2004年之后,经济利益成为安全攻击的驱动力,这改变了整个互联网的安全图景,攻击变得“工业化”,具有庞大的组织、资金,更聚焦,并具有自动化能力。在此图景下,Web安全事件不断暴露出来,WAF解决方案应运而生,而为了更系统地进行Web安全防护,各类法规、政策陆续出现,这更有力地推动了WAF的需求和技术发展。但国内、国外(主要指美国)对WAF的需求特点并不完全一样,所以国内、国外厂商的WAF技术发展也不完全一样,产品走出了不一样的发展轨迹,本文将在这方面做一些分析。
国外
美国研究WAF最早,尤其是银行卡行业看重WAF的价值,因为美国的电子商务(在线支付)非常发达,各种企业都有自己的Web应用系统来为客户提供在线支付,而这些Web应用系统中具有较高商业价值的数据引起了黑客的高度关注,一度出现了许多安全事件,包括信用卡信息被窃取。这些事件,损害了企业声誉,动摇了客户信心,给企业造成了直接的销售损失。甚至威胁到了整个银行卡在线支付业务模式的推广。
于是,2004年12月15日,Visa、Master、American Express、Discover、JCB,五家企业联合起来,成立了一个组织:支付卡行业安全标准委员会(Payment Card Industry Security Standards Council,缩写PCI SSC)。此时,这个委员会中的企业已经有了各自的信息安全策略,他们在这个委员会中对信息安全策略进行了统一,发布了:支付卡行业数据安全标准(Payment Card Industry Data Security Standard,缩写PCI DSS)。这就是对WAF产品发展产生持续、强大驱动力的PCI DSS,最早是Version 1.0,2006年9月升级为Version 1.1,2008年10月升级为Version 1.2,目前最新的PCI DSS是2009年8月发布的Version 1.2.1。
PCI DSS这一新的数据安全标准要求任何处理支付卡数据的零售商都必须满足一系列严格的标准,如果不能做到“法规遵从”,则可能会遭受严厉的处罚和高额罚金。例如:
1、每个数据安全案件高达 500,000美元的罚款
2、由于未能符合颁布的标准而每天面临 50,000 美元的罚金
3、对因账号被盗用而造成的所有欺诈损失负责
4、对因信用卡被盗用而造成的重新发卡的成本负责
5、暂停商业账户
PCI DSS对WAF提出了明确要求:”All public-facing Web applications subject to either reviews of applications via manual or automated vulnerability assessment tools or methods, or installation of an application-layer firewall in front of public-facing Web applications.”
关于PCI DSS这个法规对WAF的驱动,还有两个方面需要注意:第一、PCI DSS除了提出了“部署WAF”的要求之外,还描述了许多详细的功能要求(虽然并没有说一定要通过WAF来实现,但很多功能用WAF来实现明显是最理想的方法),这些功能要求成了WAF厂商,尤其是国外WAF厂商,技术发展的最重要考量(即PCI DSS合规)。第二、PCI DSS的影响力大大超出了支付卡行业,甚至在权威测试机构的WAF产品通用测试标准(并不针对某个行业)中,也把PCI DSS作为参照。可以说,PCI DSS是驱动WAF技术发展最重要的法规。
国内
在大洋彼岸的中国,对WAF的需求又是怎样的特点呢?现在回头来看,真的就像我们中国人常说的:“具有中国特色”。
中国没有完善的信用体系,信用卡在线支付到现在也不是很普及,其应用成熟度跟美国根本无法相比(这一度令人们怀疑中国电子商务的发展,当然,支付宝一类的方式解决了这个问题)。也许就是因为中国企业遭遇“信用卡信息被窃取”这样的情况比较少,在银行业并没有产生类似PCI DSS的法规,没有对WAF产生强力驱动。但是,“西方不亮东方亮”,网页篡改事件在中国的大面积出现,成了WAF的主要驱动力(这中间还有一个 “插曲”,就是“网页防篡改系统”的一度流行,这在后面会讲到)。
CNCERT/CC(国家互联网应急中心)每个月都会发布《我国网站被篡改情况月度报告》,我们随意抽取2010年2月的情况来看一下:
“2010年2月,我国大陆地区被篡改网站的数量为2304个,与上月的1881个相比增长22%。”
“2010年2月,大陆地区政府网站被篡改的数量为403个,较上月的361个增长12%。”
网页篡改的社会敏感性极高,尤其是对于政府门户网站来说,此外,高校、企业、运营商的网站也都出现过严重的网页篡改事件。一时间,在中国大陆,“网页篡改”就代表了Web安全威胁,迫切地需要解决方案。这时,先出现的解决方案是前面提到的“网页防篡改系统”。
“网页防篡改系统”是一套软件,包括:Agent程序(安装在Web服务器上)和集中管理程序(安装在单独的一台服务器上,管理Agent的策略)。起初,这种解决方案很受欢迎,因为它直接,但是它的部署位置和基本原理决定了:它只对保护静态页面有很好的效果,而对于动态页面没办法保护,为此,有些“网页防篡改”厂商提出在Web服务器上再安装诸如“SQL注入防护模块”的方案,但这会影响Web服务器性能,而且对动态页面的篡改方法远远不只是“SQL注入”,这种打补丁的方案从长远来看是不行的。而“网页防篡改系统”的不足,恰恰是WAF的优势,它部署在网络中,深入分析HTTP协议流量,全面防御各种Web安全威胁的同时,对Web服务器没有任何干扰,实际上是治本的网页防篡改解决方案。
无论如何,“网页篡改”是中国大陆最显著的Web安全事件,就好比在美国最显著的Web安全事件是“信用卡信息窃取”一样,加上2008年奥运、2010年世博的大背景,国内Web安全的焦点几乎全聚集在防篡改上面了。在法规方面,2006年3月1日起施行的“互联网安全保护技术措施规定(公安部令第82号)”是影响比较大的国内法规,其第九条、第三款规定:“开办门户网站、新闻网站、电子商务网站的,能够防范网站、网页被篡改,被篡改后能够自动恢复”。这是国内最接近对WAF产生驱动力的法规描述了。在国内部分行业Web应用系统的安全规范中,例如:银行业的网上银行系统、运营商网上营业厅系统,也都没有对WAF提出明确的要求,要么还在要求传统的“防火墙+IPS”方案,要么在要求治标不治本的“网页防篡改系统”方案。可以说,缺乏法规推动,使得国内WAF的应用和发展落后于国外,但WAF在全面解决Web安全问题中的技术优势和潜力已经在实践中得到了越来越多的认可,相信法规的出台和推动仅仅是时间问题。
分析
Web安全问题的技术根源和攻击方法演进在全球范围内是一样的,但WAF成为Web安全问题主流解决方案的过程在国内外走出了不同的轨迹。
在国外:信用卡信息窃取(事件)——》PCI DSS(法规)——》WAF
在国内:网页篡改(事件)——》82号令(法规)——》网页防篡改产品——》WAF
事出必有因,国内WAF的发展虽然看似比国外“慢了一拍”,但在这其中确实有特殊的需求,比如一旦网页被篡改如何避免不良社会影响扩散,这在国内是极其重要的需求。绿盟科技的WAF产品在技术上具备国际先进水平(PCI DSS合规),但因为首先服务的是国内客户,所以认真考虑了国内客户的关切,做出了许多创新的技术方案,例如:在绿盟科技WAF中运用了基于“内容预取”的网页防篡改技术,在具备WAF一般功能的同时,着重解决了客户“避免不良社会影响扩散”的关切,可以说是一款“中西合璧”的WAF产品。
相信,WAF在国内还会基于客观的需求,走出一条具有中国特色的发展道路。
【编辑推荐】