曾几何时,黑客攻击大多通过网络层进行,但随着基于网络层的基础安全防护措施趋于严密,防火墙、入侵防御、防病毒等安全软硬件构建起了相对完善的防护体系,想再从网络层钻空子的难度增大。如今,黑客攻击从网络层转入Web为主,传统安全体系越来越捉襟见肘。当前很多政企客户的安全关注点就在于应用安全,迫切需要针对Web应用层提供更新的解决办法,这是安全业界新的课题。
应用安全不可忽视
随着新兴技术的快速发展,网络应用类别越来越多,应用复杂度也越来越高,单纯解决网络层的安全已经无法防御黑客的新型攻击,必须高度重视维护关键应用的安全。这是因为Web应用程序无处不在,在大多数情况下是公司的核心组件。由于各种原因,它们经常获取、处理、存储和传输敏感数据(如机密业务信息、员工信息、客户个人数据、财务信息等)。Web应用程序成为网络犯罪分子获取敏感信息,入侵您的组织的最简单的途径之一。因此,对于Web应用安全的关注度更加热切。
随着越来越多的企业将核心业务系统转移到网络上,Web浏览器成为业务系统的主要入口。在这种背景下,如何保障企业的应用安全,尤其是Web应用安全,成为信息安全保障的关键所在。一份来自某国际知名咨询公司的分析报告指出,在调查的企业数据中心中,92%的Web应用存在安全缺陷,80%存在跨站攻击的风险,而高达62%存在SQL注入漏洞。同时,专门针对应用层进行攻击的手段也日益增多,防范起来越来越困难。值得注意的是,网络应用之所以不安全,其中一个关键因素是应用程序本身的安全性问题,给黑客攻击留下了可乘之机。
未来,更多的业务将以Web应用方式呈现,信息安全也必将从以边界防护为主向应用自身安全防护为主过渡,同时众多政企客户将加强各个应用安全防护产品的联防联控,形成整体应用防护的纵深防御体系。
WAF独木难支
对Web应用的攻击不曾停止,应用安全防护技术的进化也一直在持续。从传统的IPS防火墙,再到WAF(Web应用防火墙)的横空出世,引领技术趋势若干年,这一阶段可以称为应用安全防护1.0时代。尤其是WAF作为一款成熟的网站防护产品,一度成为企业为Web应用提供安全防护的必备利器。它能够抵御定向的Web技术攻击、部分业务逻辑攻击以及海量肉鸡的恶意访问。通过对Web应用的深入解析和检测, 能够阻拦SQL注入、跨站脚本攻击,阻止恶意扫描等常见Web攻击并提供修补漏洞的能力。
近年来,随着云计算市场的火热,WAF有了一种新的接入方式:云部署。通过简单的DNS记录变更,将流量引入到云端防护集群,经过安全防护检测后,将安全流量回源到服务器。相比于硬件WAF,云WAF拥有零部署、零安装、快速稳定等优势,并可将防护能力自动扩展、与云上网站共享、集群弹性扩容、轻松应对海量业务下的防护。越来越多的企业开始考虑购买云WAF产品。除了专业WAF厂商外,目前主要的云供应商都通过收购或者研发丰富了自己的WAF产品,它们与服务商自己的负载均衡器很好地集成在一起。但根据最新的调查报告,WAF产品的有效性和客户满意度的表现越来越令人失望。虽然WAF目前是企业应用安全策略的主力产品,但事实是,大多数企业都难以充分利用此类产品。
拥有WAF并不意味着应用安全防护可以一劳永逸。WAF的优点是可以进行流量告警,通常的安装方式是将WAF串行部署在Web服务器前端,用于检测、阻断异常流量,对全流量进行分析。但是WAF的缺点更让企业头痛,易被绕过、误报率高、维护成本高、需要不断更新规则库、出现0day不能及时防御等都让安全部门极为苦恼。
由于传统WAF基于规则构建安全策略,只要针对Web服务器、Web应用对协议解析、字符解析、文件名解析、编码解析以及SQL语法解析的差异进行变形,就可能达到绕过WAF的效果。同时,传统WAF无法对新型的攻击进行有效的识别和阻断。目前市面上大多数的WAF都是基于规则匹配的,但规则的更新往往是滞后于攻击发生,例如:0day漏洞攻击,没有预配置的规则,只能在漏洞披露后,依据漏洞特征建立防护规则。此外,传统WAF对攻击的识别来自于已经设定好的规则库,对于看似“正常”的业务逻辑漏洞却无能为力。例如越权操作,入侵者可以用低权限账号登陆系统后,通过拦截并修改用户参数,以达到查看或者修改其它权限账号的目的,而传统WAF并不能识别这一看似正常的操作。
可以这么说,WAF代表了应用安全防护1.0时代的最高水平,但随着攻击手段的不断更新,应用安全防护应该具备检测与响应能力,并契合内生安全理念,实现应用程序的自我防护,尤其是业务上云之后。
ADR应运而生
随着企业深度用云以及云原生应用的快速普及,云上复杂性提升,导致网络攻击面倍增,也伴生出新的安全风险。既然WAF在防护范围和防护能力上存在局限,难以应对复杂的网络攻击形势,于是很多厂商极力倡导WAAP成为革新必然。WAAP核心功能包括Web应用防火墙、API保护、Bot防护和七层DDoS攻击防护,进一步扩展了云上应用安全防护范围和安全深度。但WAAP目前仍存在一个很大的问题,那就是Web应用防护仍主要依靠边界防护手段,并未形成应用的自我防护机制。
大家对WAF、Bot防护、DDoS攻击防护已经比较熟悉,在此不多赘述。以API防护为例,随着API广泛应用于各个在线业务,涉及交易、账号敏感相关的环节都备受灰黑产关注,在线业务欺诈风险骤升。黑灰产已高度成熟,通过大量自动化、流程化的方式进行业务欺诈,并贯穿于整个在线业务场景。在注册、登录、营销场景下,自动化攻击占比均在50%以上。绝大多数企业对自身API资产现状不清,大量僵尸API、影子API存在,使敏感数据暴露在API之上,给攻击者留下了突破口。同时API没有上下文,攻击成本较低,攻击者通过简单的网络请求即可获取数据或者进行攻击。但目前,广大客户的API防护还是依靠API网关等设备,并未真正解决API防护的“最后一公里”问题。
那如何从应用自身加强防护,从而跟边界防护产品形成互动与联防,真正做到内外兼顾,纵深防御呢?Gartner引领的关键技术趋势可以给我们一定的借鉴意义。早在2014年,Gartner引入了“RASP-Runtime application self-protection”这一概念,它是一种新型应用安全保护技术,它将保护程序像“免疫血清”一样注入到应用程序中,与应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力。Log4j2等“核弹级漏洞”的爆发,使RASP技术迅速升温,填补了市场在应用层防护的空白,但技术的演进并未停止。
2022年12月,在国内知名安全咨询公司数世咨询发布的行业首份《ADR能力白皮书》中首次提出ADR这一新赛道,通过系统研究ADR的关键能力以及使用场景等,为广大政企客户构建整体应用防护体系提供参考和借鉴。ADR类产品基于RASP,并在其基础上增加了开源风险治理、API资产梳理(可以从应用内部洞悉全量API资产)、中间件基线、应用基线等持续检测和环境安全功能,可以视作RASP2.0,并可与WAF等传统安全产品形成纵深防御体系,达到应用安全“内外兼顾”的效果。这代表了应用安全防护的最新趋势,将应用安全由之前以边界防护为主的1.0时代提升至内外结合、持续检测与响应的2.0时代,打造了应用安全防护的新范式。
靖云甲ADR独领风骚
往期 · 推荐
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...