WAF為何不能盡如人意?
責編:gltian |2020-07-29 14:14:37盡管WAF現在已經成為了很多企業應用安全體系中的標配,但是很多企業對其表現卻相當不滿。
最近一份由Neustar International Security Council進行的調查發現,許多針對網站應用的攻擊都繞過了WAF;而企業正在努力將這些WAF進行調整,從而能和整個企業的安全體系進行協同。這個調查結果進一步證明了一些分析師和研究人員在過去18個月中的想法:WAF的防護機制需要進一步演進,不能只是作為應用安全體系的“編外防御”。
這份調查發現,四成受訪的安全相關人員表示,至少有一半針對他們的應用層攻擊繞過了WAF;而有一成的人員甚至表示,超過90%的攻擊可以輕松避開WAF防御。
另一方面,三分之一的專業人員聲稱,過去與12個月中,有50%的網絡請求被標記為了誤報。這和認為購買的WAF很難調和的企業比例相近;近30%的受訪者表示他們很難將WAF策略調整對新型的應用層威脅進行防御;還有40%的組織認為很難將他們的WAF完全集成到其他應用安全體系或者更大的安全架構中。
這些結果對2019年Ponemon Institute的報告進行了肯定,該報告顯示,60%的組織不滿意他們購買的WAF產品。這份報告也發現了組織正在盡力對付和大量繞過WAF的應用層攻擊,同時還要應對配置協同問題,以及高誤報率問題。Ponemon Institute發現組織平均需要雇傭2.5個安全管理員,每人每周花45小時處理WAF告警,再花16小時給WAF寫新的規則。
WAF漏了些什么?
這些報告中顯現出的問題,無疑將會給WAF市場在可見的未來敲響警鐘。
Forrester Research的首席分析師Sandy Carielli在今年春天對WAF的市場研究中表示:“企業希望能從WAF供應商中獲得更多的協助,但是這些負面反饋則標志著除非供應商能快速進行改變,否則WAF市場會崩塌。”
Forrester的報告則顯示,企業當前的WAF無法應對更大范圍的應用層面攻擊,尤其是客戶端方面的攻擊、基于API的攻擊、以及機器人攻擊。以API攻擊為例,由于云架構使用的元數據API與webhook,造成有越來越多的服務器端請求偽造(server-side request forgery, SSRF)攻擊得以有機會得手。
“WAF未必在線路上部署,從而對網站應用的對外HTTP請求進行監控。許多SaaS公司提供某些形態的webhook產品,從而代替用戶進行http請求;這就使得SSRF攻擊很難被辨別出來。”K2 Cyber Security的CTO兼聯合創始人Jayant Shukla在今年早些時候,針對2019年的一起由SSRF攻擊繞過WAF而引起的泄露事件,如是說到,“這些因素暴露出了WAF在應對SSRF攻擊中最基本的局限性。”
WAF難以抵擋的應用安全之殤
許多專家相信,WAF的無力代表著整個應用安全的策略和執行上有系統性缺陷。舉例而言,去年秋天Radware的研究認為,WAF和許多其他產品有同樣的問題:企業將如何開發和修復軟件,這一基礎性的改變需求,全部依賴于一個單獨的產品去解決。
多年以來,越來越多的組織在使用WAF作為應用安全的一環,在風險驅動的情況下持續提升安全態勢。這些組織不是將WAF作為改進后的底線防御手段,而是作為一種前置防御的措施。但正如Neustar和Ponemon的研究顯示,WAF的局限性在于,團隊能多快創建規則防范新型攻擊。
但從結果來看,企業對WAF不滿意的很大原因,在于他們對WAF寄予了太多期望。事實上,部分專家認為,WAF應該只是減緩攻擊速度,而團隊需要及時修復代碼。
Veracode的產品管理高級總監Tim Jarret表示:“就算你使用WAF,你也無法無限制地保護自己的產品不受攻擊。因此,要合理地使用WAF給自己爭取到的時間,發現自身應用的真正漏洞并且修復他們。”
轉載自:數世咨詢
上一篇:網絡安全最大盲區:“人的漏洞”