为什么要换掉传统Web应用防火墙(WAF)?

admin 2021年1月4日15:39:18评论53 views字数 2742阅读9分8秒阅读模式
为什么要换掉传统Web应用防火墙(WAF)?

目前,由于潜在变现机会,Web应用已成为攻击者的首要目标。Web应用安全事件可能招致成百上千万美元的巨大损失。域名系统(DNS)相关服务中断和分布式拒绝服务(DDoS)也会对业务产生负面影响。众多安全对策中,Web应用防火墙是第一道防线。

Web应用防火墙(WAF)的基本功能是建立一道坚实的边界,阻止特定类型的恶意流量访问资源。尽管上世纪90年代末就已出现WAF,此类初代技术已不再适合近些年来的复杂网络攻击,不足以提供全面的应用控制和可见性。随着安全风险的不断上升,新时代Web应用防火墙是提供恰当防护的唯一解决方案。

传统防火墙已死,至少濒临死亡

早些时候,Web应用没那么普遍,Web威胁也就没有那么突出。恶意机器人程序不算很复杂,检测简单直接。网络安全需求还非常基础,采用基本网络安全管理就能妥善应对。

时至今日,所有这一切发生了改变。Web应用存在于本地、云端或混合环境中,客户和雇员通过网络在任意地点加以访问。由于IP地址不断改变,且被内容分发网络(CDN)遮蔽,防火墙无法追踪访问请求源自何方、去向何处,也无法确知网络上正在发生什么。

WAF应该能抵御一系列复杂高端威胁。传统WAF以硬件设备形式实现,不仅难以使用,还深受可见性缺乏和性能低下之苦。以至于90%的公司企业声称自己的WAF太过复杂了。

波耐蒙研究所的调查研究显示,65%的公司企业经历过WAF失效,仅9%的公司企业WAF未遭突破。然而,这并不代表他们的WAF在未来永远不会被绕过。公司企业担心自身WAF的性能和安全不无道理。

为什么要换掉传统Web应用防火墙(WAF)?

图:波耐蒙《Web应用防火墙状态》

波耐蒙的研究还表明,仅40%的受访者满意自身现有WAF,也就是说他们并没有充分发挥其功效。少数公司承认仅将WAF用于产生安全警报,而不是阻止可疑活动。

最糟的情况下,公司企业被WAF拖累,十分后悔投入如此多的资产却在重要事项上毫无安全进展。于是,新时代Web应用防火墙的需求应运而生。AppTrana等新时代WAF是基于云的托管服务,更易于部署,拥有更便利的订阅商业模式,且依托专业人才和知识持续管理安全策略,让公司企业能够专注自身核心专业技能,不用费心学习复杂的应用安全新技术。

传统WAF面临的挑战

从传统Web应用防火墙转向下一代WAF的产业界人士表达了他们做出WAF切换决策的动机。大部分原因不外乎以下几种:

1
技术创新

Web应用标准不断发展变化,提高了对WAF必要功能的要求。

JSON有效负载和HTTP/2采纳的增长令大多数Web应用防火墙供应商疲于追赶。尽管市场预期不断创新,很多WAF供应商却越来越脆弱。

2
缺乏扩展性

公司企业对网络扩展的需求加剧了成本、耗时和复杂性等挑战。设备集群的部署和维护变得非常复杂。

开发运维和敏捷方法需要持续重新配置和重新微调集群,耗干安全团队资源。

3
零日漏洞利用

尽管能够有效监测Web流量以阻止特定于HTTP的攻击,WAF却对零日攻击束手无策。WAF用于检测预配置的模式,但零日漏洞可通过各种攻击途径加以利用,预配置的规则无法覆盖这些途径。

4
阻塞合法流量

大多数WAF用户的另一个不满之处,是传统WAF会无意阻塞有效流量,也就是所谓的误报。尽管从安全角度考虑,这似乎相对无害,但对公司企业而言却可能是灾难性的。误报可能会阻止访客获取应用功能、上传媒体或购买产品。

解决这个问题的一个潜在方法是只应用最低限度的模式,但这可能会让网络更加脆弱。大多数WAF解决方案都难以平衡这一操作。除非投入专用资源加以管理,否则很难充分发挥传统WAF的效用。这就是传统WAF无法满足预期的最大缺陷。

5
DDoS攻击

最重要的是,DDoS难题困扰WAF安装。很多公司企业都使用WAF防止DDoS攻击。他们选择这么做主要是因为可以将WAF升级到具备缓解DDoS攻击的功能。

然而问题在于,传统WAF就不是用来抵御大规模DDoS攻击的。而且,现代应用由第三方平台共享或提供,靠本地防御层也保护不了。没有基于云的WAF,就难以规划前期容量,即使勉强规划,也依然存在上限。

云WAF和专用托管云WAF能够解决扩展问题。公司企业只需基于价值付费,无需为了未来可能或可能不会发生的事件支付前期固定费用。

了解新时代WAF的功能

尽管很多WAF供应商都宣称提供下一代WAF,其实其中大部分都采用与传统WAF相同的安全范式,根本不能称之为下一代。我们需要的是真正称得上下一代的新时代WAF。正如Indusface的AppTrana所呈现的,新时代WAF的基本特征包括:

1
应用和Web使用控制

应用和Web使用控制能够解决阻止哪类流量的问题。WAF采用多种标识类别来识别网站和网上应用的确切身份,确定该怎样处理这些网站和应用。

准确的流量分类是下一代WAF的核心。这么做可以防止公司企业访问可能导致法律问题或恶意/无关的网站和应用。

2
高级Web应用安全数据分析

基于云的WAF不仅能够处理大多数Web应用正在经历的新兴攻击,还可稳定提升威胁可见性和改善数据分析。如果采用传统WAF,公司企业基本等于盲飞,只能期待一切都“好”,而事故总会发生。

WAF实时监视性能指标,突出显示基础设施、应用和最终用户的状态。可以信任WAF会按既定功能运行,让用户能在事件发生前早做准备。

3
 Web应用安全评估和恶意软件检测

新时代防火墙很清楚:即使合法网站也可能无意中存在漏洞,甚至可能含有链向恶意站点和恶意攻击载荷的链接。而且,即使知道常会含有恶意链接或恶意文件,公司企业有时候也会赋予社交媒体平台访问权。

AppTrana之类新时代WAF的主要好处,是能够提供与应用风险相关的WAF策略并持续执行。

4
全球威胁情报

基于云的安全平台能够利用其国际部署,维持完整的全球流量趋势洞察。此类安全平台监视和分析全球所有部署的流量,只要某个位置识别出安全威胁,全球所有部署都能收到更新并响应加强防御。

5
自动化干预

基于云的WAF不仅依赖预定义的策略和特征,还提供准确的自定义风险规则托管服务。云WAF基于实时模式和行为分析持续监视并自动过滤有效请求及恶意黑客,也提供虚拟补丁以防止漏洞利用,比如零日漏洞。

前瞻

传统WAF与新时代WAF之间存在几个关键差异。如果传统WAF出于某种原因不敷使用,Web应用就会成为攻击者易于得手的猎物。最佳解决办法是选择先进的Web防护,防止对业务运营造成负面影响。基于云的新时代WAF旨在提供足够的Web防护,交付安全投资的真正价值。

关键词:WAF;


往期精彩回顾




WAF为何不能尽如人意?
【调查】大部分安全主管对防火墙不满
简单概括下一代防火墙和传统防火墙的区别:“下一代”不只是说说而已
为何防火墙技术始终屹立不倒?

本文始发于微信公众号(数世咨询):为什么要换掉传统Web应用防火墙(WAF)?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年1月4日15:39:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   为什么要换掉传统Web应用防火墙(WAF)?https://cn-sec.com/archives/231348.html

发表评论

匿名网友 填写信息