访谈嘉宾:汪德嘉
记者:张安媛
分析师:王剑桥
随着网络技术的不断发展升级,越来越多服务于企业的应用都架设在Web平台上,这也让网路攻击者有机可乘,他们通过SQL注入攻击、XSS攻击以及各种新型攻击手段控制Web服务器,给企业用户带来巨大的损失,因此,Web应用安全的防护越来越受到大家的关注。自动化技术发展是把双刃剑,它在为网络安全防护带来更多可能的同时,也让攻击手段不断升级,这让传统的Web防护技术开始失效,身份盗用、敏感信息被窃取等问题层出不穷,企业用户应该采取怎样的防护手段才能抵御层出不穷的自动化攻击类型?如何在满足Web安全合规要求的同时,保证企业业务关键数据的安全、确保业务可以高效、安全、可靠的运营呢?带着这些问题,本次牛人访谈我们邀请到了通付盾的创始人汪德嘉,以Web应用防火墙的智能化发展为切入点,就Web应用安全防护的突破、挑战、发展以及未来展望展开讨论。
访谈嘉宾
汪德嘉
通付盾创始人、时空码发明者、《身份危机》与《数字身份》作者、九三学社社员。美国威斯康星大学数学博士、中国科学院软件研究所理学硕士、中国科学技术大学概率统计学士。
汪德嘉博士拥有十余年国际知名软件公司ORACLE、VISA、IBM等总体设计、产品开发及管理经验,并在硅谷多次参与早期创业。2011年创立通付盾公司,担任董事长兼CEO。参与制定多项行业标准,拥有百余项自主知识产权。
Q&A
01、Web应用安全防护一直都是企业组织网络安全管理中的重要组成部分,WAF产品在其中发挥的重要作用更是不言而喻,在网络攻击威胁加剧和行业迅速发展的今天,新一代WAF产品产生了哪些新变化?满足了哪些新的市场需求?
汪德嘉:
据相关报告数据显示,在边界防护类设备中,87.7%的受访者都部署了WAF产品,Web应用防火墙当仁不让地位居第一位。而未来5年,WAF的市场将以10%-16%的速度持续增长。总的来说,WAF市场的增长潜力仍在,从Gartner对当前Web应用安全状况的调查来看,WAF仍然是用于保护Web应用的最佳产品。但是,目前市场上很多WEB防火墙产品都是基于规则库的攻击检测,应用防护更新不及时,对非OWASP TOP10攻击防护的响应较慢。而且对于未知攻击行为、违法业务逻辑操作、自动化交易欺诈等,针对模拟合法操作的攻击行为,无法建立规则,也就无法起到任何防护作用。
目前市场反馈最希望WAF增强的功能方面,页面混淆、动态防御和通过扫描器验证Web攻击数据的有效性是几大迫切的需求点,因此Web应用防火墙的智能化发展是一个很好的应对方案,智能化技术如动态防御技术、风险决策功能等,能够有效阻止未知攻击、防护自动化攻击、防范业务欺诈风险和防止数据泄露风险等,同时将智能化技术引入Web应用防火墙中可以解决传统安全产品依赖于静态防御和被动防御下的安全能力不足,缺少主动防御机制等问题,因此智能Web应用化防火墙产品市场发展前景较好。
02、据我了解,您上述的动态防御和风险智能决策能力需要依赖于大量的样本学习和强大的算力,智能化技术是如何与Web应用防火墙相结合来实现这一功能的?又是如何实现对未知攻击、防护自动化攻击等安全威胁的响应处置的,请详述。
汪德嘉:
新一代WAF的动态防御其实是通过动态防护引擎实现的,动态防护引擎具有动态加密、动态混淆和动态变换的能力。即通过对服务器执行脚本代码的动态变化,让攻击者无法读取服务器的相关代码,达到防护目的。举个例子,当攻击者想要进行网站访问时,首先要发起访问请求,然后才能扫描到网站上可能存在的漏洞,而动态防御技术则是在访问之初就会对源代码进行混淆防护,降低可识别性,攻击者更换不同设备,或使用同一设备在不同时间访问时,页面所采取的加密算法都是不同的,从而使攻击者无法获得真正准确的代码。
这种防护手段对自动化攻击的防范效果是非常显著的,当然,智能化加密手段的引入,对WAF产品的性能要求更高,用户可根据具体需求对关键页面进行加密动态防御。
我们目前所说的智能化决策能力,是指将Web应用防火墙与特征库相连,通过智能化学习技术,基于大数据库中的攻击模型进行学习和识别,让Web应用防火墙产品能够对出现的可疑风险进行行为特征分析,并与特征库中已有的攻击模型进行对比,当然这个数据库是根据用户需求和行业发展而动态更新的。
03安全牛:“攻防对抗”这场拉锯战发展至今,攻防的关注重点已经从“防得住”转到“响应快”上来了,Web应用防火墙是如何通过智能化发展实现快速响应的?
汪德嘉:
目前市场上很多Web应用防火墙都是基于规则来对Web进行安全防护的。其防护原理是每一次HTTP请求访问都会通过Web应用防火墙进行一系列的安全规则检测,每次安全检测都由一个或多个规则组成,如果安全检测没通过,访问就会被认为是非法不安全的并被拒绝,因此基于规则的Web应用防火墙就必须要由一个强大的规则库来支撑这一系列的安全检测。安全运维人员和厂商人员都需要投入大量的时间精力维护和升级规则库,以尽可能的包含更多和最新的规则特征库。
而0 DAY漏洞正好钻了传统Web应用防火墙的空子。由于0 DAY漏洞是没有已知特征的,企业的WEB安全问题只能寄希望于传统Web应用防火墙厂商的响应处置能力。然而修复一个0 DAY漏洞,通常需要数天的时间;即使在Web应用防火墙上配置新的防护规则,可能也要在零日漏洞曝出后的1-2天才能完成。从而形成了空窗期,对0 DAY漏洞威胁下的企业意味着什么,不言而喻。
智能化技术的引入,改变了传统Web应用防火墙对抗0 DAY漏洞的方式。它通过上述的动态防护引擎,采用主动式防护技术,并结合智能决策引擎和爬虫防护引擎等,通过多引擎并行处理技术,在不依赖规则的情况下对0 DAY漏洞攻击进行有效阻断,实现快速响应,防范于未然,实现“无规则、无空窗期、无需大量运维”的需求。
04、智能化Web应用类防火墙产品和市场上众多厂商所提的下一代WAF防火墙有何区别?请您结合实际经验详述。
汪德嘉:对比智能化Web应用防火墙产品与传统的WAF产品的区别,主要可以从产品技术和运维投入两个维度来进行分析:
产品技术:智能化Web应用类防火墙产品,其“智能”具体体现在动态防御能力上,一般都具备动态加密、动态混淆、动态变换等技术;其次是通过智能化技术手段,它能够连通开发者的动态多维度情报库,同时基于欺诈及攻击风险威胁特征库、大数据异常监测模型,通过智能决策引擎技术,进行快速的全域站点流量实时监测分析和预警,及时阻断风险访问;最后,自动识别、生命周期管理、攻击防护、动态防护、名单管理等智能化技术的引入,能够帮助Web应用产品实现对API接口的风险感知和攻击阻断能力,进一步保障Web站点的安全。
运维投入:安全维护人员在部署传统WAF的时候往往是“先爱后恨”,因为传统WAF在刚投入使用时,运维人员为了达到较好的防护效果,投入了大量的精力对传统WAF进行规则配置和策略调优,但随着时间的推移,Web应用不断变化和攻击手段的不断增加,传统WAF防护的效果会变得越来越差。如果想继续提升防护效果,运维人员就必须再协调厂商人员针对特定攻击进行分析并制定相应规则,依然会花费大量时间精力。但引入决策智能技术之后,Web应用防火墙通过上述的动态防御引擎等防护功能,即可对不断增加和变化的新型Web攻击进行有效防护、拦截和阻断,同时大大降低人员运维成本。
05、智能化Web应用类防火墙产品的实际应用场景有哪些?在不同场景下,有哪些不同的能力表现?
汪德嘉:
智能化技术可以帮助Web应用防护类产品支持更多场景,如自动化攻击、WEB应用数据安全防护、0 DAY攻击、防业务风险等等。0 DAY上述已经提及,不再赘述。这里以自动化攻击和WEB应用数据安全防护举例说明。
自动化攻击:自动化攻击是指利用自动化脚本或工具模拟正常人的行为来实现网络攻击的一种方式。Forrester报告显示,由于当前市面上的WAF方案无法处理更广泛的应用程序攻击,特别是由机器人驱动的自动化攻击,已经让企业用户苦不堪言。智能化技术的引入能够帮助Web应用产品精准定位和发现这种自动化攻击行为,同时还可以确保威胁判断更加全面,风险阻断更加智能。
WEB应用数据安全防护:黑客经常会对网站发起攻击或渗透,对网站所包含的非公开数据进行非授权访问或非法操作,由此可能引发数据被窃取、仿冒和篡改等安全事件,给网站运营者、公众用户造成经济损失和名誉损失。随着《数据安全法》的出台,数据安全已被客户重新定义,可以说,没有数据安全就没有业务安全,所以数据安全防护也变得更为重要。动态防护引擎和爬虫防护引擎等智能化技术,可以实现对网站的动态加密、动态混淆和防恶意爬虫等安全防护能力,有效防止网站数据被窃取、篡改和仿冒等安全事件的发生,大大减少网站数据泄露的安全风险。同时一些智能化Web应用产品的反调试保护技术,能够有效防止网站内容被随意复制、剪切和代码调试,抑制了任意转载、摘抄和引用,维护了网站信息内容的权威性以及商业价值。
06、您认为未来Web应用防火墙的智能化发展还有哪些技术瓶颈需要突破?发展趋势如何?
汪德嘉:
Web应用防火墙的智能化发展需要突破的是高性能的AI人工智能算法。
当前市场上的智能Web应用防火墙,虽然部分已经集成了AI智能业务反欺诈引擎,实现了智能业务反欺诈能力。但AI算法对算力要求较高。引擎工作时,会消耗大量计算资源,导致防火墙整体的业务处理性能出现下降。与此同时黑客们的攻击手段也越来越紧跟时代潮流,他们也开始使用AI工具进行渗透动作编排,企图绕过防火墙的安全防护功能。
基于AI的攻击与基于AI的防攻击始终处于此消彼长的交替演进中。魔高一尺道高一丈,所以我认为Web应用防火墙的智能化发展,未来主要还是集中在不断提升AI算法的效率、准确度以及提升硬件算力两大方向上。希望随着各安全厂商的研发投入和行业技术发展,未来Web应用防火墙的智能化水平能够得到大幅度提升,为企业的Web应用提供更稳定的防护效果。
安全牛评
近年来随着各类网站数量的大幅度增长,网站的安全问题愈发严峻,而大多数网站程序开发者、网站维护人员对网站攻防技术的了解甚少,网站管理者需要合理可行的技术措施,提高网站的安全性,防范各种恶意攻击。动态防护引擎等智能化技术与WAF产品相结合,大大增加了攻击者发现代码漏洞的难度,引入AI算法进行进行智能决策,增加了威胁判断的精确性。
