01 WEB應(yīng)用安全面臨全新挑戰(zhàn)

近年來，隨著網(wǎng)空威脅對抗整體趨向高強(qiáng)度演進(jìn)，攻擊者利用WEB應(yīng)用層發(fā)動攻擊成為了主要的網(wǎng)絡(luò)威脅趨勢。根據(jù)Gartner先前的調(diào)查報告顯示：信息安全攻擊有75％都是發(fā)生在WEB應(yīng)用層而非網(wǎng)絡(luò)層面上；同時，也提到，有2/3的WEB站點缺乏有效的安全防護(hù)能力。這就意味著，即使在如今防火墻和WAF均已普遍納入日常安全運(yùn)營的情況下，大部分的WEB應(yīng)用仍然極易成為攻擊者的重點威脅對象，且一旦遭遇威脅攻擊，也將難以進(jìn)行有效的防御和阻斷，進(jìn)而造成數(shù)據(jù)泄露、網(wǎng)頁篡改、服務(wù)器癱瘓等重大損失，企業(yè)相關(guān)業(yè)務(wù)與資產(chǎn)安全面臨全新挑戰(zhàn)。

為積極幫助用戶有效應(yīng)對當(dāng)前WEB應(yīng)用安全面臨的嚴(yán)峻挑戰(zhàn)，安天特別策劃WEB應(yīng)用安全系列專題，將通過一周一篇的連載方式，系統(tǒng)分享安天在持續(xù)應(yīng)對WEB應(yīng)用威脅安全實踐中，通過創(chuàng)造性思維和工程化能力，形成的技術(shù)方法經(jīng)驗與創(chuàng)新產(chǎn)品能力。全系列將以構(gòu)造全面、動態(tài)的安全防護(hù)體系為理念，聚焦業(yè)務(wù)安全、抗DDoS防護(hù)、API防護(hù)、Bot防護(hù)等關(guān)鍵應(yīng)用場景，展開系統(tǒng)分析、深度解讀與解決方案，幫助客戶保障業(yè)務(wù)系統(tǒng)安全運(yùn)行，與客戶共同達(dá)成有效安全價值。

02傳統(tǒng)防御手段存在明顯短板

網(wǎng)空威脅對抗是動態(tài)變化的過程，因此防御體系就勢必需要通過針對性的快速升級，以應(yīng)對層出不窮的攻擊手段。特別是具備公開、高交互屬性的WEB應(yīng)用，其對抗的強(qiáng)度往往高于一般防御面。而目前，以保障業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行為目的、應(yīng)對各類WEB應(yīng)用威脅的安全防護(hù)解決方案，卻不夠完善，且缺少閉環(huán)。

?

防火墻雖然可以為網(wǎng)絡(luò)訪問提供包括訪問控制、安全防御、用戶認(rèn)證、安全管理等基于網(wǎng)絡(luò)層的基礎(chǔ)安全防護(hù)能力，阻斷來自被保護(hù)區(qū)域外部的攻擊，但受限于產(chǎn)品本身的設(shè)計特點與能力特性，在面對因WEB應(yīng)用大量使用，進(jìn)而滋生的WEB漏洞利用攻擊行為時，無法從根本上實現(xiàn)全面防護(hù)。

?

傳統(tǒng)WAF技術(shù)雖然可以在防火墻的基礎(chǔ)上，針對HTTP/HTTPS協(xié)議，提供訪問請求控制、攻擊流量主動識別與阻斷，以及安全策略等能力，可進(jìn)一步增加WEB應(yīng)用防護(hù)精準(zhǔn)度和有效性的安全能力，但在需要同時滿足客戶業(yè)務(wù)場景多樣化發(fā)展和信息化技術(shù)不斷升級過程中的高安全需求時具有局限性，難以針對日益復(fù)雜的網(wǎng)絡(luò)攻擊形式與手段，提供高強(qiáng)度威脅對抗支撐。主要原因有兩點：

?

一是因為傳統(tǒng)WAF技術(shù)僅能通過規(guī)則匹配對常見的SQL注入、XSS攻擊、代碼執(zhí)行等攻擊進(jìn)行防護(hù)，然而卻無法抑制攻擊者通過參數(shù)污染、數(shù)據(jù)混淆等新興手段來繞過WAF的防護(hù)規(guī)則，對WEB應(yīng)用發(fā)動攻擊。

?

二是，傳統(tǒng)WAF技術(shù)缺少業(yè)務(wù)邏輯漏洞判斷能力，無法識別如利用網(wǎng)站邏輯漏洞，越權(quán)訪問網(wǎng)站資源，非法獲取其他用戶的個人信息等類型的攻擊行為。

?

同時，根據(jù)創(chuàng)新安全服務(wù)商 Salt Labs 發(fā)布的2023年第一季度《API安全態(tài)勢研究報告》[1]（原文：《State of API Security Report Q1 2023》）顯示：在過去的6個月時間里，API攻擊活動數(shù)量快速增長了400%，其中有78%的攻擊發(fā)生在經(jīng)過初步安全性驗證的API上。API威脅態(tài)勢仍在持續(xù)加劇，但是傳統(tǒng)WAF尚還缺乏專門針對API安全的防護(hù)手段。

?

由此可見，傳統(tǒng)防火墻和WAF技術(shù)，無法有效適應(yīng)和應(yīng)對當(dāng)前WEB應(yīng)用安全的全新挑戰(zhàn)，在安全實踐中也無法支撐進(jìn)一步提升客戶有效安全價值，因此WAF技術(shù)的革新也將刻不容緩。

03 WAAP支持構(gòu)筑有效解決方案

從防護(hù)視角分析，導(dǎo)致當(dāng)前WEB應(yīng)用層之所以會成為重點攻擊對象的本質(zhì)原因，主要有兩點：

?

1. 基于WEB應(yīng)用業(yè)務(wù)大多是直接面向用戶開放訪問的，本身處于安全“暴露面”范圍；

?

2. 傳統(tǒng)的防火墻與WAF技術(shù)，本身對WEB應(yīng)用的安全防護(hù)明顯不足甚至存在盲區(qū)；

?

升級安全防護(hù)能力的價值是為了更有效的支撐業(yè)務(wù)開展，所以解決上述問題的方向，就不能是試圖通過一味的限制相關(guān)業(yè)務(wù)的WEB應(yīng)用進(jìn)而收斂“暴露面”，這種本末倒置的方式展開，而是應(yīng)該將升級安全產(chǎn)品的有效防護(hù)能力作為解決方案的重點。

?

因此，安天以幫助客戶構(gòu)筑有效WEB應(yīng)用安全防護(hù)體系，保障客戶業(yè)務(wù)穩(wěn)定運(yùn)行與開展為目的，以提供高效應(yīng)對當(dāng)前復(fù)雜環(huán)境下WEB應(yīng)用高強(qiáng)度威脅對抗能力為支撐，研制發(fā)布了具備動態(tài)綜合安全防護(hù)能力安全產(chǎn)品 —— 安天下一代WEB應(yīng)用防護(hù)系統(tǒng)（業(yè)務(wù)增強(qiáng)版）。

?

安天下一代WEB應(yīng)用防護(hù)系統(tǒng)（業(yè)務(wù)增強(qiáng)版）是集WEB安全防護(hù)、機(jī)器人攻擊防御、用戶業(yè)務(wù)訪問控制、業(yè)務(wù)邏輯異常檢測、業(yè)務(wù)威脅評估以及業(yè)務(wù)數(shù)據(jù)分析為一體的綜合業(yè)務(wù)安全分析防護(hù)產(chǎn)品?？捎行?yīng)對當(dāng)前復(fù)雜環(huán)境下的網(wǎng)絡(luò)對抗，發(fā)現(xiàn)針對客戶業(yè)務(wù)的威脅事件，保障業(yè)務(wù)系統(tǒng)不受惡意機(jī)器人流量的攻擊，保障API的安全訪問，構(gòu)建對業(yè)務(wù)環(huán)境的全方位動態(tài)防護(hù)體系。

圖1 產(chǎn)品架構(gòu)圖

同時，安天下一代WEB應(yīng)用防護(hù)系統(tǒng)（業(yè)務(wù)增強(qiáng)版）的設(shè)計思路也與Gartner在2021年9月發(fā)布的《Web應(yīng)用程序和API保護(hù)魔力象限》[2]（原文：《Magic Quadrant for Web Application and API Protection》）中，將傳統(tǒng)的WAF魔力象限拓展為WAAP魔力象限，提出通過進(jìn)一步加強(qiáng)防護(hù)強(qiáng)度和擴(kuò)大防護(hù)范圍的解決方案不謀而合。

圖2 WAAP組成

?

而安天下一代WEB應(yīng)用防護(hù)系統(tǒng)（業(yè)務(wù)增強(qiáng)版）不僅全面覆蓋了WAAP標(biāo)準(zhǔn)定義的核心安全能力范圍，同時還增強(qiáng)了對業(yè)務(wù)的感知和防護(hù)能力。即在WAAP的基礎(chǔ)上，進(jìn)一步滿足了客戶在實際業(yè)務(wù)場景中多元化和精細(xì)化的安全防護(hù)需求。實現(xiàn)了更快速、更全面解決實際問題的能力，保障業(yè)務(wù)穩(wěn)定運(yùn)行。

?

安天下一代WEB應(yīng)用防護(hù)系統(tǒng)（業(yè)務(wù)增強(qiáng)版）六大客戶價值

?

? ??1. 全面提升WEB應(yīng)用安全防護(hù)能力，有效保障業(yè)務(wù)免受各種漏洞攻擊；

?

? ??2. 實時防御網(wǎng)站篡改，有效減小因網(wǎng)站篡改而造成的影響范圍；

?

? ??3. 對用戶業(yè)務(wù)進(jìn)行安全加固，有效防御因業(yè)務(wù)邏輯漏洞而造成的風(fēng)險；

?

? ??4. 全方位的API資產(chǎn)梳理與安全防護(hù)，有效保障API業(yè)務(wù)安全；

?

? ??5. 阻斷自動化工具攻擊，多維度識別機(jī)器人，規(guī)避業(yè)務(wù)數(shù)據(jù)被竊取等風(fēng)險；

?

? ??6. DDoS攻擊防護(hù)，有效控制訪問頻度，保障客戶系統(tǒng)資源不被占用。

?

參考資料：?

[1] State of API Security Report Q1 2023https://content.salt.security/rs/352-UXR-417/images/SaltSecurity-Report-State_of_API_Security.pdf

[2] Magic Quadrant for Web Application and API Protectionhttps://www.gartner.com/en/documents/4005889

# 安天青竹智語實驗室簡介 #

“安天青竹智語實驗室”是安天集團(tuán)為保障業(yè)務(wù)應(yīng)用安全成立的實驗室。該實驗室在應(yīng)對傳統(tǒng)WEB應(yīng)用威脅的基礎(chǔ)上，增強(qiáng)API安全防護(hù)和自動化攻擊防御；深度結(jié)合客戶業(yè)務(wù)，發(fā)現(xiàn)邏輯異常、分析用戶行為、追溯攻擊源頭，通過揭示攻擊行為的深層次原因，提早發(fā)現(xiàn)客戶業(yè)務(wù)系統(tǒng)漏洞，為業(yè)務(wù)穩(wěn)定運(yùn)行提供有效防護(hù)。