目前，由于受到種種潛在利益的驅(qū)動(dòng)，Web應(yīng)用程序已然成為攻擊者的首要目標(biāo)。Web應(yīng)用程序上的安全漏洞有可能造成數(shù)百萬(wàn)美元損失。令人驚訝的是，與DNS(域名系統(tǒng))有關(guān)的服務(wù)中斷和分布式拒絕服務(wù)(DDoS)攻擊會(huì)給業(yè)務(wù)帶來(lái)嚴(yán)重的負(fù)面影響。在眾多應(yīng)對(duì)策略中，Web應(yīng)用程序防火墻(WAF)無(wú)疑扮演著最重要的首道防線角色。

　　Web應(yīng)用程序防火墻的基本功能是建立一道堅(jiān)固的防線，以防止某些惡意流量任意攫取資源。盡管WAF技術(shù)自上世紀(jì)九十年代末就已誕生，然而早期技術(shù)成果早已無(wú)法適應(yīng)如今愈發(fā)復(fù)雜的網(wǎng)絡(luò)攻擊活動(dòng)。隨著安全風(fēng)險(xiǎn)的不斷提升，新一代Web應(yīng)用程序防火墻已然成為唯一值得信賴的防護(hù)方案。

　　01. 傳統(tǒng)WAF正走向消亡

　　早期，Web應(yīng)用程序還相對(duì)少見(jiàn)，因此由Web帶來(lái)的威脅也不明顯。那時(shí)的惡意程序復(fù)雜度較低，而且易于檢測(cè)。網(wǎng)絡(luò)安全需求量較少，并且通過(guò)基本的網(wǎng)絡(luò)安全管理即可滿足。

　　如今，一切已經(jīng)不復(fù)當(dāng)初。Web應(yīng)用程序可能部署在本地、云上乃至混合環(huán)境當(dāng)中。客戶及員工可以從任意位置通過(guò)網(wǎng)絡(luò)加以訪問(wèn)。由于IP地址不斷變化并被CDN所屏蔽，防火墻很難跟蹤當(dāng)前正在發(fā)生什么、請(qǐng)求的具體來(lái)源以及確切去向。

　　面對(duì)種種挑戰(zhàn)及復(fù)雜威脅，WAF自然有必要扛起防御的大旗。但傳統(tǒng)WAF主要由獨(dú)立的硬件設(shè)備實(shí)現(xiàn)，這些硬件設(shè)備難以使用、可視性較差并且性能較低。事實(shí)上，高達(dá)90%的組織表示其WAF過(guò)于復(fù)雜。

　　根據(jù)Ponemon研究所發(fā)布的報(bào)告，有65%的組織曾遭遇過(guò)WAF繞過(guò)問(wèn)題，只有9%的組織表示其WAF從未失效。然而，這并不能夠保證他們會(huì)永遠(yuǎn)不會(huì)遭遇這種問(wèn)題。因此，所有公司都應(yīng)該重視自身WAF的效能與安全保障水平。

　　Ponemon的研究報(bào)告還指出，只有40%的受訪者對(duì)其現(xiàn)有WAF感到滿意，意味著這類方案一直未能得到充分利用。實(shí)際上有部分企業(yè)表示他們只是使用WAF生成安全警報(bào)，而從未將其真正用于阻止可疑活動(dòng)。

　　最糟糕的是，組織本身甚至可能被WAF所拖垮——對(duì)于這樣一種耗資甚巨的資產(chǎn)，組織對(duì)于WAF乏善可陳的安全增強(qiáng)表現(xiàn)感到無(wú)可奈何。為了解決這方面難題，新一代Web應(yīng)用程序防火墻應(yīng)運(yùn)而生。

　　02. 傳統(tǒng)WAF面臨的挑戰(zhàn)

　　從業(yè)者們經(jīng)常強(qiáng)調(diào)，他們之所以選擇從傳統(tǒng)Web應(yīng)用程序防火墻轉(zhuǎn)向下一代WAF，主要基于以下幾點(diǎn)重要考量：

　　1、技術(shù)創(chuàng)新

　　Web應(yīng)用程序標(biāo)準(zhǔn)一直在不斷變化，這就提高了用戶對(duì)于WAF的功能要求。

　　JSON有效載荷與HTTP/2的日趨普及，迫使大部分Web應(yīng)用程序防火墻供應(yīng)商必須努力跟上。在市場(chǎng)對(duì)于安全產(chǎn)品創(chuàng)新的需求壓力之下，相當(dāng)一部分WAF供應(yīng)商已經(jīng)逐漸被時(shí)代所拋棄。

　　2、缺乏可擴(kuò)展性

　　組織對(duì)于網(wǎng)絡(luò)擴(kuò)展能力的要求，往往帶來(lái)更高的成本、更長(zhǎng)的時(shí)間投入與更復(fù)雜的管理流程。以此為基礎(chǔ)，設(shè)備集群的部署與維護(hù)都變得難于打理。

　　DevOps與敏捷方法也要求組織對(duì)集群進(jìn)行統(tǒng)一的重新配置與重新調(diào)整，這一切都將進(jìn)一步占用本就十分緊張的安全資源。

　　3、零日漏洞的利用

　　雖然WAF能夠有效監(jiān)控Web流量以防止針對(duì)HTTP的攻擊，但面對(duì)零日攻擊時(shí)卻束手無(wú)策。WAF的基本設(shè)計(jì)思路在于根據(jù)預(yù)先配置的模式進(jìn)行惡意活動(dòng)檢測(cè)，但零日漏洞卻可能被任意攻擊者所利用，導(dǎo)致預(yù)配置模式在攻擊面前始終不起作用。

　　4、阻斷合法流量

　　大多數(shù)WAF用戶還抱怨稱，傳統(tǒng)WAF經(jīng)常會(huì)無(wú)緣無(wú)故就阻斷合法流量，即引發(fā)所謂誤報(bào)問(wèn)題。盡管這種狀況在安全層面看似無(wú)害，但卻可能給組織本身帶來(lái)災(zāi)難性的影響。由于一部分訪問(wèn)者無(wú)法正常獲取應(yīng)用功能、上傳媒體數(shù)據(jù)或者購(gòu)買產(chǎn)品，他們往往會(huì)轉(zhuǎn)向其他廠商，引發(fā)嚴(yán)重的客戶流失。

　　一種可行的應(yīng)對(duì)辦法，在于盡可能減少安全模式的應(yīng)用數(shù)量。但這往往又會(huì)增加網(wǎng)絡(luò)的運(yùn)行風(fēng)險(xiǎn)。大多數(shù)WAF解決方案很難在這兩個(gè)極端之間找到完美平衡。除非投入專門的資源進(jìn)行管理，否則組織幾乎無(wú)法充分發(fā)揮傳統(tǒng)WAF的價(jià)值。這也成為傳統(tǒng)WAF與新一代WAF之間的最大差異所在。

　　5、DDoS攻擊

　　最重要的是，DDoS攻擊也給WAF帶來(lái)了困擾。我們發(fā)現(xiàn)不少組織在使用WAF抵御DDoS攻擊，并號(hào)稱能夠借此獲得良好的保護(hù)效果。

　　但問(wèn)題在于，傳統(tǒng)WAF在自身設(shè)置上并不足以抵擋大規(guī)模DDoS攻擊。另外，現(xiàn)有應(yīng)用程序往往由第三方平臺(tái)共享/提供，因此無(wú)法立足本地防御層加以保護(hù)。如果沒(méi)有基于云的WAF，您將很難提前規(guī)劃容量;即使有所規(guī)劃，容量仍存在明確上限，往往不足以消化掉瞬間涌現(xiàn)的惡意流量。

　　云WAF(特別是托管型云WAF)擁有更強(qiáng)的規(guī)模伸縮能力。企業(yè)只需要根據(jù)實(shí)際資源使用量付費(fèi)，而不必為未來(lái)可能需要的容量預(yù)先投入固定成本。

　　03. 新一代WAF的基本功能

　　盡管眾多WAF供應(yīng)商都宣稱提供下一代WAF產(chǎn)品，但其中大多延續(xù)與傳統(tǒng)WAF相同的安全模式，因此不能算是真正的下一代方案。我們可以將下一代WAF的基本功能及特性總結(jié)如下：

　　1、應(yīng)用程序與Web使用控制

　　應(yīng)用程序與Web使用控制解決了“哪些流量類型需要阻斷?”這一核心問(wèn)題。下一代WAF將使用多種標(biāo)識(shí)類別對(duì)跨網(wǎng)絡(luò)站點(diǎn)及應(yīng)用內(nèi)的往來(lái)流量進(jìn)行身份標(biāo)記，進(jìn)而確定應(yīng)如何處理。

　　準(zhǔn)確的流量分類無(wú)疑是下一代WAF的核心功能，有助于防止組織訪問(wèn)各類惡意、不相關(guān)或者可能造成法律糾紛的網(wǎng)站及應(yīng)用。

　　2、高級(jí)Web應(yīng)用程序安全分析

　　基于云的WAF不僅能夠解決困擾大多數(shù)Web應(yīng)用程序的新興攻擊活動(dòng)，同時(shí)也能夠在威脅可見(jiàn)性及分析層面做出持續(xù)改進(jìn)。在傳統(tǒng)WAF中，企業(yè)通常會(huì)對(duì)已有的問(wèn)題視而不見(jiàn)，假裝一切風(fēng)平浪靜，直到問(wèn)題發(fā)生。

　　新一代WAF能夠?qū)崟r(shí)監(jiān)控性能指標(biāo)，突出展示基礎(chǔ)設(shè)施、應(yīng)用程序以及最終用戶群體內(nèi)正在發(fā)生的一切。您可以在問(wèn)題真正出現(xiàn)之前做出反應(yīng)，并相信WAF能夠始終按照預(yù)期方式運(yùn)行。

　　3、Web應(yīng)用程序安全評(píng)估與惡意軟件檢測(cè)

　　新一代防火墻充分意識(shí)到，即使合法有效的站點(diǎn)也有可能存在某些不為人知的漏洞，甚至可能鏈接至惡意軟件站點(diǎn)及惡意負(fù)載處。此外，企業(yè)有時(shí)還希望對(duì)社交媒體平臺(tái)授予訪問(wèn)權(quán)限，而這些平臺(tái)上往往也充斥著惡意鏈接或文件。

　　在這種情況下，能夠提供與應(yīng)用風(fēng)險(xiǎn)緊密關(guān)聯(lián)的WAF策略、并持續(xù)加以迭代的新一代WAF將擁有傳統(tǒng)方案所無(wú)法比擬的優(yōu)勢(shì)。

　　4、全球威脅情報(bào)

　　這種基于云的安全平臺(tái)能夠充分利用覆蓋全球的部署體系，全面了解世界范圍內(nèi)的流量變化趨勢(shì)。它會(huì)監(jiān)控并分析所有流量，當(dāng)在一個(gè)位置發(fā)現(xiàn)安全威脅之后，隨機(jī)會(huì)對(duì)全球所有部署節(jié)點(diǎn)進(jìn)行更新與強(qiáng)化。

　　5、自動(dòng)干預(yù)

　　基于云的WAF不僅可以通過(guò)預(yù)定義的策略與簽名實(shí)現(xiàn)流量阻斷，同時(shí)也提供托管服務(wù)，供用戶根據(jù)風(fēng)險(xiǎn)需求準(zhǔn)確建立自定義規(guī)則。新一代WAF以實(shí)時(shí)模式及行為分析為基礎(chǔ)，持續(xù)監(jiān)控并自動(dòng)過(guò)濾出合法請(qǐng)求與惡意流量。此外，它還能提供虛擬補(bǔ)丁程序，借此預(yù)防零日漏洞利用等安全隱患。

　　04. 展望未來(lái)

　　傳統(tǒng)WAF與新一代WAF之間有著一系列的關(guān)鍵差異。如今的攻擊者早已熟知傳統(tǒng)WAF的特性，善于尋找漏洞、入侵Web應(yīng)用程序。因此，請(qǐng)選擇新一代WAF為您帶來(lái)的高級(jí)Web保護(hù)功能，在維持業(yè)務(wù)正常運(yùn)行的前提下迎接安全層面上的良好投資回報(bào)。

　　原文鏈接：https://thehackernews.com/2020/11/why-replace-traditional-web-application.html

　　 來(lái)源：互聯(lián)網(wǎng)安全內(nèi)參