一直以来,Web应用防火墙(WAF)都是企业组织开展网络安全建设的最基本要求之一,在企业数字化发展中扮演了重要角色。不过随着网络攻击的演进,WAF技术的应用也在发生变化,新一代WAF的产品理念开始被提出。相比传统的WAF产品,新一代WAF不仅要对组织的网站系统进行保护,还要对逐渐普及的Kubernetes、微服务、API以及无服务器部署等新兴业务应用模式进行保障和支撑。
传统WAF的挑战
尽管WAF已经是一种趋于成熟的网络安全产品,但最新的调研数据显示,用户组织对WAF产品的应用满意度却不容乐观。在国际网络安全委员会(Neustar)不久前开展的一次调研中,接近40%的受访者表示曾遇到WAF被攻击绕过的情况;有33%的受访者表示其正在使用的WAF系统存在误报的情况;此外,有超过30%的受访者表示,目前的WAF系统存在配置复杂、策略修订难等不足。
除传统WAF产品本身的性能瓶颈及功能不足外,当前企业组织对WEB应用模式的转变也带来了新的应用风险,也对传统WAF防护技术提出了新的要求:
- WEB应用的访问路径已不局限在网页中,小程序接入、APP接入、API调用方式已经成为WEB应用对外提供服务的主流,因此在做数据包分析时需要更加全面;
- 机器人攻击、人工智能手段、商业化的高级攻击软件比例增加,以及攻击者能力上升,都会对WAF的应用性能带来更大压力,并导致绕过WAF的可能性不断增加;
- 除SQL注入、一句话木马等网络攻击行为外,基于业务逻辑的攻击比例不断增加,而传统的WAF技术采用的独立会话判断模式无法识别出逻辑攻击的内容;
- 从需求侧看,随着攻击种类的增加,需要为WAF提交的配置越来越复杂,学习成本越来越高,用户对传统WAF产品的运营使用难度也会不断加大。
新一代WAF的理念
面对以上传统WAF产品应用中的不足,新一代的WAF产品需要通过更先进的设计理念和技术手段,进行能力完善和优化,从而提升WAF的应用价值。基于当前企业组织的WEB应用风险特征,并结合分析师对甲方用户和国内代表性WAF产品服务商的实际调研访谈,安全牛对新一代WAF的理念进行了以下思考和定义:
新一代WAF是指针对WEB应用系统执行过程中遇到的各种运行安全问题、数据安全问题以及业务安全问题,通过更广泛的原始数据采集和分析,提供多维度、智能化、可协同的系统性防护能力的产品或解决方案。在新一代WAF产品的设计中,应该对WEB应用执行切面,覆盖尽可能多的WEB应用防护场景,在同一平台、同一输入、同一流程下,针对当前Web应用安全需求,提供尽可能完备的防护能力覆盖。
Web应用风险模型
基于以上定义和思考,新一代WAF产品应该具有以下典型应用特征:
- 平台化:新一代WAF不只是对单一数据包进行过滤匹配,因此需要在统一的平台进行威胁分析和检测,或者以云化的方式交付;
- 生态化:从内部看,为了提升新一代WAF的能力,需要与威胁情报能力结合,提升威胁识别能力;从外部看,新一代WAF还可以与RASP产品、身份安全等产品等形成联动,对WEB应用全生命周期进行防护;
- 能力泛化:新一代WAF不仅针对应用的运行进行防护,还支撑了应用系统的数据安全防护、业务安全防护,其能力由点向面泛化;
- 服务化:WEB应用随时接入互联网的特性让WAF的SaaS化交付成为可能,因此服务化交付是新一代WAF 的重要发展趋势,用户仅需要获得WAF的能力即可,不需要考虑WAF的实现方式、配置方式。服务化交付一方面可以提供更高的性能,另一方面也可以提升用户的部署效率;
- 自动化:新一代WAF作为具备处置能力的设备,未来将拥有更强的自动化执行能力,随着WAF产品生态的落地,越来越多的具备分析能力的设备可将分析结果、处置策略传递给新一代WAF,提升网络边界侧的实时处置能力。
新一代WAF的能力架构
安全牛始终认为:安全不是一个口号,也不是一款产品,而是一种能力。为了实现“多维度、智能化、可协同”的Web应用安全防护能力,新一代WAF产品在研发设计时可以参考以下能力架构:
新一代WAF能力架构
新一代WAF能力的建设并不是要对传统WAF功能的摒弃,而是一种继承和完善,同时针对新的应用场景进行创新优化。围绕新一代WAF的核心能力建设,可以从核心技术、支撑技术、联动技术等视角去赋能或形成能力提升。
从核心能力角度看,新一代WAF的核心能力可分为延续能力和创新能力。能力延续即为传统WAF的能力,而新能力则是指基于传统WAF能力解决的新问题或通过联动其他技术形成的能力。需要指出的是,传统WAF所提供的数据包解析、语义识别等能力仍然是新一代WAF能力构建的基础。
从核心技术角度看,新一代WAF的核心技术是对传统WAF技术的叠加,传统的WAF通过拆解应用层数据包,对包中内容进行语义分析和规则匹配的方式进行风险识别。同时WAF具备网页缓存、虚拟补丁、反向代理的能力,提升WAF应用能力和应用效果。新一代WAF中,增加了UEBA、动态防御的能力,以提升对数据包的利用效果,增加对多包协同分析能力。
从应用场景角度看,新一代WAF的典型应用场景既包括漏洞风险防护、数据防泄漏、防CC的传统WAF应用场景,也包括内容风控、业务风控、RBI场景等新应用场景。可以认为,新一代WAF的新应用场景在同时向左、向右推进,向左即对用户内网安全的支持,向右即对用于WEB应用执行中的业务安全场景进行支撑。
需要特别说明的是,新一代WAF并不是一个产品孤岛,而是未来WEB应用防护生态体系中的一部分。因此,从支撑技术看,新一代WAF需要威胁情报提升威胁识别能力、需要SSL解密技术对加密流量进行解析、需要人工智能技术提升风险识别准确率。新一代WAF还可以作为WEB应用防护设备,联动更多的对网络环境、代码安全相关的产品,形成WEB应用全生命周期防护。