安天WEB應(yīng)用安全系列專題

專題一：一套系統(tǒng)四大防護?安天下一代WAF全方位保障WEB應(yīng)用

本期為安天WEB應(yīng)用安全系列專題第二期：應(yīng)用場景。

?

01為什么叫下一代WEB應(yīng)用防護系統(tǒng)？

?

接本專題上期內(nèi)容《一套系統(tǒng)四大防護?安天下一代WAF全方位保障WEB應(yīng)用》所述分析。

?

隨著信息化的不斷發(fā)展，企業(yè)的業(yè)務(wù)愈加開放互聯(lián)。具有高利益和高價值屬性的業(yè)務(wù)系統(tǒng)，也面臨著更為嚴(yán)峻的安全挑戰(zhàn)，但是傳統(tǒng)的WAF防護技術(shù)，已無法有效的應(yīng)對當(dāng)前高強度、高烈度的威脅對抗。因此安天基于多年安全研究與實踐經(jīng)驗，結(jié)合當(dāng)下網(wǎng)絡(luò)環(huán)境復(fù)雜的攻防態(tài)勢，推出了安天下一代WEB應(yīng)用防護系統(tǒng)（業(yè)務(wù)增強版）。

?

傳統(tǒng)WEB應(yīng)用防護技術(shù)在攻防對抗實戰(zhàn)中，存在四大困境：

1.攻擊手法不斷升級

?

現(xiàn)階段的網(wǎng)絡(luò)攻擊不再局限于傳統(tǒng)的漏洞攻擊，攻擊者會利用業(yè)務(wù)邏輯漏洞從而達到攻擊的目的，例如攻擊者非正常登錄網(wǎng)站業(yè)務(wù)之后的下單、付款、評論等操作。由于傳統(tǒng)WAF不具備跟蹤用戶登錄以及監(jiān)控后續(xù)用戶業(yè)務(wù)行為的能力，使得其無法基于用戶身份對其業(yè)務(wù)行為進行分析，進而定義安全策略、檢測針對網(wǎng)站業(yè)務(wù)邏輯漏洞方面的攻擊。

?

2.機器人攻擊愈加活躍

?

在2022年，互聯(lián)網(wǎng)上的惡意機器人活動達到了自2013年惡意機器人報告發(fā)布以來的最高水平。惡意機器人攻擊會令運維人員花費很大精力去判別、分析、處置，由于惡意機器人產(chǎn)生的業(yè)務(wù)流量不包括傳統(tǒng)WAF特征庫針對的攻擊特征，所以傳統(tǒng)WAF無法通過特征檢測來識別虛假業(yè)務(wù)流量。

?

3.API成為攻擊的重點目標(biāo)

?

由于其公開、暴露、高價值的特性，API目前成為了網(wǎng)絡(luò)攻擊的主要對象，API的數(shù)量規(guī)模在不斷壯大的同時，其面臨的風(fēng)險也變得愈加的嚴(yán)峻。但是傳統(tǒng)WAF缺乏對API的防護能力，無法有效的保障API的安全。

?

4.被動防護理念先天不足

?

傳統(tǒng)WAF的被動防護理念存在著先天的缺陷，其被設(shè)計用于解決已知的安全問題。對于新興的網(wǎng)絡(luò)攻擊，傳統(tǒng)WAF要對其進行有效的檢測，通常需要經(jīng)歷如下幾個階段：出現(xiàn)新攻擊-分析特征-更新規(guī)則庫-檢測。這種后知后覺、被動防御的工作方式導(dǎo)致其無法及時、快捷地應(yīng)對各種新興的網(wǎng)絡(luò)攻擊，用戶的網(wǎng)站得不到可靠的安全保障，安全運維始終處于查漏補缺的狀態(tài)中。

?

02什么是安天下一代WAF解決方案

?

安天通過研發(fā)集WEB安全防護、機器人攻擊防護、DDoS攻擊防護、API安全治理以及業(yè)務(wù)安全防護為一體的綜合業(yè)務(wù)安全分析產(chǎn)品，建立以業(yè)務(wù)為導(dǎo)向，結(jié)合傳統(tǒng)WAF能力，可實現(xiàn)主動防御的防護體系，能夠有效抵御自動化工具攻擊、業(yè)務(wù)邏輯漏洞攻擊，支持從客戶業(yè)務(wù)層面進行訪問控制，對客戶的網(wǎng)站提供全方位、多維度綜合防護，應(yīng)對當(dāng)下復(fù)雜的網(wǎng)絡(luò)環(huán)境。

圖1 產(chǎn)品能力組成

03客戶應(yīng)用場景

?

1.金融行業(yè)應(yīng)用場景

痛點：

在互聯(lián)網(wǎng)+金融背景下，金融行業(yè)包括銀行、保險、證券和基金公司等，業(yè)務(wù)遷移到互聯(lián)網(wǎng)已經(jīng)成為一種趨勢。與線下業(yè)務(wù)不同，線上業(yè)務(wù)規(guī)模的不斷壯大導(dǎo)致其無法有效的發(fā)現(xiàn)異常的業(yè)務(wù)行為，如用戶權(quán)限異常變化；其次，金融數(shù)據(jù)由于其蘊含的巨大價值而成為網(wǎng)絡(luò)攻擊的首選目標(biāo)，導(dǎo)致金融行業(yè)不得不重視數(shù)據(jù)安全，否則將對金融機構(gòu)產(chǎn)生巨大的業(yè)務(wù)風(fēng)險及商譽損害。

?

應(yīng)對措施：

?

1）業(yè)務(wù)安全：基于用戶身份識別跟蹤技術(shù)，規(guī)范用戶業(yè)務(wù)訪問權(quán)限，判斷異常業(yè)務(wù)邏輯，及時發(fā)現(xiàn)與防范用戶業(yè)務(wù)風(fēng)險。

2）數(shù)據(jù)安全：通過“事前”反爬蟲、“事中”敏感信息泄露防護、“事后”網(wǎng)絡(luò)封禁+告警上報，全生命周期保護數(shù)據(jù)安全。

?

2.電商環(huán)境應(yīng)用場景

痛點：

伴隨互聯(lián)網(wǎng)應(yīng)運而生的電商行業(yè)，在業(yè)務(wù)快速發(fā)展的過程中，面臨著諸多的安全挑戰(zhàn)。由于電商業(yè)務(wù)涉及眾多環(huán)節(jié)，包括用戶注冊、登錄、交易等，每個環(huán)節(jié)都可能存在安全風(fēng)險，包括有虛假注冊、刷單炒信、薅羊毛等，不僅影響用戶的正常體驗，也給電商企業(yè)帶來經(jīng)濟損失和品牌形象受損的風(fēng)險。

應(yīng)對措施：

1）電商業(yè)務(wù)規(guī)則：基于對電商行業(yè)的深入研究，內(nèi)置了電商行業(yè)專屬的策略模板，可全方位的保障電商行業(yè)客戶的業(yè)務(wù)安全，保障利益不受損失。

2）自定義業(yè)務(wù)規(guī)則：可靈活地對每一個業(yè)務(wù)流程中的關(guān)鍵指標(biāo)進行配置，同時基于強大的規(guī)則語法，可提供多維度、多條件的復(fù)合檢測能力，有效應(yīng)對個性化的客戶場景。

3.云環(huán)境應(yīng)用場景

痛點：

?

由于云環(huán)境下的大多數(shù)能力都基于API提供，因此在云環(huán)境下API的數(shù)量規(guī)模是比較龐大的。不同于物理主機，云環(huán)境下API資產(chǎn)的梳理存在著一定的困難；同時，API承載著大量的高價值數(shù)據(jù)，使運維人員時刻面臨著大量高價值數(shù)據(jù)被自動化工具爬取的風(fēng)險。

?

應(yīng)對措施：

1）API防護：以持續(xù)性API安全防護為核心理念，通過API資產(chǎn)自發(fā)現(xiàn)、訪問管控、安全防護、風(fēng)險評估、健康監(jiān)測和流量審計六大組件，涵蓋API安全的整個生命周期，全方位的保障客戶的API業(yè)務(wù)安全。

2）反爬蟲：基于指紋識別/主動探測技術(shù)，多維度識別機器人流量，減少運維人員的工作量，有效提高工作效率；基于動態(tài)防護技術(shù)，對表單及鏈接進行加密、隱藏，有效應(yīng)對爬蟲軟件對服務(wù)端的探測及爬取行為，保障客戶數(shù)據(jù)不被竊取。

?

安天下一代WEB應(yīng)用防護系統(tǒng)（業(yè)務(wù)增強版），以業(yè)務(wù)安全為核心，結(jié)合對行業(yè)用戶的深入理解，助力客戶完成業(yè)務(wù)系統(tǒng)的安全建設(shè)，減少客戶的利益損失，保障業(yè)務(wù)系統(tǒng)的安全運行，有效應(yīng)對當(dāng)下復(fù)雜的攻防環(huán)境。

?

?

# 安天青竹智語實驗室簡介 #

“安天青竹智語實驗室”是安天集團為保障業(yè)務(wù)應(yīng)用安全成立的實驗室。該實驗室在應(yīng)對傳統(tǒng)WEB應(yīng)用威脅的基礎(chǔ)上，增強API安全防護和自動化攻擊防御；深度結(jié)合客戶業(yè)務(wù)，發(fā)現(xiàn)邏輯異常、分析用戶行為、追溯攻擊源頭，通過揭示攻擊行為的深層次原因，提早發(fā)現(xiàn)客戶業(yè)務(wù)系統(tǒng)漏洞，為業(yè)務(wù)穩(wěn)定運行提供有效防護。