随着各种业务不断迁移到线上,企业在线上的应用也越来越多,而随之带来的, 不仅仅是业务上的便捷,同时也有更多的安全隐患。


从语义分析到透明代理 四家领先安全厂商这样看待WAF_Java


上周五,在安全牛主办的CS8大会上,就将焦点集中在了WAF(网站应用防护系统)上。长亭科技、安恒信息、Fortinet以及铱迅信息就WAF这个论题,分享了自己的观点。


长亭科技:语义+集群+插件扩展的雷池2.0


从语义分析到透明代理 四家领先安全厂商这样看待WAF_Java_02

从语义分析到透明代理 四家领先安全厂商这样看待WAF_Java_03


 长亭科技产品总监李昌志分享了长亭科技的WAF产品——长亭雷池的三大特点:


1. 基于语义分析的WEB攻击检测


传统的正则引擎只懂文本而不懂程序本身,就存在着误报、需要频繁更新规则、难以检测未知威胁等问题。而语义分析则能理解程序语言,在理解正常程序语法的基础上通过检测找到可疑流量。语义检测的价值之一,在于即使是相同特征,能识别出在不同场景、语序下是攻击还是正常请求。基于这点,长亭雷池可以更好地解决误报、漏报、以及对未知威胁防御的问题。


2.轻量稳定的集群


李昌志提到,如今的环境中,不仅攻击手段更加多样化,企业本身也有网站规模变得更大,业务需求更为复杂的问题。因此,长亭雷池2.0增加了新的功能。为了应对大规模流量的情况,长亭科技给出了雷池集群方案:通过使用不同的集群部署,进行不同的任务,应对在大规模流量情况下的安全需求。长亭科技的集群有着不需要改变拓扑、轻松水平扩展以及支持多活和主备方案的特点。


3.插件扩展性


由于不同企业有不同的用户、业务需求和运维流程,企业对WAF的使用也会有定制化的要求。长亭科技支持客户自己定制插件,满足自己特别的安全需求。对于没有足够能力自己进行插件制作的用户,长亭科技有专门的插件社区和插件市场,帮助用户找到自己最需要的插件,做到对其他平台提供数据支持,同时对接风控平台,实时阻断要求等目的。


安全牛评


长亭科技的最大亮点在于长亭科技的语义分析检测能力。语义分析这一技术已经为人所道多年,但距离真正的技术落地并且广泛应用还是有一定距离。但是长亭科技对于语义分析的使用已经落地并且在攻击检测上卓有成效,大大缓解了误报带来的安全运维难问题。而集群和插件扩展能力也为大企业带来了更弹性以及定制化的解决方案。


安恒信息:怎样才是一个优秀的WAF?

 

安恒信息的网关事业群副总经理冯佳坤则主要分享了安恒对WAF的认知。


从语义分析到透明代理 四家领先安全厂商这样看待WAF_Java_04


冯佳坤表示,WAF产品的核心价值在于全面防护性、防护准确性、高性能、高兼容以及高可用。


现今情况下,国内的WAF核心架构主要分为代理型以及非代理型。冯佳坤对比了两类WAF,提到代理型的WAF虽然检测深入,但是对性能损耗性很大,同时需要较高的技术积累才能实现兼容性;而对于非代理型WAF,尽管高效同时有高兼容性,但是却因为检测的不够深入,会有漏报的风险。面对高级威胁的多样性的攻击方式,企业在现阶段必须在性能与安全防护之间做出平衡,这是如今的WAF的不足之处。


另一方面,部分用户会选择低价WAF产品。冯佳坤认为,这些产品并不能真正保护到企业。由于设备性能等因素,这些WAF只能防护关键业务的部分请求以及部分非关键部分,无法对企业进行全方位保护,使得攻击者从看似不重要的地方作为攻击接入点。另一方面,这些产品也会有担心误拦截会影响业务可用性导致只开启检测告警,实际并未有效保护的问题。部分产品甚至会有受限于网络环境问题、设备性能、业务不兼容等因素,导致客户购买后停用。


冯佳坤提到,未来的方向来看,传统盒子类WAF会向智能WAF演进,WAF安全检测引擎SPOA外移实现深度检测联动,通过安全设备分析引擎无缝赋能WAF,让WAF防护更加智能更加准确。


安恒自身的WAF有五大特点:


1. 大规模智能集群突破单机WAF性能瓶颈。


2.云端全网威胁情报共享让防护更准确。


3.大数据AI分析更全面防护攻击。


4.云端专业高防,提供各种类型攻击流量清洗服务,低成本按需按次收费。


5.与专业病毒厂商合作,通过沙箱对上传文件进行检测,避免恶意文件攻击。


安全牛评


安恒信息这次分享的最大干货是安恒对WAF这款产品的深入理解:不仅仅是如何打造一款优秀的WAF,同样是对WAF的缺陷有深刻的见解。只有这样,才能研发出功能更强的WAF,逐渐领先行业。


Fortinet:机器学习为WAF带来的价值

 

Fortinet的FortiWeb在Gartner2017年度的WAF魔力象限中属于挑战者的位置,在这次CS8大会上,Fortinet的华北区技术经理胡丹丹和我们分享了机器学习在WAF中的应用。


从语义分析到透明代理 四家领先安全厂商这样看待WAF_Java_05

从语义分析到透明代理 四家领先安全厂商这样看待WAF_Java_06


胡丹丹提到,传统的WAF自学习产生误报的实际环境很多,处理起来也很麻烦:不规范也不会以造成攻击的输入也会被误报、开发人员不会因为这些事情修改代码、例外需要人为“优化”等问题。一旦所有异常都被视为威胁,那么会大大增加误报率,以及人为处理“威胁”的需求。


而Fortinet现在的处理方式,在发现异常行为后,对异常行为使用FortiGuard进行进一步威胁检测,对真实威胁进行阻断,同时允许看似异常的请求。Fortinet使用的模型则是根据真实的攻击特征训练而成。


通过机器学习,FortiWeb可以做到接近100%的威胁检测精确度,同时几乎不需要人工进行微调和优化,却能检测自学习不能检测的攻击。


Fortinet同时为FortiWeb配套了其他设备,共同抵御威胁:


1. FortiGate可以共享给WAF已经被感染的用户的IP地址列表,帮助WAF更好地进行决策和防御。


2.FortiSandbox:对威胁实时在线阻断,同时扫描FortiWeb提交的文件,发现未知威胁。


安全牛评


Fortinet作为进入Gartner魔力象限的外国厂商,有他独特的优势。这次Fortinet带来的特点是通过机器学习来检测威胁。区别于自学习的WAF模式,机器学习赋能的WAF不仅可以更精确地检测威胁,更能减少人为修正,自动应对未知威胁。


铱迅:HTTPS的透明防御

 

由于越来越多的网站开始使用HTTPS架构,安全供应商也需要应对HTTPS的新架构对安全解决方案进行改进。铱迅北方大区资深技术经理分享了铱迅对于HTTPS的透明防御解决方案。


从语义分析到透明代理 四家领先安全厂商这样看待WAF_Java_07


对于传统的HTTPS防护,防护设备需要通过端口映射或DNS解析的方式将流量牵引到防护设备上,再通过防护设备卸载SSL证书进行过滤后转发;因此,尽管与互联网之间的传输是加密的,但是防护设备与服务器端却是明文通讯。另外,传统防护还有着架构改动大、单点故障、服务器无法获取真实来源IP地址等问题。


铱迅给出的解决方案,是将防护设备用透明串接方式进行部署。这样做的优势在于部署方便,不需要对网络拓扑进行大量改动,实施难度低。对于串接部署,一大顾虑是一旦防护设备故障,可能会造成网路堵塞的危险。铱迅的防护设备可以在出现故障时,切换到bypass模式,从而不影响服务器访问。


在防护能力方面,铱迅采用了Webshell智能拦截,识别已知与未知的Webshell木马上传行为;铱迅拥有专利解码引擎、协议栈全状态检测功能、蜘蛛自学习网站参数进行的动态建模等功能,更精确检测威胁。另外,铱迅拥有高吞吐量(最高可达20Gbps)以及高并发(最高可达1200万)的处理能力。


安全牛评


许多企业都在考虑如果从HTTP转到HTTPS后,企业该如何对网站进行保护。铱迅分享了自己的透明防御的功能。对于串联的防火墙,企业最担心的就是不能对业务的流畅性造成影响。铱迅自身拥有优秀的吞吐量和并发量以及处理能力,同时在设备出现故障时,也能不影响业务运转。而铱迅对于威胁的检测和防御,也有优秀的成绩。


相关阅读

CS7:从应用到合规 五大移动安全解决方案精选

CS6:一口气看完八家安全公司的数据安全解决方案(收藏版)

CS5:业务反欺诈大会上的五个解决方案


从语义分析到透明代理 四家领先安全厂商这样看待WAF_Java_08