由“点”向“面”!简析新一代WAF的理念与应用
日期:2023年11月16日 阅:166
一直以来,Web应用防火墙(WAF)都是企业组织开展网络安全建设的最基本要求之一,在企业数字化发展中扮演了重要角色。不过随着网络攻击的演进,WAF技术的应用也在发生变化,新一代WAF的产品理念开始被提出。相比传统的WAF产品,新一代WAF不仅要对组织的网站系统进行保护,还要对逐渐普及的Kubernetes、微服务、API以及无服务器部署等新兴业务应用模式进行保障和支撑。
传统WAF的挑战
尽管WAF已经是一种趋于成熟的网络安全产品,但最新的调研数据显示,用户组织对WAF产品的应用满意度却不容乐观。在国际网络安全委员会(Neustar)不久前开展的一次调研中,接近40%的受访者表示曾遇到WAF被攻击绕过的情况;有33%的受访者表示其正在使用的WAF系统存在误报的情况;此外,有超过30%的受访者表示,目前的WAF系统存在配置复杂、策略修订难等不足。
除传统WAF产品本身的性能瓶颈及功能不足外,当前企业组织对WEB应用模式的转变也带来了新的应用风险,也对传统WAF防护技术提出了新的要求:
新一代WAF的理念
面对以上传统WAF产品应用中的不足,新一代的WAF产品需要通过更先进的设计理念和技术手段,进行能力完善和优化,从而提升WAF的应用价值。基于当前企业组织的WEB应用风险特征,并结合分析师对甲方用户和国内代表性WAF产品服务商的实际调研访谈,安全牛对新一代WAF的理念进行了以下思考和定义:
新一代WAF是指针对WEB应用系统执行过程中遇到的各种运行安全问题、数据安全问题以及业务安全问题,通过更广泛的原始数据采集和分析,提供多维度、智能化、可协同的系统性防护能力的产品或解决方案。在新一代WAF产品的设计中,应该对WEB应用执行切面,覆盖尽可能多的WEB应用防护场景,在同一平台、同一输入、同一流程下,针对当前Web应用安全需求,提供尽可能完备的防护能力覆盖。
基于以上定义和思考,新一代WAF产品应该具有以下典型应用特征:
新一代WAF的能力架构
安全牛始终认为:安全不是一个口号,也不是一款产品,而是一种能力。为了实现“多维度、智能化、可协同”的Web应用安全防护能力,新一代WAF产品在研发设计时可以参考以下能力架构:
新一代WAF能力的建设并不是要对传统WAF功能的摒弃,而是一种继承和完善,同时针对新的应用场景进行创新优化。围绕新一代WAF的核心能力建设,可以从核心技术、支撑技术、联动技术等视角去赋能或形成能力提升。
从核心能力角度看,新一代WAF的核心能力可分为延续能力和创新能力。能力延续即为传统WAF的能力,而新能力则是指基于传统WAF能力解决的新问题或通过联动其他技术形成的能力。需要指出的是,传统WAF所提供的数据包解析、语义识别等能力仍然是新一代WAF能力构建的基础。
从核心技术角度看,新一代WAF的核心技术是对传统WAF技术的叠加,传统的WAF通过拆解应用层数据包,对包中内容进行语义分析和规则匹配的方式进行风险识别。同时WAF具备网页缓存、虚拟补丁、反向代理的能力,提升WAF应用能力和应用效果。新一代WAF中,增加了UEBA、动态防御的能力,以提升对数据包的利用效果,增加对多包协同分析能力。
从应用场景角度看,新一代WAF的典型应用场景既包括漏洞风险防护、数据防泄漏、防CC的传统WAF应用场景,也包括内容风控、业务风控、RBI场景等新应用场景。可以认为,新一代WAF的新应用场景在同时向左、向右推进,向左即对用户内网安全的支持,向右即对用于WEB应用执行中的业务安全场景进行支撑。
需要特别说明的是,新一代WAF并不是一个产品孤岛,而是未来WEB应用防护生态体系中的一部分。因此,从支撑技术看,新一代WAF需要威胁情报提升威胁识别能力、需要SSL解密技术对加密流量进行解析、需要人工智能技术提升风险识别准确率。新一代WAF还可以作为WEB应用防护设备,联动更多的对网络环境、代码安全相关的产品,形成WEB应用全生命周期防护。
《新一代WAF技术应用指南》报告
为了更好地探寻新一代WAF的应用价值与发展方向,安全牛根据第十版全景图报告“Web应用安全防护”领域收录结果,特别邀请到安天、观安信息、瑞数信息、天融信、电信安全、云盾智慧、云科安信(排名部分先后,以首字母序排列)7家国内WAF产品研发与应用领域具有一定代表性厂商,联合启动了《新一代WAF技术应用指南》报告研究工作。本次报告将从企业组织当前实际的Web应用防护需求入手,深入探寻新一代WAF需具备的能力及新的应用价值点,并围绕用户的系统应用特征,给出新一代WAF产品的部署和选型建议。
《新一代WAF技术应用指南》报告提纲
一、 概述
1.1 WEB应用的安全需求
1.2 传统WAF的挑战
1.3 新一代WAF理念
二、 新一代WAF能力
2.1 新一代WAF核心能力
2.2 新一代WAF关键技术
三、 新一代WAF应用实践
3.1 应用场景分析
3.2 方案部署
3.3 产品选型指南
四、 典型案例研究
五、 发展与趋势
六、 代表性厂商及产品分析
报告将于近期正式发布,敬请关注!