压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

《新一代WAF技術應用指南》報告發布

責編:gltian |2023-12-21 16:08:01

為了更好地探尋新一代WAF的應用價值與發展方向,安全牛根據第十版全景圖報告“Web應用安全防護”領域收錄結果,特別邀請到安天、電信安全、觀安信息、瑞數信息、天融信、云盾智慧、云科安信(排名不分先后,以公司簡稱首字母序排列)7家國內WAF產品研發與應用領域具有一定代表性廠商,聯合啟動了《新一代WAF技術應用指南》報告研究工作,從企業組織當前實際的Web應用防護需求入手,深入探尋新一代WAF需具備的能力及新的應用價值點,并圍繞用戶的系統應用特征,給出新一代WAF產品的部署和選型建議。2023年12月19日,報告正式發布。

報告關鍵發現

  1. 基于報告調研,安全牛提出:新一代WAF是指針對Web應用執行過程中運行安全問題、數據安全問題以及業務安全問題,通過綜合數據分析,進行深層防護的一款平臺類產品或綜合解決方案。與傳統WAF產品相比,新一代WAF解決方案需要具有更強大的分析能力、支持對Web應用的多層面防護、支持多形態Web應用防護、可拉通應用層流量數據以及可對應用層進行防護等應用特點。
  2. 相比傳統的WAF產品,新一代WAF技術對保障Web應用安全的能力提升主要體現在應用層抗D、網頁防篡改、API風險監測、數據防泄漏、抗BOT攻擊、邏輯反欺詐及內容安全等方面。
  3. 在目前我國安全廠商推出的新一代WAF產品中,已經較普遍采用了UEBA、包特征分析、多層協議聯動分析、API識別監測等技術,并且已具備了較高的產品可用性。
  4. 云化部署或將是新一代WAF未來主流的部署方式。調研發現,目前通過私有云部署的WAF市場規模已經接近硬件WAF市場規模,而以SaaS服務交付的WAF應用目前接受度仍然較低。
  5. 調研發現,當前新一代WAF產品對Web應用數據安全、業務安全的支撐能力仍然不足,同時,新一代WAF還需要通過提升聯動性,以更好融入企業整體Web應用全周期防護流程當中。
  6. 本次調研數據統計,2022年我國WAF(包括WAF和WAAP)產品的市場規模約為24.12億元,其中新一代WAF的市場規模約為3.99億元。截至目前,我國新一代WAF約占全部WAF市場的25%,預計在2025年額將超過50%。

新一代WAF創新應用場景

一直以來,WAF都是企業組織開展網絡安全建設的最基本要求之一,在防護OWASP TOP10安全、與DLP產品聯動應用數據泄漏以及阻止分布式攻擊等場景下被廣泛應用。由于新一代WAF在分析能力和防護范圍等方面有了較大提升,因此可以適用于更多新的應用場景下。

1、遠程安全訪問場景

RBI(Remote Browser Isolation)遠程瀏覽器隔離技術,讓用戶不使用本地瀏覽器直接接入互聯網。當用戶訪問網頁時,RBI服務可作為代理,將用戶的訪問同步到RBI服務器創建的遠程瀏覽器會話中,并向互聯網進行訪問。在遠程安全訪問場景中,新一代WAF方案可以起到反向代理的作用,將服務器反饋回的信息反向代理至RBI服務器。反向代理通常作用于應用層,將WAF作為反向代理,能夠同時進行連接的分發和安全校驗,聯動RBI服務器形成雙層的防護。

2、內容風控場景

隨著互聯網內容增加,網絡上的信息爆炸增長。互聯網內容信息的增長影響著國民的價值觀的發展、兒童青少年的成長,甚至影響到我國的政治穩定,因此也廣為受到監管部門的關注。新一代WAF內置的內容分析技術,可將內容風控前置至WAF階段,基于網絡的七層協議獲取更多的用戶信息,并做到聯動同一用戶的上下行為進行協同分析,跨越了賬號、時間的局限性,形成聯動分析。

3、業務風控場景

業務欺詐攻擊步驟可大致分為三步:首先收集潛在可能的促銷網站或者可能有目標客戶的秒殺網站,并批量注冊賬戶以躲避單一賬戶帶來的風控可能;其次基于邏輯漏洞或者邏輯攻擊行為編寫腳本或軟件;最后,通過爬蟲、探測、重復提交等方式,試探是否有業務攻擊的場景,并實施攻擊。

基于以上攻擊步驟,新一代WAF方案同樣可以滿足針對業務攻擊行為的部分防護需求:

  • 以抗BOT、訪問驗證的方式解決爬蟲、秒殺、刷單、刷票等自動化提交行為。
  • 基于多層協議聯動分析,將批量賬號定位到同一源身份,解決同源攻擊行為。
  • 基于抗BOT、行為分析等方式,判斷訪問者是否在識別邏輯漏洞,減少邏輯漏洞利用的概率。
  • 通過設置訪問閾值,阻斷批量提交行為。

4、API安全防護場景

API安全防護通常包括API管理和API風險監測。在基于API防護的場景中,新一代WAF主要可用于執行對API行為的檢測,并和API管理產品共用一套API的管理清單。新一代WAF主要集中在對API的訪問語句是否存在風險、訪問者是否合法上。在完成風險識別后,API訪問交由API網關判斷訪問的權限問題,并進一步訪問到Web應用服務器當中。

新一代WAF應用需求

根據《安全牛第十版中國網絡安全全景圖》中的數據,2022年新一代WAF的市場規模約占全部WAF市場的16%。當前,無論是從甲方招標時的要求看,還是從安全廠商的產線布局看,新一代WAF的市場規模均處于擴大的狀態。

甲方用戶主要對新一代WAF的關注點包括:

  • 是否能夠通過新一代WAF對API進行監控。
  • 是否能夠通過新一代WAF抗DDoS。
  • 是否能夠通過新一代WAF提升數據防泄漏的能力。

針對新一代WAF的應用方式主要包括:

  • 從防護對象看,包括防護外網對Web應用的訪問行為,以及從內網對中心節點Web應用的訪問行為。其中前者關注多源接入方式,而后者更關注私有云環境的接入方式。
  • 從部署方式看,包括本地部署、私有云部署為主,SaaS服務交付模式還有待開發。
  • 從防護模式看,對多形態訪問統一防護、對網頁訪問或API單一接入模式防護。
  • 從防護目標看,包括對Web全域防護、以及對單一威脅的專項防護。

針對不同類型需求,安全牛在《新一代WAF技術應用指南》報告中呈現了相應的案例,為用戶實際部署進行參考。

新一代WAF應用建議

為了更好地部署新一代WAF技術,充分發揮其應用價值,企業組織在應用新一代WAF技術前需要考慮是否能夠為新一代WAF提供足夠的數據來支撐后續的分析工作,如果只能通過旁路部署新一代WAF產品,那么對傳統WAF的能力提升將非常有限;同時在部署時,應該優先考慮以云化、服務化或其他易于擴展的方式進行部署,避免分析能力對業務造成的影響。

企業在選擇是否應用新一代WAF方案時,可以從API數量、業務交互性、業務訪問量以及穩定性需求四個維度進行考量。

圖?新一代WAF應用評估

  • 穩定性需求是用戶考慮是否采用新一代WAF的首要因素,如果用戶對穩定性需求高,則還是依托傳統WAF的關鍵詞匹配的方式最為穩妥,可采用傳統WAF聯動其他類型產品的方式進行方案式防護。
  • 在API數量維度,如果API數量較多、API變更頻繁,那么通過采用新一代WAF能夠降低基于API攻擊的風險。
  • 如果用戶網站的交互性低,例如只提供信息查詢服務、內容發布服務等,針對這類型網站的攻擊復雜度低,能夠防范典型的爬蟲語句、OWASP TOP 10或能夠對頁面恢復即可,可選擇傳統WAF防護。
  • 如果用戶的業務訪問量少,那么對WAF的防護壓力較低,部署傳統的WAF產品性價比更高,如果用戶業務訪問量特別大,則建議采用負載設備與新一代WAF聯動的方案進行部署。

根據以上分析安全牛建議,目前處于上圖中心白色區域的企業組織適合繼續部署傳統的WAF產品,而在選框外部黑色區域的企業組織可以優先部署新一代WAF產品,中間部分則可以根據自身需求進行選擇。

新一代WAF代表性廠商分析

為了幫助企業用戶進一步了解我國新一代WAF技術的應用狀況和發展成果,本次報告依據第十版中國網絡安全行業全景圖中“Web應用安全防護”細分領域的研究數據,評估并邀請到安天、電信安全、觀安信息、瑞數信息、天融信、云盾智慧、云科安信7家新一代WAF技術研發與應用代表性廠商進行了調研訪談,并對其產品的主要能力特點進行了研究和分析。

安天

安天推出的下一代Web應用防護系統具備較強的針對復雜攻擊語句以及攻擊邏輯的識別能力,可通過業務風險建模、訪問行為建模等方式,識別出復雜的攻擊行為。同時,產品還可以通過聯動RASP等方式對Web應用服務器的行為進行全面防護。

圖?安天新一代WAF產品能力架構

主要特點:

  1. 全方位、多流程的自動化攻擊防護體系:通過主/被動識別技術可有效地識別自動化攻擊的流量,結合對自身業務的安全加固,達到增加業務健壯性的目的。
  2. 靈活的業務安全防護體系:基于專業的業務邏輯語言,可支持用戶定義復雜業務邏輯的業務防護策略,建立符合客戶自身畫像的業務安全防護體系。
  3. 應用側安全補充:應用側全量的信息補充,如堆棧信息、完整的請求信息;可有效補充流量側信息的不足,減少人工的分析成本。
  4. 智能熱補丁:可實現0day場景下的有效預防,快人一步。
  5. 規則+行為的雙重防御體系:從流量側(進入應用前檢測)到應用側(跟蹤請求在應用中的整個處理過程),形成檢測的閉環。
  6. 多樣化API風險模型:內置20余種業務API風險模型,覆蓋廣泛的業務威脅場景,如注冊、登錄、下單異常檢測模型,能夠及時、有效地感知高層業務API威脅。

電信安全

中國電信安全公司推出的云堤·網站安全防護(云WAF),是一款針對面向互聯網網站和App業務的托管式安全防護產品,通過DNS流量牽引,精準識別過濾惡意業務請求與高級威脅,將安全可信的業務流量回源至網站真實服務器,解決網站系統被篡改、被掛馬、漏洞攻擊、數據泄露、惡意掃描和爬取等問題。依托于中國電信集團的運營商基礎設施環境,該產品具備較強的交付能力,并可以與電信安全云堤·抗DDoS產品進行聯動,形成覆蓋4-7層網絡攻擊的綜合應用安全解決方案。

圖?電信安全新一代WAF能力架構

主要特點:

  1. 安全專家托管服務:提供全天候在線技術支持,可以第一時間響應解決客戶產品使用過程中的各類突發安全事件與網站問題。
  2. 防護體驗便捷可靠:防護節點均采用集群化高可用架構,客戶零運維、零部署,服務即開即用,快速解決網站安全問題。
  3. 規則支持靈活全面:可編程防御模型,幫助客戶快速實現個性化防護需求,運營商級威脅情報與風險樣本關聯分析,及時完成0day漏洞修復。
  4. 一體化的安全體系:Web攻擊防護基礎上,結合安全事件告警、安全配置管理、日志報表分析與專家團隊支撐,幫助客戶構建云上一體化的安全體系。

觀安信息

觀安信息推出的觀鏡Web應用安全防護系統是一款專注機器行為防護、API安全防護、業務安全防護的新型WAAP+防護產品,采用了多種創新防護技術,能夠實現對PC Web端、移動端(iOS & Andriod )、小程序等全端點全場景防護,可以有效降低企業安全運維成本,保障業務安全。

圖?觀安新一代WAF能力架構

主要特點:

  1. 全面的機器行為防御:通過動態請求變換和底層網站封裝,系統能夠有效防御各種機器行為,包括爬蟲、自動化業務欺詐、漏洞掃描等,有效隱藏攻擊面。
  2. 智能防御未知漏洞:采用主動防御理念和動態混淆技術相結合,具備防范未知漏洞自動攻擊的能力,提高系統的安全性。
  3. 無需規則升級:系統對自動化機器行為的防御不依賴于規則簽名或請求頻次,無需額外規則即可有效抵御自動化漏洞探測,降低了安全運維的工作量。
  4. 無感知部署:實現主動防御功能時不需要修改目標應用的任何代碼或業務邏輯,無需額外集成,無感知部署操作簡便,適用于各種部署場景。

瑞數信息

瑞數信息推出的動態應用安全WAAP超融合平臺已上線穩定運行了近2年,能夠將客戶多種核心業務統一納入保護,并且開啟攔截模式,實時攔截各種自動化攻擊行為。其核心優勢在于對BOT攻擊的防護效果,特別是基于API調用的BOT攻擊行為,平臺能夠有效通過基于業務邏輯而非特征,通過采用AI技術,識別自動化攻擊行為。瑞數具有海量的攻擊者畫像,用于支撐BOT行為識別工作。

圖?瑞數新一代WAF能力架構

主要特點:

  • Web應用協同防護融合傳統架構及云上應用多場景的適配和可擴展性,從傳統網絡邊界,遷移到各種Web應用、APP應用和API云服務,構建集中于業務邏輯、用戶、數據和應用的可信安全架構,全面抵擋新的安全威脅。
  • 變被動防御為“主動防御”通過動態安全技術,無需依賴規則和補丁,為網站安全提供主動式安全防護。以“動態防護”技術為核心,增加服務器行為的“不可預測性”;提供面向業務層的主動防御,高效甄別偽裝和假冒正常行為的已知和未知自動化攻擊,攔截未知威脅。
  • 基于AI技術的新思路AI智能威脅引擎,通過使用機器學習的多種威脅模型來確定異常攻擊,并阻攔確定的攻擊請求。每個威脅模型都代表特定的攻擊類別(SQL注入,跨站點腳本,OS命令注入等)。這些威脅模型使用來自各種來源的數十萬個真實攻擊樣本,從而發現高度隱蔽的攻擊,有效提高檢測速率,降低誤報、錯報率。
  • 強化對新興Bots威脅防護Bots防護能力可以高效抵御由自動化工具發起的高效大規模攻擊,如惡意爬蟲、撞庫、虛假注冊、交易篡改、內網安全、API濫用、零日攻擊等,保障在業務、應用和數據層面的安全升級。

天融信

天融信研發的新一代WAF產品能夠支持多元產品聯動,并以整體方案的方式進行交付。特別是在與NGFW的聯動中,可以利用多層網絡的協同分析,完善網絡邊界的全面防護。同時,產品與騰訊安全威脅情報能力實現了強強聯合,可以搜集多元安全威脅,提升主動防護、動態防護,提高整體安全防護能力。

圖?天融信新一代WAF能力架構

主要特點:

  1. 業務自學習能力產品具備基于自學習的主動防御能力,動態智能適應網絡環境,進而形成業務模型,對異常行為進行分析并及時阻斷,有效防御未知威脅和0day漏洞。
  2. 內置語義分析引擎產品可對業務流量進行識別和解碼,通過詞法分析、語法分析等功能細粒度地理解字符串含義,并結合威脅模型評分機制判斷其威脅等級,識別其真正意圖并采取相應防護措施,顯著降低誤報率和漏報率。
  3. API攻擊實時防護產品支持API資產發現、API資產分類、API攻擊防護、API合規性檢查等功能,有效防御API資產漏洞引發的各種已知、未知威脅,有效保障客戶的業務安全。
  4. 惡意Bot攻擊防護產品可通過用戶行為分析、動態驗證、動態令牌、動態加密等技術進行人機識別,區分正常用戶請求和惡意的Bot攻擊行為,可有效防護漏洞掃描、惡意信息爬取、 DDoS攻擊、業務攻擊(如刷單、薅羊毛、黃牛黨)等各類惡意自動化攻擊。
  5. 集成本地+云端威脅情報產品除本地集成威脅情報模塊外,還可與天融信云端威脅情報進行聯動,云端威脅情報系統實時更新,可確保情報庫的及時性,通過集成和聯動威脅情報實現對潛在安全威脅的智能感知,主動防御惡意IP或域名對業務的異常訪問,提升Web應用安全免疫力。

云盾智慧

云盾智慧圍繞用戶的Web網站全方位防護需求,以網站運行中潛在的風險,包括網站的穩定運行、安全防護、運營合規等為導向,推出了一套Web應用安全整體方案,用戶不再需要切割自身的需求。基于網站訪問的特性,可以云化方式進行服務能力交付,保障防護體系的穩定運行。

圖?云盾智慧新一代WAF架構圖

主要特點:

  1. SaaS模式降成本用戶無需投入人員進行多類設備的運營,無需額外采購硬件/軟件,降低相應維護成本。
  2. 優質的云端防護資源遍布全國的防護節點,2Tb+的帶寬儲備,2000+的高性能服務器,實現了三大運營商鏈路全面覆蓋。
  3. OWASP TOP 10 威脅全覆蓋可防護24大類、300+小類Web攻擊類型,總計近 5000 種Web攻擊方式。
  4. 大流量DDoS攻擊清洗可應對大流量的多種DDoS攻擊,最大程度保障源站鏈路暢通。
  5. 自動化攻擊精準過濾智能決策樹算法及人機識別手段,有效抵御羊毛黨、CC攻擊、惡意刷票/積分等威脅。
  6. API安全與數據安全特定移動應用(應用程序接口-API)業務場景安全防護;及業務敏感信息防泄密。
  7. 靈活地采購方式“主套餐+拓展模塊”商業售賣形式,一套產品基本滿足所有Web的防護需求,方便客戶按需組合下單。
  8. 實時安全運營專業的網站安全云托管服務,為您提供7*24的安全服務,時刻守護網站安全。

云科安信

云科安信推出的云科全域應用風險防護系統,能夠對各種新型攻擊行為進行建模與防御,并能夠推動攻擊行為識別從靜態轉向動態轉變。系統能夠推動安全防護范式從被動防護向主動防御轉變,并且給客戶提供一個應用安全大縱深的解決方案。系統能夠幫助客戶更好地應對不斷演變的網絡威脅和全新的安全挑戰。

圖??云科安信新一代WAF能力架構

主要特點:

云科全域應用風險防護系統,基于應用交付與代理鏡像技術,采用一體化安全能力架構,通過統一管理平臺將多種應用層防御能力整合成安全資源池,在不減少防御策略的情況下實現大開發下的業務無延時訪問,產品主要特點包括:

  1. 高性能與高擴展:云科全域應用風險防護系統通過一體化安全能力架構,實現了出色的性能與高擴展性。在處理大規模網絡流量的同時提供低延遲能力。
  2. 自動化能力擴展與性能負載:可以根據流量需求自動添加或移除防御核心,并確保流量均勻分布到各個防御核心。
  3. 內置開源情報引擎:能夠實時整合開源情報,擴大風險識別邊界,有效應對新興威脅。
  4. 高級威脅檢測:結合白澤攻擊面管理平臺,云科全域應用風險防護系統可以實現更高級的威脅監測技術,用于識別如0-DAY漏洞攻擊和高級持續性威脅(APT)等高級威脅。
  5. 場景化防御:將安全功能按照場景整合成防御模板,將復雜的防御配置變成簡單的鼠標點擊,極大地降低了學習成本。

目前,《新一代WAF技術應用指南》報告已經在安全牛商城上架,獲取完整版本報告,請點擊識別下方二維碼:

來源:安全牛

上一篇:內部威脅風險評估的5個關鍵步驟

下一篇:軟件成分分析SCA關鍵技術解析

站长统计