字节业务安全建设之WAF实战

0x00 Referer

个人学习笔记，摘录于：业务安全建设之WAF实战 - 字节 - 欧阳鹏

0x01 业务在应用层面临的主要威胁

• Web漏洞利用
• 攻击手法以通用的漏洞扫描、漏洞探测为主
• 攻击类型中SQL注入、敏感文件获取、RCE、XSS等攻击仍占主流
• 组件漏洞利用攻击增长迅猛
• 应用层DDoS/CC攻击
• 攻击目标广泛
• 攻击频率极高
• 攻击规模大、破坏强
• 攻击手法持续升级
• 恶意BOT流量
• 自动化程度高
• 攻击手法贴合业务场景
• 重点业务往往是重灾区
• 爬虫、刷粉、刷赞、刷量为主要目的

0x02 WAF对抗实战

2.1 案例一：WEB攻防对抗

事前

• 漏洞补丁一键下发
• 基础防护全量覆盖
• 专家值守，常态化巡检
• 行为监控，秒级告警

事中

• 防护分析
• 情报联动
• 阻断攻击
• 排查影响

事后

• 防护联动，根除攻击
• 同步&恢复业务
• 攻击溯源
• 复盘优化

2.2 案例二：应用层DDoS攻击防护

特点

1、攻击手法多变

攻击强度大 业务场景丰富 访问体验要求高攻击手法专业且多变，而且会根据防护策略调整攻击手段，绕过原有策略，与防护方形成攻防对抗

2、攻击强度大

攻击请求量大，目前最高达1320kqps，对防护性能要求高，而且攻击不断增大，风险和压力越来越大

3、业务场景丰富

业务场景丰富，需要根据业务场景定制策略，才能有效防护。攻击者只需找到一个突破点，防护方则需面面俱到

4、访问体验要求高

用户访问体验要求高，故防护方必须兼顾误杀和透传，提升防护效率。避免访问体验差而导致舆论风险

攻击特征及对抗手法

攻击特征：批量肉鸡IP高频请求，请求频率高于正常用户

对抗方法：

• 定制请求频控
• 异常IP封禁

攻击特征：大量肉鸡IP低频请求，绕过频控策略，但恶意特征较明显，同时分散攻击目标范围

对抗方法：

• 分析攻击特征，定制UA、Cookie等维度的特征规则
• 梳理业务路径，扩大防护范围，并配置过载保护等兜底策略

攻击特征：大量肉鸡采用正常用户特征+随机值的方法绕过针对特征对象的频控

对抗方法：

• 上线CC多策略功能，并结合业务场景(登录态、Cookie等)深度定制规则
• 采用BOT识别，拦截恶意流量

攻击特征：大量肉鸡低频请求，并重放合法请求流量，伪造Facebook、百度等爬虫进行攻击

对抗方法：

• 情报信息
• 用户画像数据
• 验证码等人机挑战

建设规划

0x03 防御体系的建设优化

3.1 入侵对抗

3.2 防护能力

客户端：端防护

浏览器：边缘防护

LB：精细防护

API网关：过载防护

RS：容灾策略

0x04 总结积累，防患未然

4.1 运营&协同

• 防护覆盖：实现对业务资产、业务场景、基础防护策略、特征防护策略、定制化防护策略的覆盖。
• 攻击感知：通过对业务流量接入链路的相关数据、防护数据、情报数据等数据进行监控、分析，实现对攻击态势、事件的感知能力
• 总结优化：通过对已有的防护策略、防护事件、防护指标等进行复盘分析，梳理防护运营及防护能力层面的改进/优化项，实现防护能力及策略的迭代完善。
• 能力共建：联动网络流量链路中各接入组件、各安全组件、各业务组件的能力与数据，共建防护能力，实现整体防护效果的提升
• 跨区协作：贴合业务场景，实现在各业务区域、机房的策略一致性要求 或 差异化防护策略要求，支持相关合规要求，实现防护策略跨区部署，防护组件跨区运营
• 防护跟进：通过构建完善的防护监控体系，具备成熟的漏过&误伤评估能力，与防护业务的紧密协作，及时感知业务防护效果，推进防护优化措施落地

4.2 AI赋能