活动

天翼云最新优惠活动,涵盖免费试用,产品折扣等,助您降本增效!
热门活动
免费活动
  • 活动
  • 智算服务
  • 产品
  • 解决方案
  • 应用商城
  • 合作伙伴
  • 开发者
  • 支持与服务
  • 了解天翼云
searchusermenu
  • 发布文章
  • 消息中心
点赞
收藏
评论
分享
原创

需求不断升级,云WAF未来何去何从

安全
2022-12-26 08:41:52
24
0

Web应用防火墙(Web Application Firewall,简称WAF)已经问世超过20年,而随着企业上云、万物上云的趋势,云WAF产品形态逐渐在整个WAF领域中占据了主流地位。

伴随着Web应用技术的高速发展,云WAF相关技术也日益变化。这些技术涉及到攻击检测、部署引流、日志分析、产品联动等方面,近几年不少新技术方案也在不断被提出并完成了落地,而驱动WAF技术不断发展的动力,主要来自于攻防场景持续变化等因素导致的用户在Web应用防护领域日益提升的需求。本文就以下云WAF当前所面临的能力需求,对相关技术方案和未来发展方向进行讨论。

 

未知威胁检测能力

攻击检测能力是云WAF的核心能力,云WAF攻击检测能力默认都会覆盖OWASP Top 10 等传统Web攻击类型,但近几年各类Web应用框架、组件、基础库等频繁爆出“0-day”漏洞,如 Struts2 OGNL表达式注入漏洞、fastjson反序列化漏洞、shiro 反序列化漏洞等“核弹级”漏洞,这类漏洞往往有着利用难度低、影响危害巨大等特点,而云WAF针对此类漏洞往往无法通过现有防护策略进行拦截,只能通过应急响应流程临时更新防护补丁,这就造成了防护的真空期。如何让云WAF具有检测未知威胁的能力,特别是检测“0-day”漏洞的能力,一直是云WAF用户的一个强烈需求。

要实现未知威胁检测,需要从两方面进行考虑。一是提升已知攻击类型检测能力的泛化性,即从特定攻击类型的角度,通过选择更好的特征工程技术、泛化能力更强的分类模型等角度进行优化,如近几年比较流行的“语义分析”技术就是特征工程的一种优化方法;二是从基于异常检测的思路,建立正常Web应用的基线,包括内容基线和行为基线,主动发现非正常业务的流量。这个思路无法定位到特定的攻击类型,是和第一个方面中提到方法互补的思路,但云WAF防护能力对实时性要求高,如何在保证效果的情况下做到实时或者近实时的异常检测是一个难题。除此之外,异常检测必定会让传统的“无状态”的云WAF变为“有状态”的云WAF,如何同时兼顾检测性能以及兼容现有技术架构也是需要考虑的问题。

 

机器人防护能力

    根据应用安全厂商Imperva发布的恶意Bot流量报告显示,机器人流量占2021年所有互联网活动的42.3%,其中恶意机器流量的比例约为27.7%,约为正常机器流量的两倍。其中恶意机器人流量包括网络钓鱼、网页爬取、恶意业务行为、敏感数据收集、DDoS攻击、暴力破解攻击等多种恶意活动。基于自动化工具的恶意行为极大的降低了攻击成本,攻击者可以短时间内产生大量恶意流量,并且机器人流量相比传统的Web攻击流量更接近于真实的业务流量,比如从单请求内容上看,通过工具恶意“薅羊毛”的流量和正常业务流量并没有区别,但是行为上却属于恶意行为。

    综合提升机器人防护能力可以从以下几个角度入手:第一是完善单请求特征分类模型,支持常见自动化工具类机器人流量的识别;第二是从行为检测入手,通过IP以及用户级别的行为分析,从Web应用接口层面对用户行为进行限制,但这类方法比较依赖用户手动配置,配置复杂度高,如何提升这类配置的自动化程度或者完善辅助配置的能力,是未来需要考虑的一个方向;第三是引入主动动态防护能力,包括动态API、请求和响应动态加密、JS动态混淆、敏感信息隐藏等技术,让自动化工具无法主动化扩大攻击面、打断自动化逻辑处理流程,可以从根本上完善非拒绝服务类机器人防护能力,但动态防护能力如何兼顾实时检测性能是一个未来仍需完善的方向。s

 

API防护能力

    随着Web应用日益复杂,站点级别的防护已经无法满足Web防护的灵活需求,API防护是现在以及未来Web应用防护中的一个主流需求。完善API防护能力,云WAF需要从以下几个方面入手:第一是支持API级别的防护策略配置,可以避免为了某些易误报API而导致整个站点不得不配置宽松防护策略等情况,让每个API得到更贴合的防护能力;第二是自动化的API模式学习与校验能力,基础能力包括自动学习API中传输的结构化数据类型模式,如 JSON、YAML、XML等,再自动对后续请求进行模式校验,高阶能力则需要支持学习更泛化的业务基线,支持各种格式的API场景,常见的方法有通过统计特征结合非监督式学习得到聚类模型,但如何将该逻辑整合到实时防护检测并将误报减少到能支持实时阻断的程度是一个巨大的难题;第三是API行为检测能力,行为检测跳出了单请求检测范围,能检测包括越权访问等异常API行为,但目前和实时检测结合的具体生产实践还比较少。

 

和云端能力更好地结合

   相比于传统WAF,云WAF依托于云平台,如何利用好云平台自身能力,让“云原生”不单单只有部署形态、使用流程等方面的便利,而且还能提升云WAF安全能力方面的优势。可以考虑的方向包括但不限于:可以将云平台授权的脱敏数据作为云WAF分类模型迭代优化的样本基础;利用网络上的可控性与便利性,将云WAF和其他原子安全能力进行结合,通过情报共享与关联分析等方法提升综合安全能力;基于云底座,更灵活的接入和编排安全能力,让云WAF更好的和其他安全能力进行协作。

 

技术会永远在变化,攻防与安全需求的不断升级是云WAF在内的各类安全产品需要面对的现实。云WAF不仅是为了满足等保合规的工具,更是Web应用防护中最重要的“城墙”,对于云WAF建设者,不仅要完善优化现有方案,更要保持对未来方向的持续探索,努力突破瓶颈,覆盖用户更多更广泛的安全需求。

版权声明:本文内容系天翼云实名用户自发贡献,版权归原作者所有,天翼云开发者社区不拥有其著作权,亦不承担相应法律责任,未经许可,不得转载。

如有疑问或争议,请联系ctyunbbs@chinatelecom.cn删除。

0条评论
0 / 1000
吴****雷
1文章数
0粉丝数
吴****雷
1 文章 | 0 粉丝
Ta的热门文章查看更多
需求不断升级,云WAF未来何去何从
吴****雷
1文章数
0粉丝数
吴****雷
1 文章 | 0 粉丝
原创

需求不断升级,云WAF未来何去何从

安全
2022-12-26 08:41:52
24
0

Web应用防火墙(Web Application Firewall,简称WAF)已经问世超过20年,而随着企业上云、万物上云的趋势,云WAF产品形态逐渐在整个WAF领域中占据了主流地位。

伴随着Web应用技术的高速发展,云WAF相关技术也日益变化。这些技术涉及到攻击检测、部署引流、日志分析、产品联动等方面,近几年不少新技术方案也在不断被提出并完成了落地,而驱动WAF技术不断发展的动力,主要来自于攻防场景持续变化等因素导致的用户在Web应用防护领域日益提升的需求。本文就以下云WAF当前所面临的能力需求,对相关技术方案和未来发展方向进行讨论。

 

未知威胁检测能力

攻击检测能力是云WAF的核心能力,云WAF攻击检测能力默认都会覆盖OWASP Top 10 等传统Web攻击类型,但近几年各类Web应用框架、组件、基础库等频繁爆出“0-day”漏洞,如 Struts2 OGNL表达式注入漏洞、fastjson反序列化漏洞、shiro 反序列化漏洞等“核弹级”漏洞,这类漏洞往往有着利用难度低、影响危害巨大等特点,而云WAF针对此类漏洞往往无法通过现有防护策略进行拦截,只能通过应急响应流程临时更新防护补丁,这就造成了防护的真空期。如何让云WAF具有检测未知威胁的能力,特别是检测“0-day”漏洞的能力,一直是云WAF用户的一个强烈需求。

要实现未知威胁检测,需要从两方面进行考虑。一是提升已知攻击类型检测能力的泛化性,即从特定攻击类型的角度,通过选择更好的特征工程技术、泛化能力更强的分类模型等角度进行优化,如近几年比较流行的“语义分析”技术就是特征工程的一种优化方法;二是从基于异常检测的思路,建立正常Web应用的基线,包括内容基线和行为基线,主动发现非正常业务的流量。这个思路无法定位到特定的攻击类型,是和第一个方面中提到方法互补的思路,但云WAF防护能力对实时性要求高,如何在保证效果的情况下做到实时或者近实时的异常检测是一个难题。除此之外,异常检测必定会让传统的“无状态”的云WAF变为“有状态”的云WAF,如何同时兼顾检测性能以及兼容现有技术架构也是需要考虑的问题。

 

机器人防护能力

    根据应用安全厂商Imperva发布的恶意Bot流量报告显示,机器人流量占2021年所有互联网活动的42.3%,其中恶意机器流量的比例约为27.7%,约为正常机器流量的两倍。其中恶意机器人流量包括网络钓鱼、网页爬取、恶意业务行为、敏感数据收集、DDoS攻击、暴力破解攻击等多种恶意活动。基于自动化工具的恶意行为极大的降低了攻击成本,攻击者可以短时间内产生大量恶意流量,并且机器人流量相比传统的Web攻击流量更接近于真实的业务流量,比如从单请求内容上看,通过工具恶意“薅羊毛”的流量和正常业务流量并没有区别,但是行为上却属于恶意行为。

    综合提升机器人防护能力可以从以下几个角度入手:第一是完善单请求特征分类模型,支持常见自动化工具类机器人流量的识别;第二是从行为检测入手,通过IP以及用户级别的行为分析,从Web应用接口层面对用户行为进行限制,但这类方法比较依赖用户手动配置,配置复杂度高,如何提升这类配置的自动化程度或者完善辅助配置的能力,是未来需要考虑的一个方向;第三是引入主动动态防护能力,包括动态API、请求和响应动态加密、JS动态混淆、敏感信息隐藏等技术,让自动化工具无法主动化扩大攻击面、打断自动化逻辑处理流程,可以从根本上完善非拒绝服务类机器人防护能力,但动态防护能力如何兼顾实时检测性能是一个未来仍需完善的方向。s

 

API防护能力

    随着Web应用日益复杂,站点级别的防护已经无法满足Web防护的灵活需求,API防护是现在以及未来Web应用防护中的一个主流需求。完善API防护能力,云WAF需要从以下几个方面入手:第一是支持API级别的防护策略配置,可以避免为了某些易误报API而导致整个站点不得不配置宽松防护策略等情况,让每个API得到更贴合的防护能力;第二是自动化的API模式学习与校验能力,基础能力包括自动学习API中传输的结构化数据类型模式,如 JSON、YAML、XML等,再自动对后续请求进行模式校验,高阶能力则需要支持学习更泛化的业务基线,支持各种格式的API场景,常见的方法有通过统计特征结合非监督式学习得到聚类模型,但如何将该逻辑整合到实时防护检测并将误报减少到能支持实时阻断的程度是一个巨大的难题;第三是API行为检测能力,行为检测跳出了单请求检测范围,能检测包括越权访问等异常API行为,但目前和实时检测结合的具体生产实践还比较少。

 

和云端能力更好地结合

   相比于传统WAF,云WAF依托于云平台,如何利用好云平台自身能力,让“云原生”不单单只有部署形态、使用流程等方面的便利,而且还能提升云WAF安全能力方面的优势。可以考虑的方向包括但不限于:可以将云平台授权的脱敏数据作为云WAF分类模型迭代优化的样本基础;利用网络上的可控性与便利性,将云WAF和其他原子安全能力进行结合,通过情报共享与关联分析等方法提升综合安全能力;基于云底座,更灵活的接入和编排安全能力,让云WAF更好的和其他安全能力进行协作。

 

技术会永远在变化,攻防与安全需求的不断升级是云WAF在内的各类安全产品需要面对的现实。云WAF不仅是为了满足等保合规的工具,更是Web应用防护中最重要的“城墙”,对于云WAF建设者,不仅要完善优化现有方案,更要保持对未来方向的持续探索,努力突破瓶颈,覆盖用户更多更广泛的安全需求。

版权声明:本文内容系天翼云实名用户自发贡献,版权归原作者所有,天翼云开发者社区不拥有其著作权,亦不承担相应法律责任,未经许可,不得转载。

如有疑问或争议,请联系ctyunbbs@chinatelecom.cn删除。

文章来自个人专栏
文章 | 订阅
0条评论
0 / 1000
请输入你的评论
0
0
售前咨询热线
400-810-9889转1
关注天翼云
  • 旗舰店
  • 天翼云APP
  • 天翼云微信公众号
服务与支持
账户管理
快速入口
云网生态
了解天翼云
热门产品
热门推荐
更多推荐
友情链接
©2025 天翼云科技有限公司版权所有 增值电信业务经营许可证A2.B1.B2-20090001
公司地址:北京市东城区青龙胡同甲1号、3号2幢2层205-32室
备案京公网安备11010802043424号京ICP备 2021034386号