Radware：覆蓋遠(yuǎn)不止OWASP十大攻擊、WAF防御力凸顯

　　應(yīng)用威脅現(xiàn)狀正在迅速發(fā)展。多年來，用戶一直利用Web瀏覽器等常用工具使用互聯(lián)網(wǎng)應(yīng)用。任何時候，都需要支持2-5個Web瀏覽器，應(yīng)用開發(fā)和測試框架的多樣性也相對有限。例如，幾乎所有的數(shù)據(jù)庫都是使用SQL語言創(chuàng)建的。令人遺憾的是，就在不久前，為了竊取、刪除并修改數(shù)據(jù)，黑客已經(jīng)開始濫用應(yīng)用了。他們以不同方式利用應(yīng)用，主要是欺騙應(yīng)用用戶、注入或遠(yuǎn)程執(zhí)行代碼。不久之后，名為Web應(yīng)用防火墻（WAF）的商業(yè)化解決方案出現(xiàn)了，該團(tuán)體為此創(chuàng)建了開放Web應(yīng)用安全項目（OWASP），用于設(shè)置并維護(hù)安全應(yīng)用的標(biāo)準(zhǔn)和方法。

　　OWASP十大攻擊列表為防御最常見和最致命的威脅和可能導(dǎo)致漏洞的應(yīng)用配置錯誤的防護(hù)措施提供了出發(fā)點、檢測戰(zhàn)術(shù)和緩解措施。此列表可以作為應(yīng)用安全行業(yè)的行業(yè)標(biāo)桿，并定義了WAF所需的基本功能。

　　此外，還有其他針對Web應(yīng)用的常見攻擊，如：CSRF、點擊劫持、Web抓取和文件包含（RFI/LFI）。

　　目前，應(yīng)用不僅僅只是基于Web的。還有許多云應(yīng)用、移動應(yīng)用、API，甚至是最新架構(gòu)中的單個功能，都可以創(chuàng)建、修改并處理數(shù)據(jù)，因此必須進(jìn)行同步和監(jiān)督。新技術(shù)和框架為應(yīng)用生命周期帶來了新的挑戰(zhàn)。包括DevOps、容器、物聯(lián)網(wǎng)（IoT）、開源工具和API等。

　　各種技術(shù)位置的分散為信息安全專業(yè)人員和不能再依賴“一刀切”方法的解決方案廠商都帶來了非常復(fù)雜的挑戰(zhàn)。為了最大限度地減少誤報并優(yōu)化客戶體驗，解決方案必須了解所保護(hù)的應(yīng)用所處的業(yè)務(wù)環(huán)境。

　　一個黑客的最終目標(biāo)通常是竊取數(shù)據(jù)或中斷應(yīng)用服務(wù)。他們也會受益于技術(shù)進(jìn)步。首先，他會創(chuàng)建更多潛在的漏洞和薄弱點，其次，他們可以采用更多的工具和知識來克服傳統(tǒng)的安全探試程序。企業(yè)將面臨更大的攻擊面和更大的暴露風(fēng)險。隨著應(yīng)用的不斷變化，安全策略必須與時俱進(jìn)。

　　因此，應(yīng)用必須得到充分保護(hù)，防御不斷增多的攻擊方法和攻擊源，并且必須能夠在緩解自動攻擊時實時做出有把握的決策。其結(jié)果就是增加了人工勞動和運維成本，同時降低了整體的安全性。對安全廠商而言，需要克服的挑戰(zhàn)更多。

　　根據(jù)Radware Web應(yīng)用安全報告 ，幾乎60%的互聯(lián)網(wǎng)流量都是機(jī)器人程序生成的，其中一半流量是由“不良”機(jī)器人程序造成的。企業(yè)不得不增加網(wǎng)絡(luò)容量來滿足這些虛擬需求。準(zhǔn)確區(qū)分人為流量和機(jī)器人程序生成的流量以及準(zhǔn)確區(qū)分“良性”機(jī)器人程序（如搜索引擎和比價服務(wù)）和“不良”機(jī)器人程序可以極大地節(jié)省成本并提高客戶體驗。

　　現(xiàn)在，機(jī)器人程序并不會放你一馬，他們可以模仿人類行為，繞過CAPTCHA和其它質(zhì)詢。此外，動態(tài)IP攻擊會讓基于IP的防護(hù)措施失效。通常情況下，可以處理客戶端JavaScript的開源開發(fā)工具（如Phantom JS）會被濫用，發(fā)起暴力破解、證書填充、DDoS和其它自動的機(jī)器人程序攻擊。

　　為了有效管理機(jī)器人程序生成的流量，就需要對流量源進(jìn)行唯一標(biāo)識（就像指紋）。由于機(jī)器人程序攻擊采用了多個事務(wù)，指紋就可以幫助企業(yè)追蹤可疑活動，確定違規(guī)分?jǐn)?shù)，并以最小的誤報率做出有把握的攔截/允許決策。

　　許多應(yīng)用可以從與API交互的服務(wù)中采集信息和數(shù)據(jù)。當(dāng)通過API傳輸敏感數(shù)據(jù)時，50%以上的企業(yè)在檢測網(wǎng)絡(luò)攻擊時既不會檢查API也不保護(hù)API。

　　API漏洞類似于應(yīng)用漏洞，包括注入、協(xié)議攻擊、參數(shù)篡改、無效重定向和基于機(jī)器人程序的攻擊。專用API網(wǎng)關(guān)可以確保通過API進(jìn)行交互的應(yīng)用服務(wù)的安全互操作性。然而，他們不能提供WAF所提供的端到端應(yīng)用安全以及必要的安全控制，如HTTP解析、L7層ACL管理、JSON/XML有效負(fù)載的解析和驗證、模式執(zhí)行和對OWASP十大漏洞的全面覆蓋。這可以通過采用主動和被動安全模型提取并檢查關(guān)鍵API值來實現(xiàn)。

　　DoS是一種比較陳舊的攻擊矢量，但在攻擊應(yīng)用時仍非常有效。犯罪分子可以采用一些吸引人的技術(shù)來中斷應(yīng)用服務(wù)，如HTTP或HTTPS洪水、低速慢速攻擊（SlowLoris、LOIC、Torshammer）、動態(tài)IP攻擊、緩沖區(qū)溢出、暴力破解攻擊等。在IoT僵尸網(wǎng)絡(luò)的驅(qū)動之下，應(yīng)用層攻擊已經(jīng)成為首選的DDoS攻擊矢量。多數(shù)WAF都是有狀態(tài)的設(shè)備，他們只能保留一定的容量。然而，他們能夠檢查HTTP/S流量流（一些WAF創(chuàng)建基線，對于未知威脅非常有效），檢測攻擊和惡意嘗試。一旦檢測到攻擊，就不會讓攻擊流量再次進(jìn)入。專用的邊界解決方案可以補充WAF緩解容量的限制，自動攔截下一個錯誤數(shù)據(jù)包。為了實現(xiàn)這一點，兩個解決方案必須能夠互相傳送消息：

　　應(yīng)用會頻繁變化。開發(fā)和推出方法，如持續(xù)交付，就意味著會不斷地對應(yīng)用進(jìn)行修改，不需要人工干預(yù)或監(jiān)督。在動態(tài)環(huán)境中維持有效的安全策略，保護(hù)敏感數(shù)據(jù)安全，而不產(chǎn)生大量的誤報，這是極其困難的。與Web應(yīng)用相比，移動應(yīng)用修改更多，用戶如何得知所使用的第三方應(yīng)用何時發(fā)生了變化？

　　一些人力求獲取更大的可見性，因此他們意識到了風(fēng)險。然而，這并不總是可行的，強(qiáng)勁的應(yīng)用防護(hù)措施必須利用可以映射應(yīng)用資源的機(jī)器學(xué)習(xí)功能分析可能的威脅，并在進(jìn)行應(yīng)用修改時創(chuàng)建和優(yōu)化安全策略。

　　由于應(yīng)用在我們的日常生活中扮演著越來越重要的角色，它們也成為了黑客的首選目標(biāo)。黑客的潛在收益和企業(yè)的潛在損失是龐大的�，F(xiàn)在，鑒于應(yīng)用和威脅的數(shù)量和種類，保護(hù)這些應(yīng)用的安全極為困難。

　　幸運的是，現(xiàn)在人工智能可以助我們一臂之力�；�于機(jī)器學(xué)習(xí)的算法提供了實時的適應(yīng)性防護(hù)措施，可以防御針對應(yīng)用的最復(fù)雜威脅。他們還可以自動更新安全策略，保護(hù)Web應(yīng)用、移動應(yīng)用、云應(yīng)用以及API的安全，同時不會產(chǎn)生誤報。

　　我們無法確定下一代應(yīng)用威脅會是什么樣子（可能也是基于機(jī)器學(xué)習(xí)的），但可以確定的是，我們可以現(xiàn)在就采取行動，進(jìn)一步保護(hù)具有巨大商業(yè)價值的客戶數(shù)據(jù)、知識產(chǎn)權(quán)和服務(wù)可用性。

　　Radware是為物理數(shù)據(jù)中心、云數(shù)據(jù)中心和軟件定義數(shù)據(jù)中心提供網(wǎng)絡(luò)安全和應(yīng)用交付解決方案的全球領(lǐng)導(dǎo)者。Radware屢獲殊榮的解決方案為全球企業(yè)提供了基礎(chǔ)架構(gòu)、應(yīng)用以及企業(yè)IT防護(hù)和可用性服務(wù)，確保企業(yè)的數(shù)字體驗。Radware解決方案幫助全球12,500家以上的企業(yè)和運營商客戶快速應(yīng)對市場挑戰(zhàn)，保持業(yè)務(wù)連續(xù)性，在實現(xiàn)最高生產(chǎn)效率的同時有效降低成本。