01 WEB应用安全面临全新挑战
近年来,随着网空威胁对抗整体趋向高强度演进,攻击者利用WEB应用层发动攻击成为了主要的网络威胁趋势。根据Gartner先前的调查报告显示:信息安全攻击有75%都是发生在WEB应用层而非网络层面上;同时,也提到,有2/3的WEB站点缺乏有效的安全防护能力。这就意味着,即使在如今防火墙和WAF均已普遍纳入日常安全运营的情况下,大部分的WEB应用仍然极易成为攻击者的重点威胁对象,且一旦遭遇威胁攻击,也将难以进行有效的防御和阻断,进而造成数据泄露、网页篡改、服务器瘫痪等重大损失,企业相关业务与资产安全面临全新挑战。
为积极帮助用户有效应对当前WEB应用安全面临的严峻挑战,安天特别策划WEB应用安全系列专题,将通过一周一篇的连载方式,系统分享安天在持续应对WEB应用威胁安全实践中,通过创造性思维和工程化能力,形成的技术方法经验与创新产品能力。全系列将以构造全面、动态的安全防护体系为理念,聚焦业务安全、抗DDoS防护、API防护、Bot防护等关键应用场景,展开系统分析、深度解读与解决方案,帮助客户保障业务系统安全运行,与客户共同达成有效安全价值。
02传统防御手段存在明显短板
网空威胁对抗是动态变化的过程,因此防御体系就势必需要通过针对性的快速升级,以应对层出不穷的攻击手段。特别是具备公开、高交互属性的WEB应用,其对抗的强度往往高于一般防御面。而目前,以保障业务系统稳定运行为目的、应对各类WEB应用威胁的安全防护解决方案,却不够完善,且缺少闭环。
防火墙虽然可以为网络访问提供包括访问控制、安全防御、用户认证、安全管理等基于网络层的基础安全防护能力,阻断来自被保护区域外部的攻击,但受限于产品本身的设计特点与能力特性,在面对因WEB应用大量使用,进而滋生的WEB漏洞利用攻击行为时,无法从根本上实现全面防护。
传统WAF技术虽然可以在防火墙的基础上,针对HTTP/HTTPS协议,提供访问请求控制、攻击流量主动识别与阻断,以及安全策略等能力,可进一步增加WEB应用防护精准度和有效性的安全能力,但在需要同时满足客户业务场景多样化发展和信息化技术不断升级过程中的高安全需求时具有局限性,难以针对日益复杂的网络攻击形式与手段,提供高强度威胁对抗支撑。主要原因有两点:
一是因为传统WAF技术仅能通过规则匹配对常见的SQL注入、XSS攻击、代码执行等攻击进行防护,然而却无法抑制攻击者通过参数污染、数据混淆等新兴手段来绕过WAF的防护规则,对WEB应用发动攻击。
二是,传统WAF技术缺少业务逻辑漏洞判断能力,无法识别如利用网站逻辑漏洞,越权访问网站资源,非法获取其他用户的个人信息等类型的攻击行为。
同时,根据创新安全服务商 Salt Labs 发布的2023年第一季度《API安全态势研究报告》[1](原文:《State of API Security Report Q1 2023》)显示:在过去的6个月时间里,API攻击活动数量快速增长了400%,其中有78%的攻击发生在经过初步安全性验证的API上。API威胁态势仍在持续加剧,但是传统WAF尚还缺乏专门针对API安全的防护手段。
由此可见,传统防火墙和WAF技术,无法有效适应和应对当前WEB应用安全的全新挑战,在安全实践中也无法支撑进一步提升客户有效安全价值,因此WAF技术的革新也将刻不容缓。
03 WAAP支持构筑有效解决方案
从防护视角分析,导致当前WEB应用层之所以会成为重点攻击对象的本质原因,主要有两点:
1. 基于WEB应用业务大多是直接面向用户开放访问的,本身处于安全“暴露面”范围;
2. 传统的防火墙与WAF技术,本身对WEB应用的安全防护明显不足甚至存在盲区;
升级安全防护能力的价值是为了更有效的支撑业务开展,所以解决上述问题的方向,就不能是试图通过一味的限制相关业务的WEB应用进而收敛“暴露面”,这种本末倒置的方式展开,而是应该将升级安全产品的有效防护能力作为解决方案的重点。
因此,安天以帮助客户构筑有效WEB应用安全防护体系,保障客户业务稳定运行与开展为目的,以提供高效应对当前复杂环境下WEB应用高强度威胁对抗能力为支撑,研制发布了具备动态综合安全防护能力安全产品 —— 安天下一代WEB应用防护系统(业务增强版)。
安天下一代WEB应用防护系统(业务增强版)是集WEB安全防护、机器人攻击防御、用户业务访问控制、业务逻辑异常检测、业务威胁评估以及业务数据分析为一体的综合业务安全分析防护产品。可有效应对当前复杂环境下的网络对抗,发现针对客户业务的威胁事件,保障业务系统不受恶意机器人流量的攻击,保障API的安全访问,构建对业务环境的全方位动态防护体系。
图1 产品架构图
同时,安天下一代WEB应用防护系统(业务增强版)的设计思路也与Gartner在2021年9月发布的《Web应用程序和API保护魔力象限》[2](原文:《Magic Quadrant for Web Application and API Protection》)中,将传统的WAF魔力象限拓展为WAAP魔力象限,提出通过进一步加强防护强度和扩大防护范围的解决方案不谋而合。
图2 WAAP组成
而安天下一代WEB应用防护系统(业务增强版)不仅全面覆盖了WAAP标准定义的核心安全能力范围,同时还增强了对业务的感知和防护能力。即在WAAP的基础上,进一步满足了客户在实际业务场景中多元化和精细化的安全防护需求。实现了更快速、更全面解决实际问题的能力,保障业务稳定运行。
安天下一代WEB应用防护系统(业务增强版)六大客户价值
1. 全面提升WEB应用安全防护能力,有效保障业务免受各种漏洞攻击;
2. 实时防御网站篡改,有效减小因网站篡改而造成的影响范围;
3. 对用户业务进行安全加固,有效防御因业务逻辑漏洞而造成的风险;
4. 全方位的API资产梳理与安全防护,有效保障API业务安全;
5. 阻断自动化工具攻击,多维度识别机器人,规避业务数据被窃取等风险;
6. DDoS攻击防护,有效控制访问频度,保障客户系统资源不被占用。
参考资料:
[1] State of API Security Report Q1 2023https://content.salt.security/rs/352-UXR-417/images/SaltSecurity-Report-State_of_API_Security.pdf
[2] Magic Quadrant for Web Application and API Protectionhttps://www.gartner.com/en/documents/4005889
# 安天青竹智语实验室简介 #
“安天青竹智语实验室”是安天集团为保障业务应用安全成立的实验室。该实验室在应对传统WEB应用威胁的基础上,增强API安全防护和自动化攻击防御;深度结合客户业务,发现逻辑异常、分析用户行为、追溯攻击源头,通过揭示攻击行为的深层次原因,提早发现客户业务系统漏洞,为业务稳定运行提供有效防护。
