Check Point研究:應(yīng)用防火墻(WAF) 時代的終結(jié)
互聯(lián)網(wǎng)經(jīng)過幾十年的發(fā)展,Web 應(yīng)用防火墻 (WAF) 已變成無處不在的安全工具包。任何部署 Web 應(yīng)用的組織(包括大多數(shù)大型企業(yè))都會安裝 WAF,以保護數(shù)據(jù)和資產(chǎn)安全。Web 應(yīng)用防護的最佳實踐現(xiàn)已發(fā)展為只需在應(yīng)用前部署 WAF 即可。
但事實上,如今現(xiàn)代應(yīng)用生命周期加快了 DevOps 的更新發(fā)布頻率,而傳統(tǒng) WAF 根本無法跟上發(fā)布步伐,并且 WAF 維護流程較為復(fù)雜,需要耗費大量人力資源。
面對這一挑戰(zhàn),安全專業(yè)人士應(yīng)該怎么做?什么會阻止 Web 應(yīng)用成為組織基礎(chǔ)架構(gòu)的前門?我們知道 DevOps 會不斷開發(fā)新代碼,但如何確定 WAF 是否還值得維護或者是否已無藥可救?
下面讓我們仔細了解一下 WAF 如何才能跟上 DevOps 的速度。
上下文邏輯是關(guān)鍵所在
網(wǎng)絡(luò)安全旨在監(jiān)控使用相同協(xié)議的靜態(tài)網(wǎng)絡(luò),而 WAF 旨在保護相差甚遠的 Web 應(yīng)用。每個應(yīng)用都是獨一無二的,每段代碼也都互不相同,并且各自都有一系列漏洞。在引入云存儲和 DevOps 加速之前,WAF 就被認為只是一種“平庸的”安全解決方案。使用位于應(yīng)用前面而非內(nèi)聯(lián)的解決方案意味著無法進行上下文分析。如果沒有上下文來幫助理解正在交互的應(yīng)用內(nèi)容,WAF 演進的自動化速度就無法跟上應(yīng)用演進的速度。
學(xué)習(xí)不停歇
機器學(xué)習(xí)的改進只是在一定程度上解決了這個難題。雖然復(fù)雜的 WAF“只”需學(xué)習(xí)一個月即可創(chuàng)建應(yīng)用基線,但放任應(yīng)用在一個月內(nèi)不受保護實在太久了。人類難免需要介入,幫助校準(zhǔn) WAF,但維護工作的負擔(dān)也會因此加重。如果 WAF 在內(nèi)容或代碼每次發(fā)生更改時都需要花時間學(xué)習(xí)和創(chuàng)建基線,那么為了減少警報和創(chuàng)建異常,管理員需要開展大量工作。
自動化關(guān)系成敗
面對持續(xù)交付,WAF 不可能在沒有人類干預(yù)的情況下有效保護 Web 應(yīng)用免受邏輯攻擊。實際上,大多數(shù) WAF 都不處于警報模式。過度攔截存在巨大的風(fēng)險,因為大量警報會造成警報疲勞。也許管理員可以進行微調(diào),以便使用攔截規(guī)則保護應(yīng)用的敏感部分,而應(yīng)用的其余部分則由處于警報模式下的 WAF 使用模式匹配及其他簡單技術(shù)加以保護。但這會導(dǎo)致安全解決方案無法隨著應(yīng)用的發(fā)展自動部署以防止新的邏輯攻擊。
加速還是棄用
原生云計算關(guān)乎敏捷性。2015 年需要花兩周時間才能創(chuàng)建完的內(nèi)容現(xiàn)在只需幾秒鐘即可完成。借助新型微服務(wù),您可以在幾分鐘內(nèi)大幅更改應(yīng)用。在這種新環(huán)境下,考慮使用依賴學(xué)習(xí)或手動配置的標(biāo)準(zhǔn)傳統(tǒng)應(yīng)用安全解決方案會很荒謬。
每當(dāng)開發(fā)人員調(diào)整和對外發(fā)布代碼,都是單方面的舉動,無需與安全人員協(xié)商。如果您使用的 WAF 假設(shè)環(huán)境中的一切都是通用的,則意味您的 WAF 已經(jīng)失效,是時候放棄使用了。
WAF 已成過去,DevOps 時代來臨,F(xiàn)在是時候進行取證分析,以確定您的 WAF 是否尚可使用,還是已成為累贅。請回答以下幾個問題:
? 您的 WAF 是專為云設(shè)計的嗎?
? 您的 WAF 能否辨別合法流量用戶和惡意流量用戶?
? 您的 WAF 可以辨別合法查詢和 BOT 及其他 OWASP 攻擊向量嗎?
如果上述問題的回答均為“否”,那么是時候評估您的云應(yīng)用安全性了。
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
-
12月19日立即報名>> 【線下會議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會
-
精彩回顧立即查看>> 2024中國國際工業(yè)博覽會維科網(wǎng)·激光VIP企業(yè)展臺直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟產(chǎn)業(yè)大會暨展覽會
-
精彩回顧立即查看>> 【線下會議】全數(shù)會2024電子元器件展覽會
-
精彩回顧立即查看>> 三菱電機紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
編輯推薦
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市