为什么要换掉传统Web应用防火墙 (WAF) ?
Web应用已成攻击者首要目标,以硬件设备形式实现的传统WAF不足以提供全面的应用控制和可见性,基于云的新时代WAF可以提供足够的Web防护,交付安全投资的真正价值。
目前,由于潜在变现机会,Web应用已成为攻击者的首要目标。Web应用安全事件可能招致成百上千万美元的巨大损失。域名系统(DNS)相关服务中断和分布式拒绝服务(DDoS)也会对业务产生负面影响。众多安全对策中,Web应用防火墙是第一道防线。
Web应用防火墙(WAF)的基本功能是建立一道坚实的边界,阻止特定类型的恶意流量访问资源。尽管上世纪90年代末就已出现WAF,此类初代技术已不再适合近些年来的复杂网络攻击,不足以提供全面的应用控制和可见性。随着安全风险的不断上升,新时代Web应用防火墙是提供恰当防护的唯一解决方案。
传统防火墙已死,至少濒临死亡
早些时候,Web应用没那么普遍,Web威胁也就没有那么突出。恶意机器人程序不算很复杂,检测简单直接。网络安全需求还非常基础,采用基本网络安全管理就能妥善应对。
时至今日,所有这一切发生了改变。Web应用存在于本地、云端或混合环境中,客户和雇员通过网络在任意地点加以访问。由于IP地址不断改变,且被内容分发网络(CDN)遮蔽,防火墙无法追踪访问请求源自何方、去向何处,也无法确知网络上正在发生什么。
WAF应该能抵御一系列复杂高端威胁。传统WAF以硬件设备形式实现,不仅难以使用,还深受可见性缺乏和性能低下之苦。以至于90%的公司企业声称自己的WAF太过复杂了。
波耐蒙研究所的调查研究显示,65%的公司企业经历过WAF失效,仅9%的公司企业WAF未遭突破。然而,这并不代表他们的WAF在未来永远不会被绕过。公司企业担心自身WAF的性能和安全不无道理。
图:波耐蒙《Web应用防火墙状态》
波耐蒙的研究还表明,仅40%的受访者满意自身现有WAF,也就是说他们并没有充分发挥其功效。少数公司承认仅将WAF用于产生安全警报,而不是阻止可疑活动。
最糟的情况下,公司企业被WAF拖累,十分后悔投入如此多的资产却在重要事项上毫无安全进展。于是,新时代Web应用防火墙的需求应运而生。AppTrana等新时代WAF是基于云的托管服务,更易于部署,拥有更便利的订阅商业模式,且依托专业人才和知识持续管理安全策略,让公司企业能够专注自身核心专业技能,不用费心学习复杂的应用安全新技术。
传统WAF面临的挑战
从传统Web应用防火墙转向下一代WAF的产业界人士表达了他们做出WAF切换决策的动机。大部分原因不外乎以下几种:
1 技术创新
Web应用标准不断发展变化,提高了对WAF必要功能的要求。
JSON有效负载和HTTP/2采纳的增长令大多数Web应用防火墙供应商疲于追赶。尽管市场预期不断创新,很多WAF供应商却越来越脆弱。
2 缺乏扩展性
公司企业对网络扩展的需求加剧了成本、耗时和复杂性等挑战。设备集群的部署和维护变得非常复杂。
开发运维和敏捷方法需要持续重新配置和重新微调集群,耗干安全团队资源。
3 零日漏洞利用
尽管能够有效监测Web流量以阻止特定于HTTP的攻击,WAF却对零日攻击束手无策。WAF用于检测预配置的模式,但零日漏洞可通过各种攻击途径加以利用,预配置的规则无法覆盖这些途径。
4 阻塞合法流量
大多数WAF用户的另一个不满之处,是传统WAF会无意阻塞有效流量,也就是所谓的误报。尽管从安全角度考虑,这似乎相对无害,但对公司企业而言却可能是灾难性的。误报可能会阻止访客获取应用功能、上传媒体或购买产品。
解决这个问题的一个潜在方法是只应用最低限度的模式,但这可能会让网络更加脆弱。大多数WAF解决方案都难以平衡这一操作。除非投入专用资源加以管理,否则很难充分发挥传统WAF的效用。这就是传统WAF无法满足预期的最大缺陷。
5 DDoS攻击
最重要的是,DDoS难题困扰WAF安装。很多公司企业都使用WAF防止DDoS攻击。他们选择这么做主要是因为可以将WAF升级到具备缓解DDoS攻击的功能。
然而问题在于,传统WAF就不是用来抵御大规模DDoS攻击的。而且,现代应用由第三方平台共享或提供,靠本地防御层也保护不了。没有基于云的WAF,就难以规划前期容量,即使勉强规划,也依然存在上限。
云WAF和专用托管云WAF能够解决扩展问题。公司企业只需基于价值付费,无需为了未来可能或可能不会发生的事件支付前期固定费用。
了解新时代WAF的功能
尽管很多WAF供应商都宣称提供下一代WAF,其实其中大部分都采用与传统WAF相同的安全范式,根本不能称之为下一代。我们需要的是真正称得上下一代的新时代WAF。正如Indusface的AppTrana所呈现的,新时代WAF的基本特征包括:
1应用和Web使用控制
应用和Web使用控制能够解决阻止哪类流量的问题。WAF采用多种标识类别来识别网站和网上应用的确切身份,确定该怎样处理这些网站和应用。
准确的流量分类是下一代WAF的核心。这么做可以防止公司企业访问可能导致法律问题或恶意/无关的网站和应用。
2 高级Web应用安全数据分析
基于云的WAF不仅能够处理大多数Web应用正在经历的新兴攻击,还可稳定提升威胁可见性和改善数据分析。如果采用传统WAF,公司企业基本等于盲飞,只能期待一切都“好”,而事故总会发生。
WAF实时监视性能指标,突出显示基础设施、应用和最终用户的状态。可以信任WAF会按既定功能运行,让用户能在事件发生前早做准备。
3 Web应用安全评估和恶意软件检测
新时代防火墙很清楚:即使合法网站也可能无意中存在漏洞,甚至可能含有链向恶意站点和恶意攻击载荷的链接。而且,即使知道常会含有恶意链接或恶意文件,公司企业有时候也会赋予社交媒体平台访问权。
AppTrana之类新时代WAF的主要好处,是能够提供与应用风险相关的WAF策略并持续执行。
4 全球威胁情报
基于云的安全平台能够利用其国际部署,维持完整的全球流量趋势洞察。此类安全平台监视和分析全球所有部署的流量,只要某个位置识别出安全威胁,全球所有部署都能收到更新并响应加强防御。
5 自动化干预
基于云的WAF不仅依赖预定义的策略和特征,还提供准确的自定义风险规则托管服务。云WAF基于实时模式和行为分析持续监视并自动过滤有效请求及恶意黑客,也提供虚拟补丁以防止漏洞利用,比如零日漏洞。
前瞻
传统WAF与新时代WAF之间存在几个关键差异。如果传统WAF出于某种原因不敷使用,Web应用就会成为攻击者易于得手的猎物。最佳解决办法是选择先进的Web防护,防止对业务运营造成负面影响。基于云的新时代WAF旨在提供足够的Web防护,交付安全投资的真正价值。
关键词:WAF;
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表万方安全立场,转载目的在于传递更多信息。如有侵权,请联系删除。