《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 通付盾汪德嘉:以智能化應(yīng)對(duì)Web應(yīng)用安全新挑戰(zhàn)

通付盾汪德嘉:以智能化應(yīng)對(duì)Web應(yīng)用安全新挑戰(zhàn)

2021-11-17
來(lái)源:安全牛
關(guān)鍵詞: Web

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展升級(jí),越來(lái)越多服務(wù)于企業(yè)的應(yīng)用都架設(shè)在 Web 平臺(tái)上,這也讓網(wǎng)路攻擊者有機(jī)可乘,,他們通過(guò) SQL 注入攻擊,、XSS 攻擊以及各種新型攻擊手段控制 Web 服務(wù)器,給企業(yè)用戶帶來(lái)巨大的損失,因此,Web 應(yīng)用安全的防護(hù)越來(lái)越受到大家的關(guān)注。自動(dòng)化技術(shù)發(fā)展是把雙刃劍,,它在為網(wǎng)絡(luò)安全防護(hù)帶來(lái)更多可能的同時(shí),也讓攻擊手段不斷升級(jí),,這讓傳統(tǒng)的 Web 防護(hù)技術(shù)開始失效,,身份盜用、敏感信息被竊取等問(wèn)題層出不窮,,企業(yè)用戶應(yīng)該采取怎樣的防護(hù)手段才能抵御層出不窮的自動(dòng)化攻擊類型,?如何在滿足 Web 安全合規(guī)要求的同時(shí),保證企業(yè)業(yè)務(wù)關(guān)鍵數(shù)據(jù)的安全,、確保業(yè)務(wù)可以高效,、安全、可靠的運(yùn)營(yíng)呢,?帶著這些問(wèn)題,,本次牛人訪談我們邀請(qǐng)到了通付盾的創(chuàng)始人汪德嘉,,以 Web 應(yīng)用防火墻的智能化發(fā)展為切入點(diǎn),就 Web 應(yīng)用安全防護(hù)的突破,、挑戰(zhàn),、發(fā)展以及未來(lái)展望展開討論。

  01

  Web應(yīng)用安全防護(hù)一直都是企業(yè)組織網(wǎng)絡(luò)安全管理中的重要組成部分,,WAF產(chǎn)品在其中發(fā)揮的重要作用更是不言而喻,,在網(wǎng)絡(luò)攻擊威脅加劇和行業(yè)迅速發(fā)展的今天,新一代WAF產(chǎn)品產(chǎn)生了哪些新變化,?滿足了哪些新的市場(chǎng)需求,?

  汪德嘉:

  據(jù)相關(guān)報(bào)告數(shù)據(jù)顯示,在邊界防護(hù)類設(shè)備中,,87.7%的受訪者都部署了WAF產(chǎn)品,,Web應(yīng)用防火墻當(dāng)仁不讓地位居第一位。而未來(lái)5年,,WAF的市場(chǎng)將以10%-16%的速度持續(xù)增長(zhǎng),。總的來(lái)說(shuō),,WAF市場(chǎng)的增長(zhǎng)潛力仍在,,從Gartner對(duì)當(dāng)前Web應(yīng)用安全狀況的調(diào)查來(lái)看,WAF仍然是用于保護(hù)Web應(yīng)用的最佳產(chǎn)品,。但是,目前市場(chǎng)上很多WEB防火墻產(chǎn)品都是基于規(guī)則庫(kù)的攻擊檢測(cè),,應(yīng)用防護(hù)更新不及時(shí),,對(duì)非OWASP TOP10攻擊防護(hù)的響應(yīng)較慢。而且對(duì)于未知攻擊行為,、違法業(yè)務(wù)邏輯操作,、自動(dòng)化交易欺詐等,針對(duì)模擬合法操作的攻擊行為,,無(wú)法建立規(guī)則,,也就無(wú)法起到任何防護(hù)作用。

  目前市場(chǎng)反饋?zhàn)钕M鸚AF增強(qiáng)的功能方面,,頁(yè)面混淆,、動(dòng)態(tài)防御和通過(guò)掃描器驗(yàn)證Web攻擊數(shù)據(jù)的有效性是幾大迫切的需求點(diǎn),因此Web應(yīng)用防火墻的智能化發(fā)展是一個(gè)很好的應(yīng)對(duì)方案,,智能化技術(shù)如動(dòng)態(tài)防御技術(shù),、風(fēng)險(xiǎn)決策功能等,能夠有效阻止未知攻擊,、防護(hù)自動(dòng)化攻擊,、防范業(yè)務(wù)欺詐風(fēng)險(xiǎn)和防止數(shù)據(jù)泄露風(fēng)險(xiǎn)等,,同時(shí)將智能化技術(shù)引入Web應(yīng)用防火墻中可以解決傳統(tǒng)安全產(chǎn)品依賴于靜態(tài)防御和被動(dòng)防御下的安全能力不足,缺少主動(dòng)防御機(jī)制等問(wèn)題,,因此智能Web應(yīng)用化防火墻產(chǎn)品市場(chǎng)發(fā)展前景較好,。

  02

  據(jù)我了解,您上述的動(dòng)態(tài)防御和風(fēng)險(xiǎn)智能決策能力需要依賴于大量的樣本學(xué)習(xí)和強(qiáng)大的算力,,智能化技術(shù)是如何與Web應(yīng)用防火墻相結(jié)合來(lái)實(shí)現(xiàn)這一功能的,?又是如何實(shí)現(xiàn)對(duì)未知攻擊、防護(hù)自動(dòng)化攻擊等安全威脅的響應(yīng)處置的,,請(qǐng)?jiān)斒觥?/p>

  汪德嘉:

  新一代WAF的動(dòng)態(tài)防御其實(shí)是通過(guò)動(dòng)態(tài)防護(hù)引擎實(shí)現(xiàn)的,,動(dòng)態(tài)防護(hù)引擎具有動(dòng)態(tài)加密、動(dòng)態(tài)混淆和動(dòng)態(tài)變換的能力,。即通過(guò)對(duì)服務(wù)器執(zhí)行腳本代碼的動(dòng)態(tài)變化,,讓攻擊者無(wú)法讀取服務(wù)器的相關(guān)代碼,達(dá)到防護(hù)目的,。舉個(gè)例子,,當(dāng)攻擊者想要進(jìn)行網(wǎng)站訪問(wèn)時(shí),首先要發(fā)起訪問(wèn)請(qǐng)求,,然后才能掃描到網(wǎng)站上可能存在的漏洞,,而動(dòng)態(tài)防御技術(shù)則是在訪問(wèn)之初就會(huì)對(duì)源代碼進(jìn)行混淆防護(hù),降低可識(shí)別性,,攻擊者更換不同設(shè)備,,或使用同一設(shè)備在不同時(shí)間訪問(wèn)時(shí),頁(yè)面所采取的加密算法都是不同的,,從而使攻擊者無(wú)法獲得真正準(zhǔn)確的代碼,。

  這種防護(hù)手段對(duì)自動(dòng)化攻擊的防范效果是非常顯著的,當(dāng)然,,智能化加密手段的引入,,對(duì)WAF產(chǎn)品的性能要求更高,用戶可根據(jù)具體需求對(duì)關(guān)鍵頁(yè)面進(jìn)行加密動(dòng)態(tài)防御,。

  我們目前所說(shuō)的智能化決策能力,,是指將Web應(yīng)用防火墻與特征庫(kù)相連,通過(guò)智能化學(xué)習(xí)技術(shù),,基于大數(shù)據(jù)庫(kù)中的攻擊模型進(jìn)行學(xué)習(xí)和識(shí)別,,讓W(xué)eb應(yīng)用防火墻產(chǎn)品能夠?qū)Τ霈F(xiàn)的可疑風(fēng)險(xiǎn)進(jìn)行行為特征分析,并與特征庫(kù)中已有的攻擊模型進(jìn)行對(duì)比,,當(dāng)然這個(gè)數(shù)據(jù)庫(kù)是根據(jù)用戶需求和行業(yè)發(fā)展而動(dòng)態(tài)更新的,。

  03

  安全牛:“攻防對(duì)抗”這場(chǎng)拉鋸戰(zhàn)發(fā)展至今,攻防的關(guān)注重點(diǎn)已經(jīng)從“防得住”轉(zhuǎn)到“響應(yīng)快”上來(lái)了,Web應(yīng)用防火墻是如何通過(guò)智能化發(fā)展實(shí)現(xiàn)快速響應(yīng)的,?

  汪德嘉:

  目前市場(chǎng)上很多Web應(yīng)用防火墻都是基于規(guī)則來(lái)對(duì)Web進(jìn)行安全防護(hù)的,。其防護(hù)原理是每一次HTTP請(qǐng)求訪問(wèn)都會(huì)通過(guò)Web應(yīng)用防火墻進(jìn)行一系列的安全規(guī)則檢測(cè),每次安全檢測(cè)都由一個(gè)或多個(gè)規(guī)則組成,,如果安全檢測(cè)沒(méi)通過(guò),,訪問(wèn)就會(huì)被認(rèn)為是非法不安全的并被拒絕,因此基于規(guī)則的Web應(yīng)用防火墻就必須要由一個(gè)強(qiáng)大的規(guī)則庫(kù)來(lái)支撐這一系列的安全檢測(cè),。安全運(yùn)維人員和廠商人員都需要投入大量的時(shí)間精力維護(hù)和升級(jí)規(guī)則庫(kù),,以盡可能的包含更多和最新的規(guī)則特征庫(kù)。

  而0 DAY漏洞正好鉆了傳統(tǒng)Web應(yīng)用防火墻的空子,。由于0 DAY漏洞是沒(méi)有已知特征的,,企業(yè)的WEB安全問(wèn)題只能寄希望于傳統(tǒng)Web應(yīng)用防火墻廠商的響應(yīng)處置能力。然而修復(fù)一個(gè)0 DAY漏洞,,通常需要數(shù)天的時(shí)間,;即使在Web應(yīng)用防火墻上配置新的防護(hù)規(guī)則,可能也要在零日漏洞曝出后的1-2天才能完成,。從而形成了空窗期,,對(duì)0 DAY漏洞威脅下的企業(yè)意味著什么,不言而喻,。

  智能化技術(shù)的引入,,改變了傳統(tǒng)Web應(yīng)用防火墻對(duì)抗0 DAY漏洞的方式。它通過(guò)上述的動(dòng)態(tài)防護(hù)引擎,,采用主動(dòng)式防護(hù)技術(shù),,并結(jié)合智能決策引擎和爬蟲防護(hù)引擎等,通過(guò)多引擎并行處理技術(shù),,在不依賴規(guī)則的情況下對(duì)0 DAY漏洞攻擊進(jìn)行有效阻斷,,實(shí)現(xiàn)快速響應(yīng),防范于未然,,實(shí)現(xiàn)“無(wú)規(guī)則、無(wú)空窗期,、無(wú)需大量運(yùn)維”的需求,。

  04

  智能化Web應(yīng)用類防火墻產(chǎn)品和市場(chǎng)上眾多廠商所提的下一代WAF防火墻有何區(qū)別?請(qǐng)您結(jié)合實(shí)際經(jīng)驗(yàn)詳述,。

  汪德嘉:

  對(duì)比智能化Web應(yīng)用防火墻產(chǎn)品與傳統(tǒng)的WAF產(chǎn)品的區(qū)別,,主要可以從產(chǎn)品技術(shù)和運(yùn)維投入兩個(gè)維度來(lái)進(jìn)行分析:

  產(chǎn)品技術(shù):智能化Web應(yīng)用類防火墻產(chǎn)品,其“智能”具體體現(xiàn)在動(dòng)態(tài)防御能力上,,一般都具備動(dòng)態(tài)加密,、動(dòng)態(tài)混淆、動(dòng)態(tài)變換等技術(shù);其次是通過(guò)智能化技術(shù)手段,,它能夠連通開發(fā)者的動(dòng)態(tài)多維度情報(bào)庫(kù),,同時(shí)基于欺詐及攻擊風(fēng)險(xiǎn)威脅特征庫(kù)、大數(shù)據(jù)異常監(jiān)測(cè)模型,,通過(guò)智能決策引擎技術(shù),,進(jìn)行快速的全域站點(diǎn)流量實(shí)時(shí)監(jiān)測(cè)分析和預(yù)警,及時(shí)阻斷風(fēng)險(xiǎn)訪問(wèn),;最后,,自動(dòng)識(shí)別、生命周期管理,、攻擊防護(hù),、動(dòng)態(tài)防護(hù)、名單管理等智能化技術(shù)的引入,,能夠幫助Web應(yīng)用產(chǎn)品實(shí)現(xiàn)對(duì)API接口的風(fēng)險(xiǎn)感知和攻擊阻斷能力,,進(jìn)一步保障Web站點(diǎn)的安全。

  運(yùn)維投入:安全維護(hù)人員在部署傳統(tǒng)WAF的時(shí)候往往是“先愛(ài)后恨”,,因?yàn)閭鹘y(tǒng)WAF在剛投入使用時(shí),,運(yùn)維人員為了達(dá)到較好的防護(hù)效果,投入了大量的精力對(duì)傳統(tǒng)WAF進(jìn)行規(guī)則配置和策略調(diào)優(yōu),,但隨著時(shí)間的推移,,Web應(yīng)用不斷變化和攻擊手段的不斷增加,傳統(tǒng)WAF防護(hù)的效果會(huì)變得越來(lái)越差,。如果想繼續(xù)提升防護(hù)效果,,運(yùn)維人員就必須再協(xié)調(diào)廠商人員針對(duì)特定攻擊進(jìn)行分析并制定相應(yīng)規(guī)則,依然會(huì)花費(fèi)大量時(shí)間精力,。但引入決策智能技術(shù)之后,,Web應(yīng)用防火墻通過(guò)上述的動(dòng)態(tài)防御引擎等防護(hù)功能,即可對(duì)不斷增加和變化的新型Web攻擊進(jìn)行有效防護(hù),、攔截和阻斷,,同時(shí)大大降低人員運(yùn)維成本。

  05

  智能化Web應(yīng)用類防火墻產(chǎn)品的實(shí)際應(yīng)用場(chǎng)景有哪些,?在不同場(chǎng)景下,,有哪些不同的能力表現(xiàn)?

  汪德嘉:

  智能化技術(shù)可以幫助Web應(yīng)用防護(hù)類產(chǎn)品支持更多場(chǎng)景,,如自動(dòng)化攻擊,、WEB應(yīng)用數(shù)據(jù)安全防護(hù)、0 DAY攻擊,、防業(yè)務(wù)風(fēng)險(xiǎn)等等,。0 DAY上述已經(jīng)提及,不再贅述。這里以自動(dòng)化攻擊和WEB應(yīng)用數(shù)據(jù)安全防護(hù)舉例說(shuō)明,。

  自動(dòng)化攻擊:自動(dòng)化攻擊是指利用自動(dòng)化腳本或工具模擬正常人的行為來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)攻擊的一種方式,。Forrester報(bào)告顯示,由于當(dāng)前市面上的WAF方案無(wú)法處理更廣泛的應(yīng)用程序攻擊,,特別是由機(jī)器人驅(qū)動(dòng)的自動(dòng)化攻擊,,已經(jīng)讓企業(yè)用戶苦不堪言。智能化技術(shù)的引入能夠幫助Web應(yīng)用產(chǎn)品精準(zhǔn)定位和發(fā)現(xiàn)這種自動(dòng)化攻擊行為,,同時(shí)還可以確保威脅判斷更加全面,,風(fēng)險(xiǎn)阻斷更加智能。

  WEB應(yīng)用數(shù)據(jù)安全防護(hù):黑客經(jīng)常會(huì)對(duì)網(wǎng)站發(fā)起攻擊或滲透,,對(duì)網(wǎng)站所包含的非公開數(shù)據(jù)進(jìn)行非授權(quán)訪問(wèn)或非法操作,,由此可能引發(fā)數(shù)據(jù)被竊取、仿冒和篡改等安全事件,,給網(wǎng)站運(yùn)營(yíng)者,、公眾用戶造成經(jīng)濟(jì)損失和名譽(yù)損失。隨著《數(shù)據(jù)安全法》的出臺(tái),,數(shù)據(jù)安全已被客戶重新定義,,可以說(shuō),沒(méi)有數(shù)據(jù)安全就沒(méi)有業(yè)務(wù)安全,,所以數(shù)據(jù)安全防護(hù)也變得更為重要,。動(dòng)態(tài)防護(hù)引擎和爬蟲防護(hù)引擎等智能化技術(shù),可以實(shí)現(xiàn)對(duì)網(wǎng)站的動(dòng)態(tài)加密,、動(dòng)態(tài)混淆和防惡意爬蟲等安全防護(hù)能力,,有效防止網(wǎng)站數(shù)據(jù)被竊取、篡改和仿冒等安全事件的發(fā)生,,大大減少網(wǎng)站數(shù)據(jù)泄露的安全風(fēng)險(xiǎn),。同時(shí)一些智能化Web應(yīng)用產(chǎn)品的反調(diào)試保護(hù)技術(shù),能夠有效防止網(wǎng)站內(nèi)容被隨意復(fù)制,、剪切和代碼調(diào)試,,抑制了任意轉(zhuǎn)載、摘抄和引用,,維護(hù)了網(wǎng)站信息內(nèi)容的權(quán)威性以及商業(yè)價(jià)值,。

  06

  您認(rèn)為未來(lái)Web應(yīng)用防火墻的智能化發(fā)展還有哪些技術(shù)瓶頸需要突破?發(fā)展趨勢(shì)如何,?

  汪德嘉:

  Web應(yīng)用防火墻的智能化發(fā)展需要突破的是高性能的AI人工智能算法。

  當(dāng)前市場(chǎng)上的智能Web應(yīng)用防火墻,,雖然部分已經(jīng)集成了AI智能業(yè)務(wù)反欺詐引擎,,實(shí)現(xiàn)了智能業(yè)務(wù)反欺詐能力。但AI算法對(duì)算力要求較高。引擎工作時(shí),,會(huì)消耗大量計(jì)算資源,,導(dǎo)致防火墻整體的業(yè)務(wù)處理性能出現(xiàn)下降。與此同時(shí)黑客們的攻擊手段也越來(lái)越緊跟時(shí)代潮流,,他們也開始使用AI工具進(jìn)行滲透動(dòng)作編排,,企圖繞過(guò)防火墻的安全防護(hù)功能。

  基于AI的攻擊與基于AI的防攻擊始終處于此消彼長(zhǎng)的交替演進(jìn)中,。魔高一尺道高一丈,,所以我認(rèn)為Web應(yīng)用防火墻的智能化發(fā)展,未來(lái)主要還是集中在不斷提升AI算法的效率,、準(zhǔn)確度以及提升硬件算力兩大方向上,。希望隨著各安全廠商的研發(fā)投入和行業(yè)技術(shù)發(fā)展,未來(lái)Web應(yīng)用防火墻的智能化水平能夠得到大幅度提升,,為企業(yè)的Web應(yīng)用提供更穩(wěn)定的防護(hù)效果,。

  安全牛評(píng)

  近年來(lái)隨著各類網(wǎng)站數(shù)量的大幅度增長(zhǎng),網(wǎng)站的安全問(wèn)題愈發(fā)嚴(yán)峻,,而大多數(shù)網(wǎng)站程序開發(fā)者,、網(wǎng)站維護(hù)人員對(duì)網(wǎng)站攻防技術(shù)的了解甚少,網(wǎng)站管理者需要合理可行的技術(shù)措施,,提高網(wǎng)站的安全性,,防范各種惡意攻擊。動(dòng)態(tài)防護(hù)引擎等智能化技術(shù)與WAF產(chǎn)品相結(jié)合,,大大增加了攻擊者發(fā)現(xiàn)代碼漏洞的難度,,引入AI算法進(jìn)行進(jìn)行智能決策,增加了威脅判斷的精確性,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected],。