力。需要指出的是,传统WAF所提供的数据包解析、语义识别等能力仍然是新一代WAF能力构建的基础。

从核心技术角度看,新一代WAF的核心技术是对传统WAF技术的叠加,传统的WAF通过拆解应用层数据包,对包中内容进行语义分析和规则匹配的方式进行风险识别。同时WAF具备网页缓存、虚拟补丁、反向代理的能力,提升WAF应用能力和应用效果。新一代WAF中,增加了UEBA、动态防御的能力,以提升对数据包的利用效果,增加对多包协同分析能力。

从应用场景角度看,新一代WAF的典型应用场景既包括漏洞风险防护、数据防泄漏、防CC的传统WAF应用场景,也包括内容风控、业务风控、RBI场景等新应用场景。可以认为,新一代WAF的新应用场景在同时向左、向右推进,向左即对用户内网安全的支持,向右即对用于WEB应用执行中的业务安全场景进行支撑。

需要特别说明的是,新一代WAF并不是一个产品孤岛,而是未来WEB应用防护生态体系中的一部分。因此,从支撑技术看,新一代WAF需要威胁情报提升威胁识别能力、需要SSL解密技术对加密流量进行解析、需要人工智能技术提升风险识别准确率。新一代WAF还可以作为WEB应用防护设备,联动更多的对网络环境、代码安全相关的产品,形成WEB应用全生命周期防护。

《新一代WAF技术应用指南》报告

为了更好地探寻新一代WAF的应用价值与发展方向,安全牛根据第十版全景图报告“Web应用安全防护”领域收录结果,特别邀请到安天、观安信息、瑞数信息、天融信、电信安全、云盾智慧、云科安信(排名部分先后,以首字母序排列)7家国内WAF产品研发与应用领域具有一定代表性厂商,联合启动了《新一代WAF技术应用指南》报告研究工作。本次报告将从企业组织当前实际的Web应用防护需求入手,深入探寻新一代WAF需具备的能力及新的应用价值点,并围绕用户的系统应用特征,给出新一代WAF产品的部署和选型建议。

《新一代WAF技术应用指南》报告提纲

一、 概述

1.1 WEB应用的安全需求

1.2 传统WAF的挑战

1.3 新一代WAF理念

二、 新一代WAF能力

2.1 新一代WAF核心能力

2.2 新一代WAF关键技术

三、 新一代WAF应用实践

3.1 应用场景分析

3.2 方案部署

3.3 产品选型指南

四、 典型案例研究

五、 发展与趋势

六、 代表性厂商及产品分析

报告将于近期正式发布,敬请关注!


文章来源: https://mp.weixin.qq.com/s?__biz=MjM5Njc3NjM4MA==&mid=2651126436&idx=1&sn=ddc8479089e1abf229f6fa28f7b22f98&chksm=bd144a778a63c36135b39585b0c627c358a0fefef55ab71f31f5c9b0ada2aecaa144ebc53110&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh