WAF独木难支 应用安全防护2.0时代靠什么？

曾几何时，黑客攻击大多通过网络层进行，但随着基于网络层的基础安全防护措施趋于严密，防火墙、入侵防御、防病毒等安全软硬件构建起了相对完善的防护体系，想再从网络层钻空子的难度增大。如今，黑客攻击从网络层转入Web为主，传统安全体系越来越捉襟见肘。当前很多政企客户的安全关注点就在于应用安全，迫切需要针对Web应用层提供更新的解决办法，这是安全业界新的课题。

随着新兴技术的快速发展，网络应用类别越来越多，应用复杂度也越来越高，单纯解决网络层的安全已经无法防御黑客的新型攻击，必须高度重视维护关键应用的安全。这是因为Web应用程序无处不在，在大多数情况下是公司的核心组件。由于各种原因，它们经常获取、处理、存储和传输敏感数据（如机密业务信息、员工信息、客户个人数据、财务信息等）。Web应用程序成为网络犯罪分子获取敏感信息，入侵您的组织的最简单的途径之一。因此，对于Web应用安全的关注度更加热切。

随着越来越多的企业将核心业务系统转移到网络上，Web浏览器成为业务系统的主要入口。在这种背景下，如何保障企业的应用安全，尤其是Web应用安全，成为信息安全保障的关键所在。一份来自某国际知名咨询公司的分析报告指出，在调查的企业数据中心中，92%的Web应用存在安全缺陷，80%存在跨站攻击的风险，而高达62%存在SQL注入漏洞。同时，专门针对应用层进行攻击的手段也日益增多，防范起来越来越困难。值得注意的是，网络应用之所以不安全，其中一个关键因素是应用程序本身的安全性问题，给黑客攻击留下了可乘之机。

未来，更多的业务将以Web应用方式呈现，信息安全也必将从以边界防护为主向应用自身安全防护为主过渡，同时众多政企客户将加强各个应用安全防护产品的联防联控，形成整体应用防护的纵深防御体系。

对Web应用的攻击不曾停止，应用安全防护技术的进化也一直在持续。从传统的IPS防火墙，再到WAF(Web应用防火墙)的横空出世，引领技术趋势若干年，这一阶段可以称为应用安全防护1.0时代。尤其是WAF作为一款成熟的网站防护产品，一度成为企业为Web应用提供安全防护的必备利器。它能够抵御定向的Web技术攻击、部分业务逻辑攻击以及海量肉鸡的恶意访问。通过对Web应用的深入解析和检测， 能够阻拦SQL注入、跨站脚本攻击，阻止恶意扫描等常见Web攻击并提供修补漏洞的能力。

近年来，随着云计算市场的火热，WAF有了一种新的接入方式：云部署。通过简单的DNS记录变更，将流量引入到云端防护集群，经过安全防护检测后，将安全流量回源到服务器。相比于硬件WAF，云WAF拥有零部署、零安装、快速稳定等优势，并可将防护能力自动扩展、与云上网站共享、集群弹性扩容、轻松应对海量业务下的防护。越来越多的企业开始考虑购买云WAF产品。除了专业WAF厂商外，目前主要的云供应商都通过收购或者研发丰富了自己的WAF产品，它们与服务商自己的负载均衡器很好地集成在一起。但根据最新的调查报告，WAF产品的有效性和客户满意度的表现越来越令人失望。虽然WAF目前是企业应用安全策略的主力产品，但事实是，大多数企业都难以充分利用此类产品。

拥有WAF并不意味着应用安全防护可以一劳永逸。WAF的优点是可以进行流量告警，通常的安装方式是将WAF串行部署在Web服务器前端，用于检测、阻断异常流量，对全流量进行分析。但是WAF的缺点更让企业头痛，易被绕过、误报率高、维护成本高、需要不断更新规则库、出现0day不能及时防御等都让安全部门极为苦恼。

由于传统WAF基于规则构建安全策略，只要针对Web服务器、Web应用对协议解析、字符解析、文件名解析、编码解析以及SQL语法解析的差异进行变形，就可能达到绕过WAF的效果。同时，传统WAF无法对新型的攻击进行有效的识别和阻断。目前市面上大多数的WAF都是基于规则匹配的，但规则的更新往往是滞后于攻击发生，例如：0day漏洞攻击，没有预配置的规则，只能在漏洞披露后，依据漏洞特征建立防护规则。此外，传统WAF对攻击的识别来自于已经设定好的规则库，对于看似“正常”的业务逻辑漏洞却无能为力。例如越权操作，入侵者可以用低权限账号登陆系统后，通过拦截并修改用户参数，以达到查看或者修改其它权限账号的目的，而传统WAF并不能识别这一看似正常的操作。

可以这么说，WAF代表了应用安全防护1.0时代的最高水平，但随着攻击手段的不断更新，应用安全防护应该具备检测与响应能力，并契合内生安全理念，实现应用程序的自我防护，尤其是业务上云之后。

随着企业深度用云以及云原生应用的快速普及，云上复杂性提升，导致网络攻击面倍增，也伴生出新的安全风险。既然WAF在防护范围和防护能力上存在局限，难以应对复杂的网络攻击形势，于是很多厂商极力倡导WAAP成为革新必然。WAAP核心功能包括Web应用防火墙、API保护、Bot防护和七层DDoS攻击防护，进一步扩展了云上应用安全防护范围和安全深度。但WAAP目前仍存在一个很大的问题，那就是Web应用防护仍主要依靠边界防护手段，并未形成应用的自我防护机制。

大家对WAF、Bot防护、DDoS攻击防护已经比较熟悉，在此不多赘述。以API防护为例，随着API广泛应用于各个在线业务，涉及交易、账号敏感相关的环节都备受灰黑产关注，在线业务欺诈风险骤升。黑灰产已高度成熟，通过大量自动化、流程化的方式进行业务欺诈，并贯穿于整个在线业务场景。在注册、登录、营销场景下，自动化攻击占比均在50%以上。绝大多数企业对自身API资产现状不清，大量僵尸API、影子API存在，使敏感数据暴露在API之上，给攻击者留下了突破口。同时API没有上下文，攻击成本较低，攻击者通过简单的网络请求即可获取数据或者进行攻击。但目前，广大客户的API防护还是依靠API网关等设备，并未真正解决API防护的“最后一公里”问题。

那如何从应用自身加强防护，从而跟边界防护产品形成互动与联防，真正做到内外兼顾，纵深防御呢？Gartner引领的关键技术趋势可以给我们一定的借鉴意义。早在2014年，Gartner引入了“RASP-Runtime application self-protection”这一概念，它是一种新型应用安全保护技术，它将保护程序像“免疫血清”一样注入到应用程序中，与应用程序融为一体，能实时检测和阻断安全攻击，使应用程序具备自我保护能力。Log4j2等“核弹级漏洞”的爆发，使RASP技术迅速升温，填补了市场在应用层防护的空白，但技术的演进并未停止。

2022年12月，在国内知名安全咨询公司数世咨询发布的行业首份《ADR能力白皮书》中首次提出ADR这一新赛道，通过系统研究ADR的关键能力以及使用场景等，为广大政企客户构建整体应用防护体系提供参考和借鉴。ADR类产品基于RASP，并在其基础上增加了开源风险治理、API资产梳理（可以从应用内部洞悉全量API资产）、中间件基线、应用基线等持续检测和环境安全功能，可以视作RASP2.0，并可与WAF等传统安全产品形成纵深防御体系，达到应用安全“内外兼顾”的效果。这代表了应用安全防护的最新趋势，将应用安全由之前以边界防护为主的1.0时代提升至内外结合、持续检测与响应的2.0时代，打造了应用安全防护的新范式。