新技术、新应用的蓬勃发展,驱动了安全创新变革,企业数字化进程不断加速,客户需求和Web应用场景愈加广泛,更多门户网站、核心业务、交易平台等日益依赖Web和APP开展。与此同时,越来越多的开放性API业务也正在蓬勃发展,成为企业数字化转型的重要内容。伴随流量的提升,API业务带来的Web敞口风险和风险管控链条的扩大,不仅各种利用Web应用漏洞进行攻击的事件正在与日俱增,各类工具化、智能化、拟人化的Bots攻击对数字化业务的影响也在快速攀升。
这使得解决Web安全的主流技术——WAF传统技术面临各种挑战。越来越多的企业对WAF的防御有效性、业务性能影响性以及高昂的维护成本等问题产生不满和质疑。
Web安全的四大类“新难题”
- 难管理,Web安全到底怎么管?
各类应用层安全系统各自为政,缺乏有效的联动和统一编排,切实的安全风险应对能力难以真正得到提升,业务的不断变化使得安全防护是一个体系化工作,管理员和安全团队很难及时掌握最新的攻击和保护措施,如何保障业务关键型Web应用程序免受常见攻击,才能满足更加严格的合规性要求?
- 难融合,各类Web安全服务能否统一形成闭环?
不同应用安全层的各类设备及系统,在使用时也由不同厂商提供服务,这就对安全产品的多形态部署能力、协同联动能力提出了很高要求,然而实际上,现有的Web安全服务彼此之间常常出现难以融合的局面,无法实现统一的安全服务闭环。
- 难适应,业务三天一调整,政策半年一变化?
当前,随着业务和监管要求的不断变化,新的安全建设在完成之后,仍需不断调整Web安全策略,API业务的调整周期甚至以天为单位。但当那些专注API或是更复杂的业务威胁,比如证书填充、应用逻辑漏洞利用、Bots泛滥导致的API接口被滥用及0day利用来临时,运维管理却复杂低效,乃至束手无策。
- 难上线,误报、漏报怎么办?
基于特征匹配和静态签名/规则的传统Web安全检测技术,误报和漏报是一对较难调和的矛盾,通常在应用变更时花费大量时间进行规则调优。而由于误报问题,在生产环境中可能仅启用相对有限的检测规则,这导致Web安全技术被绕过的概率增加。
尝试解决上述难点,需要认真考虑以下三个基本点:
基于业务发展的“一个中心,三个基本点”,安全需要以业务为中心,通过协作为业务提供可持续性保障,当业务不断发展时,安全架构应该是持续动态变化相适应的。
- 基本点一:Web应用架构向服务化架构变迁
Web应用架构正从传统的三层架构(Web服务器-应用服务器-数据库)向服务化(API、可编程)架构变迁。基础架构的变化,应用异构混合运行于传统机架服务器上、云上。软件开发模式在DevOps基础上迭代越来越快,业务上线频次从月到周,也可能是天,对Web安全服务提出了更灵活、适配性更强的高要求。
- 基本点二:AI、机器学习、行为分析、可编程对抗等新技术突破传统WAF局限
投入相当多资金购买的传统WAF产品,虽然可以顺利通过合规性检查,然而在技术上却有其局限。通过应用学习的WAF,根本无法自适应业务的更改,常常触发基于异常的规则防护;而基于语义分析的 WAF,则仍然不具备对未知威胁的进化适应能力,只能处于被动应对状态,人工添加黑白名单对 WAF 进行防护策略调整。这类WAF 产品安全防护的误报率和漏报率,影响业务使用迟迟不能上线。因此从技术发展趋势上看,人工智能、机器学习、行为分析、可编程对抗等技术的融入必然成为WAF产品升级的新要求。
- 基本点三:提升对Bots自动化威胁的防护
随着自动化攻击手段的发展,业务系统面临的攻击类型也越来越多,OWASP最新发布的《Automated Threat Handbook》中提到的自动化威胁已达到21种之多。有咨询机构称,“到2023年,网络中Bot流量的比例将会超过‘人的请求流量’。”
但与此同时,相对于传统安全攻防,企业普遍缺乏对于Bots攻击的认知和防护。Bots流量完全异于之前面对的SQL注入、XSS、漏洞扫描等行为,特别是To B业务中,Bots流量大量存在于第三方接口调用的业务之中,无法依靠简单的阻断来阻止威胁,如何将Bots管理纳入到企业应用和业务威胁管理架构中是各大客户急需解决的一个问题。
Web安全问题的“新高度”:WAAP安全框架
Gartner指出,到2023年,30%以上面向公众的Web应用程序和API将受到云Web应用程序和API保护(WAAP)服务的保护,WAAP服务结合了分布式拒绝服务(DDoS)防御、机器人程序缓解(Bot Mitigation)、API保护和WAF。
瑞数ALL IN ONE 一站式WAAP解决方案
以瑞数信息颠覆性的“动态防御”+“AI智能双引擎”为技术基石,可以与本地、各类云端充分整合,支持WAF、Bots管理、API防护独立或联合部署,提供多层级的联动防御机制,令企业安全地将各类Web业务和应用交付在混合架构中,实现Web安全一体化防御:
- 动态防御,主动应对已知和未知威胁;
- AI智能检测,深度识别,精准检测低误报;
- Bot防护,区分自动化与人类流量;
- 应用层DDOS保护,运维效率显著提升;
- 快速部署,易于使用,自动化响应流程;
- 同时支持内部使用及面向公众的Web应用和API。
瑞数信息利用动态技术隐藏攻击入口,主动识别和阻挡传统防护手段乏力的Bots自动化攻击,同时利用AI人工智能技术,将安全数据与海量威胁情报分析相结合,为用户提供全景的安全威胁可视、攻击溯源定位等功能,为企业客户提供从基础设施到业务的全方位安全保护。
瑞数WAAP解决方案四大变革
- Web应用协同防护
融合传统架构及云上应用多场景的适配和可扩展性,从传统网络边界,迁移到各种 Web应用、APP应用和API云服务,构建集中于业务逻辑、用户、数据和应用的可信安全架构,全面抵挡新的安全威胁。
- 安全技术变革,化被动为“主动防御”
瑞数专利的动态安全技术,无需依赖规则和补丁,为网站安全提供主动式安全防护。以“动态防护”技术为核心,增加服务器行为的“不可预测性”;提供面向业务层的主动防御,高效甄别伪装和假冒正常行为的已知和未知自动化攻击,拦截未知威胁,帮助企业安全团队从被动防护的困局中突破出来。
- 基于AI技术的新思路
瑞数信息AI智能威胁引擎,通过使用机器学习的多种威胁模型来确定异常攻击,并阻拦确定的攻击请求。每个威胁模型都代表特定的攻击类别(SQL注入,跨站点脚本,OS命令注入等)。这些威胁模型经过瑞数研发团队使用来自各种来源的数十万个真实攻击样本,包括众所周知的第三方数据库,如CVE和Exploit DB以及威胁情报,及第三方漏洞扫描程序收集的数据,进行了广泛训练和测试,从而发现高度隐蔽的攻击,有效提高检测速率,降低误报、错报率。
- 强化对新兴Bots威胁防护
针对Bots自动化工具的识别与防御是瑞数信息产品中所反应出的最突出的能力之一。目前复杂Bots机器人程序攻击的手段和覆盖范围正在不断增加,安全攻击变得更具侵略性,瑞数信息的Bots防护能力可以高效抵御由自动化工具发起的高效大规模攻击,如恶意爬虫、撞库、虚假注册、交易篡改、内网安全、API滥用、零日攻击等,保障企业和政府机构在业务、应用和数据层面的安全升级。
瑞数WAAP解决方案优势
- 多渠道、易管理
满足用户在任何Web场景的需要,构建全应用安全防护体系,为用户提供多种业务接入的方式,包括API接入、APP客户端、网页端、微信小程序和H5页面等,提供可视化和报告管理,实现Web安全一体化统一管理。
- 多维度、易适应
瑞数WAAP一站式解决方案,以动态安全技术为核心,从感知、发现、监控、保护等多纬度弥补应用安全防御,自适应业务快速变化,有效识别与阻挡多源低频、模拟业务逻辑、网页零日漏洞等业务及应用的攻击行为。独有的全程式业务威胁感知和AI智能分析技术,以内置的通用自动化威胁模型,轻松解决业务面临的撞库、恶意注册、恶意爬虫、拖库、应用DDoS等欺诈行为。
- 联防、易融合
对抗手段动态变化,联合各个安全模块统一防护,通过图形化界面,简答点击配置,即可全面对抗Web、APP、API等业务面临的Bots威胁、应用层CC攻击、OWASP TOP10威胁、API管理/防护等,通过数据融合分析,威胁可视,从而实现可阻断、可延迟、可随机处理等的细粒度软拦截。
- 协同、易上线
自动化流程,最大限度地减少配置失误。封装为虚拟设备运行在虚拟环境和云基础架构上,为使用该设备的IT企业和应用提供了前所未有的灵活性。快速部署,无需对业务服务器做任何调整,大幅减少人工维护量和资源消耗,让整体安全防护更加轻量高效。
总结
万物互联的时代下,愈加复杂的Web环境、不断增多的应用和层出不穷的攻击类型,都在推动WAF市场的升级和变革,除了Web应用安全防护,DDoS防御、Bots管理、API安全维护都将成为未来WAF评估所注重的核心功能。
瑞数ALL IN ONE 一站式WAAP解决方案,以创新的“动态安全”技术为核心,结合规则匹配及行为分析技术,打造出“动态安全”+ “AI智能威胁检测”双引擎协同工作机制,提供传统Web安全防御能力的同时,更能将威胁提前止于攻击的漏洞探测和踩点阶段,轻松应对新兴和快速变化的Bots攻击,0day攻击和应用DDoS攻击,同时具备业界首创的API拦截能力,结合瑞数可编程对抗系统,赋予企业Web业务高强度对抗能力,为企业的安全稳定运行保驾护航。