近年来,Web应用已成攻击者首要目标。根据Gartner调查显示,信息安全攻击有75%都是发生在Web应用层而非网络层面上,2/3的Web站点都相当脆弱,易受攻击。
作为一种成熟的安全产品品类,WAF能够基于规则和特征为Web应用提供各种安全规则,并通过不断维护规则库,对Web应用进行保护。
然而,随着攻防水平的不断升级,这一套传统的防御体系正在被打破。
- 传统WAF可以“被绕过”
由于传统WAF基于规则构建安全策略,只要针对Web服务器、Web应用对协议解析、字符解析、文件名解析、编码解析以及SQL语法解析的差异进行变形,就可能达到绕过WAF的效果。
- 传统WAF无法对新型的攻击进行有效的识别和阻断
目前市面上大多数的WAF都是基于规则匹配的,但规则的更新往往是滞后于攻击发生,例如:0 day漏洞攻击,没有预配置的规则,只能在漏洞披露后,依据漏洞特征建立防护规则。再比如,利用海量IP地址池的多源低频攻击,使得限频限IP的规则失效。
- 传统WAF对于逻辑漏洞的防御捉襟见肘
传统WAF对攻击的识别来自于已经设定好的规则库,对于看似“正常”的业务逻辑漏洞却无能为力。例如越权操作,入侵者可以用低权限账号登陆系统后,通过拦截并修改用户参数,以达到查看或者修改其它权限账号的目的,而传统WAF并不能识别这一看似正常的操作。
可以看到,传统WAF技术存在较大的局限性,已不再适应当下复杂的网络攻击形势,因此WAF技术的革新成为必然。
瑞数下一代WAF – WAAP平台:三大引擎全面升级应用安全防护
瑞数下一代WAF – WAAP平台提供全面的Bot防护、DDoS防御、API保护等功能,而基于“动态安全引擎”+ “智能威胁检测引擎”+“规则引擎”三大引擎的核心技术则进一步升级为更高效全面的应用防护能力,在提供传统Web安全防御能力的同时,更能将威胁提前止于攻击的漏洞探测和踩点阶段,轻松应对新兴和快速变化的Bots攻击、0day攻击和应用DDoS攻击,帮助用户打造覆盖Web、APP、云和API资产等应用的主动防护体系。
三大引擎之一:动态安全引擎
基于瑞数信息独创的动态安全技术,内置的动态安全引擎会对当前页面内的合法请求地址授予一定时间内有效的动态令牌,阻拦没有令牌的非法请求;并且通过在页面中随机自动插入动态验证脚本,实现对访问客户端的人机识别,从而识别脚本、程序等Bots自动化攻击行为,同时保障应用逻辑的正确运行。
采用动态安全引擎的主动式防护技术,可以在无规则升级的情况下对Web 已知漏洞的探测攻击、0-day探测进行有效阻断,防范于攻击之前。同时,对无明显恶意特征的模拟操作行为的Bot自动化威胁能有效甄别,实时拦截,无惧Bot工具手法的变化。
三大引擎之二:智能威胁检测引擎
内置的智能威胁检测引擎,拥有业界领先的AI模型检测技术,无需复杂配置,自动防护已知和未知威胁。具体而言,智能威胁检测引擎是基于AI机器学习算法,使用数百万的业务样本和攻击样本来建立智能威胁检测模型,同时当有新的数据样本后,可以很快训练生成新的智能模型并应用到防护中。在“动态安全引擎”对各类Bots威胁高效拦截之外,在深度威胁行为的识别上更加智能和针对性。从技术上看主要包含四个方向:
业务流量自学习技术 –业务异常智能识别
建立正常业务流量模型,自动发现访问行为的偏差;持续学习保持模型更新,实现对异常流量的检测;还具备复杂字符集的学习能力,可以应对各类复杂的业务场景,从而提供精细和智能的业务防御能力。
语义分析技术 – 恶意代码精准分析
采用词法分析、语法解析、威胁语义评分机制对攻击行为进行检测、防御,针对实际业务接近于零误报;同时对于一些通过编码混淆而绕过规则的攻击代码,也能有效防护,显著提高0day检出率,降低误报率、漏报率。
行为分析技术- 多应用异常访问监控
通过对客户端到服务器端所有的请求日志进行全访问记录,并利用机器学习进行深度行为分析,智能规则匹配,持续监控并分析Web、App、API访问行为,从而深入检测攻击和异常的访问操作,精准追踪溯源。
Webshell检测技术- 针对性智能检测
基于AI检测Webshell,即通过大量的训练样本,针对不同特点数据构建适宜的算法模型,自动学习数据内在特征和联系,通过瑞数专家经验训练调参以达到最优效果。 AI检测能克服传统Webshell检测方式的单一性和滞后性,对新型变种具备一定的识别效果,同时能很好处理通过加密编码等绕过静态检测的Webshell。
在刚刚结束的“第三届中国人工智能大赛”中,瑞数信息AI团队在Webshell检测识别方向,凭借检出评价、误报评价、效果测试三个方面均为第一名的好成绩,勇夺大赛网络安全方向A级冠军,足见瑞数信息过硬的AI安全技术实力。
三大引擎之三:规则引擎
内置丰富特征规则库,全面覆盖OWASP TOP 10攻击场景,包括注入攻击防护、跨站脚本攻击防护、Webshell防护、文件上传下载攻击防护、跨站请求伪造防护、敏感信息过滤等。同时,规则库支持离线升级和在线自动更新。作为Web应用安全防护最基础的规则引擎,丰富的特征库是覆盖应用威胁类型最为全面,应对手动攻击基础而高效的技术。
内置的三大引擎在能力上互补,引擎中的技术在Web、App、API等多应用访问中依据各自特点发挥作用。其中,“动态引擎”在很大程度上阻拦了Bot自动化工具的攻击,而“AI智能威胁检测引擎”+“规则引擎”则针对人工渗透攻击以及在威胁识别智能化、针对性和精细度上做了很好的补充。同时,三大引擎也可以独立使用,通过无规则和轻规则的更新和调优,可以适配不同企业用户的业务场景。
实现应用安全一体化防御 降低安全运维成本
对于企业用户而言,通过瑞数下一代WAF – WAAP平台既可以应对已知攻击威胁,同时也有多种防护手段应对未知威胁攻击,以极低的资源消耗就能防止人机攻击行为、保障多类型的应用安全,让企业的安全运维成本大幅降低。
目前,瑞数下一代WAF – WAAP平台已广泛应用在运营商、金融、政府、教育、医院、企业客户中,帮助政企机构真正实现网站/APP/小程序/API的安全防护,有效抗击黑产,降低其安全风险和经济损失。
同时,瑞数信息参与了多次攻防实战演练、进博会保障、建国70周年保障等国家级网络安全重保工作,在近两年的攻防实战演练中参与了30多家国家重要部门、大型银行的防守工作,其下一代WAF产品在实战演练中取得了良好的成绩,因而被用户赞誉为“重保神器”。