Web应用层正逐渐成为黑客攻击的主要目标。Gartner调查数据显示,信息安全攻击有75%发生在Web应用层而非网络层。如何保障业务安全及应用安全,保护企业核心数据的安全,已经成为企业的首要和核心任务。
近两年数据泄漏事件接连发生,让企业对业务安全及应用安全的重视达到前所未有的高度。杭州安恒信息技术有限公司(简称安恒信息)总裁范渊对当前的Web应用安全现状非常担忧,在他看来,“我们现在面临的是一个岌岌可危的网络安全环境,用户就好比《皇帝的新装》中的帝王一样,毫无隐私可言” 。
90%以上WAF可能被绕过
黑客的攻击目标正在从网络服务器转向Web应用。“近些年,云计算、物联网、移动互联备受关注,但人们却忽略了一个本质问题——安全。没有安全的保障,一切新技术、新趋势都是一纸空谈,很容易成为新兴攻击方式诞生的温床,其结果是造成无尽的危害。”安恒信息安全服务部副总监吴卓群从产品及技术的角度指出:“尽管Web 应用的各个层面都已使用各种技术来确保其安全性,但由于Web应用的开放性、各种Web软硬件漏洞的不可避免性,以及网络攻击技术日趋成熟,三分之二的Web站点都相当脆弱。然而,绝大多数企业仍然将IT支出花在了购买网络和服务器安全解决方案上,对于Web应用的安全防护,并没有采取针对性的有效措施。”
WAF(Web应用防火墙)是企业应对Web应用攻击的主要方法。但是,随着攻击技术的日新月异,攻击方式的不断变化,攻击者仍然会经常让企业感到措手不及:针对Web应用的零日攻击屡屡得逞;社交工程学攻击、APT攻击则让企业遭受重创……
美国举办的2012黑帽大会上披露的一个消息令人咂舌:安全厂商Qualys工程经理Ivan Ristic用一个新的工具测试WAF是否存在漏洞,结果是WAF可以被150多种协议级避让技巧绕过。这意味着黑客只要稍微修改恶意请求的URL路径,就可以轻松绕过WAF的检测。对此,吴卓群认为:“WAF本是保护Web应用安全的设备,但它却缺乏足够的安全测试,有大量攻击手段和方法可完全绕过WAF的防护策略,对Web网站进行攻击。更大的风险是,攻击者利用解析错误彻底绕过安全防护策略。当前,国内外无论是硬件WAF还是云WAF,至少有90%以上存在被彻底绕过的风险。”
主动防御的安全策略
面对攻击者多种多样的绕过方法,WAF厂商该如何应对?安恒信息的策略是变被动为主动。“作为国内最早研发Web应用防火墙的企业,安恒信息逐渐认识到这点。”吴卓群表示,“经过多年的实践,安恒信息总结出一套可行的技术方法,有效地解决了目前针对WAF的绕过保护问题,使得WAF成为实实在在的能有效抵御Web攻击的最佳防御方式。”
从2007年发布国内第一款透明代理Web应用防火墙至今,安恒信息在WAF领域成果累累,其WAF产品明御Web应用防火墙不仅内置了30余类的通用Web攻击特征,能够有效防御来自外部的SQL注入、文件注入、命令注入、配置注入、LDAP注入和跨站脚本等攻击,而且通过HTTP协议规范性检测,可以实现Web主动防御功能,比如通过设置请求头长度限制、请求编码类型限制等方式,能有效拦截大部分非法的未知攻击行为。
“将明御Web应用防火墙部署在门户网站服务器群的前端,通过抗扫描、防注入、防跨站脚本、防后门攻击等安全策略,加强门户网站的安全防护能力,能够最大限度地杜绝网站被黑客入侵的可能性,同时兼顾上级机构安全检查的合规性要求。” 吴卓群向记者介绍,“此外,通过URL级别的白名单功能,实现门户网站前端与管理后台权限及安全策略的分离,明御Web应用防火墙可以实现门户网站的安全保护和便捷维护。”
据悉,在策略部署方面,明御Web应用防火墙支持分布式、集群式部署,既能实现七层的应用层防护,又不改变原有架构的高可用性,同时可以通过Web应用加速模块为Web应用提供专业的加速功能,从而保障关键业务的可用、安全和快速进行。