覆盖远不止OWASP十大攻击,WAF防御力凸显

2018-08-14 11:07:00 作者:佚名 出处 : 比特网

  应用威胁现状正在迅速发展。多年来,用户一直利用Web浏览器等常用工具使用互联网应用。任何时候,都需要支持2-5个Web浏览器,应用开发和测试框架的多样性也相对有限。例如,几乎所有的数据库都是使用SQL语言创建的。令人遗憾的是,就在不久前,为了窃取、删除并修改数据黑客已经开始滥用应用了。他们以不同方式利用应用,主要是欺骗应用用户、注入或远程执行代码。不久之后,名为Web应用防火墙(WAF)的商业化解决方案出现了,该团体为此创建了开放Web应用安全项目(OWASP),用于设置并维护安全应用的标准和方法。

  基本应用防护措施

  OWASP十大攻击列表为防御最常见和最致命的威胁和可能导致漏洞的应用配置错误的防护措施提供了出发点、检测战术和缓解措施。此列表可以作为应用安全行业的行业标杆,并定义了WAF所需的基本功能。

  此外,还有其他针对Web应用的常见攻击,如:CSRF、点击劫持、Web抓取和文件包含(RFI/LFI)。

  确保现代应用安全的挑战

  目前,应用不仅仅只是基于Web的。还有许多云应用、移动应用、API,甚至是最新架构中的单个功能,都可以创建、修改并处理数据,因此必须进行同步和监督。新技术和框架为应用生命周期带来了新的挑战。包括DevOps、容器、物联网(IoT)、开源工具和API等。

  各种技术位置的分散为信息安全专业人员和不能再依赖“一刀切”方法的解决方案厂商都带来了非常复杂的挑战。为了最大限度地减少误报并优化客户体验,解决方案必须了解所保护的应用所处的业务环境。

  一个黑客的最终目标通常是窃取数据或中断应用服务。他们也会受益于技术进步。首先,他会创建更多潜在的漏洞和薄弱点,其次,他们可以采用更多的工具和知识来克服传统的安全探试程序。企业将面临更大的攻击面和更大的暴露风险。随着应用的不断变化,安全策略必须与时俱进。

  因此,应用必须得到充分保护,防御不断增多的攻击方法和攻击源,并且必须能够在缓解自动攻击时实时做出有把握的决策。其结果就是增加了人工劳动和运维成本,同时降低了整体的安全性。对安全厂商而言,需要克服的挑战更多。

  挑战1:机器人程序管理

  根据Radware Web应用安全报告,几乎60%的互联网流量都是机器人程序生成的,其中一半流量是由“不良”机器人程序造成的。企业不得不增加网络容量来满足这些虚拟需求。准确区分人为流量和机器人程序生成的流量以及准确区分“良性”机器人程序(如搜索引擎和比价服务)和“不良”机器人程序可以极大地节省成本并提高客户体验。

  现在,机器人程序并不会放你一马,他们可以模仿人类行为,绕过CAPTCHA和其它质询。此外,动态IP攻击会让基于IP的防护措施失效。通常情况下,可以处理客户端JavaScript的开源开发工具(如Phantom JS)会被滥用,发起暴力破解、证书填充、DDoS和其它自动的机器人程序攻击。

  为了有效管理机器人程序生成的流量,就需要对流量源进行唯一标识(就像指纹)。由于机器人程序攻击采用了多个事务,指纹就可以帮助企业追踪可疑活动,确定违规分数,并以最小的误报率做出有把握的拦截/允许决策。

  挑战2:保护API

  许多应用可以从与API交互的服务中采集信息和数据。当通过API传输敏感数据时,50%以上的企业在检测网络攻击时既不会检查API也不保护API。

  常见的API用例有:

  •IoT集成

  •机器对机器通信

  •无服务器环境

  •移动应用

  •事件驱动应用

  API漏洞类似于应用漏洞,包括注入、协议攻击、参数篡改、无效重定向和基于机器人程序的攻击。专用API网关可以确保通过API进行交互的应用服务的安全互操作性。然而,他们不能提供WAF所提供的端到端应用安全以及必要的安全控制,如HTTP解析、L7层ACL管理、JSON/XML有效负载的解析和验证、模式执行和对OWASP十大漏洞的全面覆盖。这可以通过采用主动和被动安全模型提取并检查关键API值来实现。

  挑战3:拒绝服务

  DoS是一种比较陈旧的攻击矢量,但在攻击应用时仍非常有效。犯罪分子可以采用一些吸引人的技术来中断应用服务,如HTTP或HTTPS洪水、低速慢速攻击(SlowLoris、LOIC、Torshammer)、动态IP攻击、缓冲区溢出、暴力破解攻击等。在IoT僵尸网络的驱动之下,应用层攻击已经成为首选的DDoS攻击矢量。多数WAF都是有状态的设备,他们只能保留一定的容量。然而,他们能够检查HTTP/S流量流(一些WAF创建基线,对于未知威胁非常有效),检测攻击和恶意尝试。一旦检测到攻击,就不会让攻击流量再次进入。专用的边界解决方案可以补充WAF缓解容量的限制,自动拦截下一个错误数据包。为了实现这一点,两个解决方案必须能够互相传送消息:

  Radware WAF向外围攻击缓解设置发送攻击信息

  挑战4:持续安全

  应用会频繁变化。开发和推出方法,如持续交付,就意味着会不断地对应用进行修改,不需要人工干预或监督。在动态环境中维持有效的安全策略,保护敏感数据安全,而不产生大量的误报,这是极其困难的。与Web应用相比,移动应用修改更多,用户如何得知所使用的第三方应用何时发生了变化?

  一些人力求获取更大的可见性,因此他们意识到了风险。然而,这并不总是可行的,强劲的应用防护措施必须利用可以映射应用资源的机器学习功能分析可能的威胁,并在进行应用修改时创建和优化安全策略。

  总结

  由于应用在我们的日常生活中扮演着越来越重要的角色,它们也成为了黑客的首选目标。黑客的潜在收益和企业的潜在损失是庞大的。现在,鉴于应用和威胁的数量和种类,保护这些应用的安全极为困难。

  幸运的是,现在人工智能可以助我们一臂之力。基于机器学习的算法提供了实时的适应性防护措施,可以防御针对应用的最复杂威胁。他们还可以自动更新安全策略,保护Web应用、移动应用、云应用以及API的安全,同时不会产生误报。

  我们无法确定下一代应用威胁会是什么样子(可能也是基于机器学习的),但可以确定的是,我们可以现在就采取行动,进一步保护具有巨大商业价值的客户数据、知识产权和服务可用性。 

* 本文为ChinaByte比特网原创内容,版权所有,转载请注明出处和原文链接,未经授权请勿用于商业用途。

Intel小调研

1. 请问您是否是企业的IT部门负责人/管理人员?

2. 请问您是否同意在迁移到Windows 10时,升级到搭载第八代英特尔酷睿处理器的电脑是至关重要的?

提 交

最近更新
科普

科普图集
从《中国互联网+指数报告(2018)》看数字经济

从《中国互联网+指数报告(2018)》看数字经济>>详情

“互联网+”的这些新变化,你知道吗?

“互联网+”的这些新变化,你知道吗?>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。