WAF為何不能盡如人意?
責(zé)編:gltian |2020-07-29 14:14:37盡管WAF現(xiàn)在已經(jīng)成為了很多企業(yè)應(yīng)用安全體系中的標(biāo)配,但是很多企業(yè)對其表現(xiàn)卻相當(dāng)不滿。
最近一份由Neustar International Security Council進行的調(diào)查發(fā)現(xiàn),許多針對網(wǎng)站應(yīng)用的攻擊都繞過了WAF;而企業(yè)正在努力將這些WAF進行調(diào)整,從而能和整個企業(yè)的安全體系進行協(xié)同。這個調(diào)查結(jié)果進一步證明了一些分析師和研究人員在過去18個月中的想法:WAF的防護機制需要進一步演進,不能只是作為應(yīng)用安全體系的“編外防御”。
這份調(diào)查發(fā)現(xiàn),四成受訪的安全相關(guān)人員表示,至少有一半針對他們的應(yīng)用層攻擊繞過了WAF;而有一成的人員甚至表示,超過90%的攻擊可以輕松避開WAF防御。
另一方面,三分之一的專業(yè)人員聲稱,過去與12個月中,有50%的網(wǎng)絡(luò)請求被標(biāo)記為了誤報。這和認(rèn)為購買的WAF很難調(diào)和的企業(yè)比例相近;近30%的受訪者表示他們很難將WAF策略調(diào)整對新型的應(yīng)用層威脅進行防御;還有40%的組織認(rèn)為很難將他們的WAF完全集成到其他應(yīng)用安全體系或者更大的安全架構(gòu)中。
這些結(jié)果對2019年P(guān)onemon Institute的報告進行了肯定,該報告顯示,60%的組織不滿意他們購買的WAF產(chǎn)品。這份報告也發(fā)現(xiàn)了組織正在盡力對付和大量繞過WAF的應(yīng)用層攻擊,同時還要應(yīng)對配置協(xié)同問題,以及高誤報率問題。Ponemon Institute發(fā)現(xiàn)組織平均需要雇傭2.5個安全管理員,每人每周花45小時處理WAF告警,再花16小時給WAF寫新的規(guī)則。
WAF漏了些什么?
這些報告中顯現(xiàn)出的問題,無疑將會給WAF市場在可見的未來敲響警鐘。
Forrester Research的首席分析師Sandy Carielli在今年春天對WAF的市場研究中表示:“企業(yè)希望能從WAF供應(yīng)商中獲得更多的協(xié)助,但是這些負(fù)面反饋則標(biāo)志著除非供應(yīng)商能快速進行改變,否則WAF市場會崩塌。”
Forrester的報告則顯示,企業(yè)當(dāng)前的WAF無法應(yīng)對更大范圍的應(yīng)用層面攻擊,尤其是客戶端方面的攻擊、基于API的攻擊、以及機器人攻擊。以API攻擊為例,由于云架構(gòu)使用的元數(shù)據(jù)API與webhook,造成有越來越多的服務(wù)器端請求偽造(server-side request forgery, SSRF)攻擊得以有機會得手。
“WAF未必在線路上部署,從而對網(wǎng)站應(yīng)用的對外HTTP請求進行監(jiān)控。許多SaaS公司提供某些形態(tài)的webhook產(chǎn)品,從而代替用戶進行http請求;這就使得SSRF攻擊很難被辨別出來。”K2 Cyber Security的CTO兼聯(lián)合創(chuàng)始人Jayant Shukla在今年早些時候,針對2019年的一起由SSRF攻擊繞過WAF而引起的泄露事件,如是說到,“這些因素暴露出了WAF在應(yīng)對SSRF攻擊中最基本的局限性。”
WAF難以抵擋的應(yīng)用安全之殤
許多專家相信,WAF的無力代表著整個應(yīng)用安全的策略和執(zhí)行上有系統(tǒng)性缺陷。舉例而言,去年秋天Radware的研究認(rèn)為,WAF和許多其他產(chǎn)品有同樣的問題:企業(yè)將如何開發(fā)和修復(fù)軟件,這一基礎(chǔ)性的改變需求,全部依賴于一個單獨的產(chǎn)品去解決。
多年以來,越來越多的組織在使用WAF作為應(yīng)用安全的一環(huán),在風(fēng)險驅(qū)動的情況下持續(xù)提升安全態(tài)勢。這些組織不是將WAF作為改進后的底線防御手段,而是作為一種前置防御的措施。但正如Neustar和Ponemon的研究顯示,WAF的局限性在于,團隊能多快創(chuàng)建規(guī)則防范新型攻擊。
但從結(jié)果來看,企業(yè)對WAF不滿意的很大原因,在于他們對WAF寄予了太多期望。事實上,部分專家認(rèn)為,WAF應(yīng)該只是減緩攻擊速度,而團隊需要及時修復(fù)代碼。
Veracode的產(chǎn)品管理高級總監(jiān)Tim Jarret表示:“就算你使用WAF,你也無法無限制地保護自己的產(chǎn)品不受攻擊。因此,要合理地使用WAF給自己爭取到的時間,發(fā)現(xiàn)自身應(yīng)用的真正漏洞并且修復(fù)他們。”
轉(zhuǎn)載自:數(shù)世咨詢
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧