近期,在全球權威咨詢機構 Gartner 發布的 2019 Web 應用防火牆魔力象限中,阿里雲 Web 應用防火牆成功入圍,是亞太地區唯一一家進入該魔力象限的廠商!
Web 應用防火牆,簡稱 WAF、在保護 Web 應用程序的安全性上面已有多年的發展歷史。近年來,隨着雲服務的普及、大數據計算能力的發展,雲 WAF 因具有易部署、易操作、功能更豐富等優勢受到了越來越多的企業認可。Gartner 在報告中也指出,相較於傳統的 WAF 設備而言,更多的企業開始考慮使用雲 WAF 來做安全防護。
阿里雲 WAF 是一款基於雲原生安全能力誕生的 SaaS 化軟件服務,可以實現分鍾級接入,同時集成了 DDoS 防護、防爬對抗、API 安全、風險威脅情報檢測等功能,可以針對用戶 Web 和 APP 業務提供更縱深、更精細化的安全管控,同時完美應對企業業務發展快、業務屬性多變等帶來的安全挑戰,保障業務核心數據安全。
阿里雲 WAF 架構
在 Gartner 本次評測中,阿里雲 WAF 的主動防御模式及異常行為檢測能力得到高度認可,其中所用到的智能算法能力被評為強勢功能。阿里雲 WAF 的主動防御能力能夠基於對用戶正常業務流量的不斷迭代學習,建立”千人千面”的自動化防御策略;通過將多種深度學習算法應用在異常請求分析、用於識別非法流量檢測實時攔截。
隨着各種業務不斷遷移到線上,企業在線上的應用也越來越多,而隨之帶來的, 不僅僅是業務上的便捷,同時也有更多的安
上周五,在安全牛主辦的CS8大會上,就將焦點集中在了WAF(網站應用防護系統)上。長亭科技、安恆信息、Fortinet以及銥迅信息就WAF這個論題,分享了自己的觀點。
長亭科技:語義+集群+插件擴展的雷池2.0
長亭科技產品總監李昌志分享了長亭科技的WAF產品——長亭雷池的三大特點:
1. 基於語義分析的WEB攻擊檢測
傳統的正則引擎只懂文本而不懂程序本身,就存在着誤報、需要頻繁更新規則、難以檢測未知威脅等問題。而語義分析則能理解程序語言,在理解正常程序語法的基礎上通過檢測找到可疑流量。語義檢測的價值之一,在於即使是相同特征,能識別出在不同場景、語序下是攻擊還是正常請求。基於這點,長亭雷池可以更好地解決誤報、漏報、以及對未知威脅防御的問題。
2.輕量穩定的集群
李昌志提到,如今的環境中,不僅攻擊手段更加多樣化,企業本身也有網站規模變得更大,業務需求更為復雜的問題。因此,長亭雷池2.0增加了新的功能。為了應對大規模流量的情況,長亭科技給出了雷池集群方案:通過使用不同的集群部署,進行不同的任務,應對在大規模流量情況下的安全需求。長亭科技的集群有着不需要改變拓撲、輕松水平擴展以及支持多活和主備方案的特點。
3.插件擴展性
由於不同企業有不同的用戶、業務需求和運維流程,企業對WAF的使用也會有定制化的要求。長亭科技支持客戶自己定制插件,滿足自己特別的安全需求。對於沒有足夠能力自己進行插件制作的用戶,長亭科技有專門的插件社區和插件市場,幫助用戶找到自己最需要的插件,做到對其他平台提供數據支持,同時對接風控平台,實時阻斷要求等目的。
安全牛評
長亭科技的最大亮點在於長亭科技的語義分析檢測能力。語義分析這一技術已經為人所道多年,但距離真正的技術落地並且廣泛應用還是有一定距離。但是長亭科技對於語義分析的使用已經落地並且在攻擊檢測上卓有成效,大大緩解了誤報帶來的安全運維難問題。而集群和插件擴展能力也為大企業帶來了更彈性以及定制化的解決方案。
安恆信息:怎樣才是一個優秀的WAF?
安恆信息的網關事業群副總經理馮佳坤則主要分享了安恆對WAF的認知。
馮佳坤表示,WAF產品的核心價值在於全面防護性、防護准確性、高性能、高兼容以及高可用。
現今情況下,國內的WAF核心架構主要分為代理型以及非代理型。馮佳坤對比了兩類WAF,提到代理型的WAF雖然檢測深入,但是對性能損耗性很大,同時需要較高的技術積累才能實現兼容性;而對於非代理型WAF,盡管高效同時有高兼容性,但是卻因為檢測的不夠深入,會有漏報的風險。面對高級威脅的多樣性的攻擊方式,企業在現階段必須在性能與安全防護之間做出平衡,這是如今的WAF的不足之處。
另一方面,部分用戶會選擇低價WAF產品。馮佳坤認為,這些產品並不能真正保護到企業。由於設備性能等因素,這些WAF只能防護關鍵業務的部分請求以及部分非關鍵部分,無法對企業進行全方位保護,使得攻擊者從看似不重要的地方作為攻擊接入點。另一方面,這些產品也會有擔心誤攔截會影響業務可用性導致只開啟檢測告警,實際並未有效保護的問題。部分產品甚至會有受限於網絡環境問題、設備性能、業務不兼容等因素,導致客戶購買后停用。
馮佳坤提到,未來的方向來看,傳統盒子類WAF會向智能WAF演進,WAF安全檢測引擎SPOA外移實現深度檢測聯動,通過安全設備分析引擎無縫賦能WAF,讓WAF防護更加智能更加准確。
安恆自身的WAF有五大特點:
1. 大規模智能集群突破單機WAF性能瓶頸。
2.雲端全網威脅情報共享讓防護更准確。
3.大數據AI分析更全面防護攻擊。
4.雲端專業高防,提供各種類型攻擊流量清洗服務,低成本按需按次收費。
5.與專業病毒廠商合作,通過沙箱對上傳文件進行檢測,避免惡意文件攻擊。
安全牛評
安恆信息這次分享的最大干貨是安恆對WAF這款產品的深入理解:不僅僅是如何打造一款優秀的WAF,同樣是對WAF的缺陷有深刻的見解。只有這樣,才能研發出功能更強的WAF,逐漸領先行業。
Fortinet:機器學習為WAF帶來的價值
Fortinet的FortiWeb在Gartner2017年度的WAF魔力象限中屬於挑戰者的位置,在這次CS8大會上,Fortinet的華北區技術經理胡丹丹和我們分享了機器學習在WAF中的應用。
胡丹丹提到,傳統的WAF自學習產生誤報的實際環境很多,處理起來也很麻煩:不規范也不會以造成攻擊的輸入也會被誤報、開發人員不會因為這些事情修改代碼、例外需要人為“優化”等問題。一旦所有異常都被視為威脅,那么會大大增加誤報率,以及人為處理“威脅”的需求。
而Fortinet現在的處理方式,在發現異常行為后,對異常行為使用FortiGuard進行進一步威脅檢測,對真實威脅進行阻斷,同時允許看似異常的請求。Fortinet使用的模型則是根據真實的攻擊特征訓練而成。
通過機器學習,FortiWeb可以做到接近100%的威脅檢測精確度,同時幾乎不需要人工進行微調和優化,卻能檢測自學習不能檢測的攻擊。
Fortinet同時為FortiWeb配套了其他設備,共同抵御威脅:
1. FortiGate可以共享給WAF已經被感染的用戶的IP地址列表,幫助WAF更好地進行決策和防御。
2.FortiSandbox:對威脅實時在線阻斷,同時掃描FortiWeb提交的文件,發現未知威脅。
安全牛評
Fortinet作為進入Gartner魔力象限的外國廠商,有他獨特的優勢。這次Fortinet帶來的特點是通過機器學習來檢測威脅。區別於自學習的WAF模式,機器學習賦能的WAF不僅可以更精確地檢測威脅,更能減少人為修正,自動應對未知威脅。
銥迅:HTTPS的透明防御
由於越來越多的網站開始使用HTTPS架構,安全供應商也需要應對HTTPS的新架構對安全解決方案進行改進。銥迅北方大區資深技術經理分享了銥迅對於HTTPS的透明防御解決方案。
對於傳統的HTTPS防護,防護設備需要通過端口映射或DNS解析的方式將流量牽引到防護設備上,再通過防護設備卸載SSL證書進行過濾后轉發;因此,盡管與互聯網之間的傳輸是加密的,但是防護設備與服務器端卻是明文通訊。另外,傳統防護還有着架構改動大、單點故障、服務器無法獲取真實來源IP地址等問題。
銥迅給出的解決方案,是將防護設備用透明串接方式進行部署。這樣做的優勢在於部署方便,不需要對網絡拓撲進行大量改動,實施難度低。對於串接部署,一大顧慮是一旦防護設備故障,可能會造成網路堵塞的危險。銥迅的防護設備可以在出現故障時,切換到bypass模式,從而不影響服務器訪問。
在防護能力方面,銥迅采用了Webshell智能攔截,識別已知與未知的Webshell木馬上傳行為;銥迅擁有專利解碼引擎、協議棧全狀態檢測功能、蜘蛛自學習網站參數進行的動態建模等功能,更精確檢測威脅。另外,銥迅擁有高吞吐量(最高可達20Gbps)以及高並發(最高可達1200萬)的處理能力。