博客

是什么让 WAF 变得先进?

Brian A. McHenry 缩略图
布莱恩·A·麦克亨利
2018 年 4 月 10 日发布

随着威胁形势的发展,我们的安全控制和对策也必须不断发展。 数据丢失或泄露等最先进的边界威胁发生在application层,使得大多数下一代防火墙 (NGFW) 和入侵防御系统 (IPS) 的效力大大降低。 大多数通信都转移到 NGFW 或 IPS 无法很好支持的加密数据通道,这加剧了这种影响,尤其是在大规模通信时。 Webapplication防火墙 (WAF) 专门用于分析application层的每个 HTTP 请求,并对 SSL/TLS 进行完整解密。

近年来,大多数 WAF 技术基本保持不变,作为基于过滤器的被动检测系统,与相关的 NGFW 和 IPS 技术非常相似。 WAF 系统应用协议合规性(确保格式正确)和签名比较(确保没有已知的恶意内容)来过滤和阻止潜在攻击。 已添加其他功能以实现会话和用户意识,以抵御劫持和暴力攻击,并且应用 IP 信誉源来尝试过滤掉已知的不良来源,例如僵尸网络、匿名器和其他威胁。 这些在数据中心周边仍然主要是被动技术,询问客户端的能力非常有限。

 关于当前的威胁形势,我们了解以下几点:

  • 大多数威胁本质上都是自动化的。 攻击者自动扫描漏洞。 它们自动囤积资源,比如购买门票或运动鞋,然后在灰色市场转售。 分布式拒绝服务 (DDoS) 攻击是全自动的,可实现已变得常见的 1Tbps+ 攻击流量。 自动化很难被检测到,因为它通常被设计为模仿良好的流量并且不被发现。 人们已经使用了 CAPTCHA 等技术来检测此类自动化,但这些验证方法随着时间的推移被证明是无效的,并且会影响合法用户的体验。
     
  • 撞库攻击是一种特殊的自动攻击,它利用先前漏洞中已知的数十亿个用户名和密码组合。 根据最近的威胁报告,使用被盗凭证是 2017 年最普遍的application攻击类型。 这些攻击利用了互联网普通公民常见的密码重复使用现象。 撞库攻击尤其难以检测,因为这些请求不仅看起来正常,而且它们通常在设计上是“低而慢”的,以避免被检测为暴力破解攻击。
     
  • 恶意软件无处不在,它被用来利用浏览器和操作这些浏览器的用户的弱点。 恶意软件有多种传播方式,从电子邮件附件到社交媒体和广告中的恶意链接。 这些被感染的机器被用来攻击其他网站,进行 DDoS、数据盗窃和资源囤积。 除非客户端机器由经验丰富的 IT 信息安全团队管理,否则可用的检测和缓解方法有限。
     
  • DDoS 攻击不仅仅是容量有限的攻击。 许多攻击旨在导致application堆栈、application服务器、中间件或后端数据库中某处的资源耗尽。 由于流量符合大多数标准输入验证检查,因此检测这些情况可能很困难。


简而言之,这些攻击几乎可以绕过所有传统的 WAF 检测机制,因为它们通常不会以任何方式出现畸形。 由于容易受到攻击的目标几乎取之不尽,包括电缆调制解调器、物联网设备、公共云服务器实例等,因此 IP 地址信誉源的有效性有限。 源地址信息变化太快,即使是众包信息也无法有效对抗这些攻击媒介典型的自动化水平。 显然需要更先进的 Webapplication防火墙来抵御这些威胁。

好消息是,Advanced WAF(API 安全 - 新一代 WAF)技术已经推出,并且已经使用了一段时间了。 近十年前,当 Web Scraping 保护功能于 2009 年推出时,F5 率先采用了无需 CAPTCHA 即可检测试图从在线零售商处抓取价格数据的机器人的技术。 F5 不断改进该技术,并将其扩展为现在的主动机器人防御技术,于 2015 年推出。 主动机器人防御 (PBD) 可以询问请求客户端,以验证是否存在使用合法浏览器的人类用户。 这比依靠通过 IP 地址阻止已知僵尸网络的解决方案更有效。

凭借全新 F5 Advanced WAF(API 安全 - 新一代 WAF)产品,F5 正在扩展其市场领先的 WAF 技术,以包含对抗application安全领域不断演变的威胁所需的功能。 Advanced WAF(API 安全 - 新一代 WAF)包括:

  • 主动机器人防御。 通过利用尖端指纹识别和质询/响应技术结合其他行为分析,PBD 能够实现会话级别的自动威胁检测和阻止。
     
  • 第 7 层行为 DoS检测和防御。 Advanced WAF(API 安全 - 新一代 WAF)能够动态分析流量并创建异常流量模式的签名,从而在第 7 层 DoS 攻击影响您的application之前阻止它们。
     
  • DataSafe凭证保护。 DataSafe 动态加密页面内容以防止通常由恶意软件引起的浏览器中间人攻击。 DataSafe 还会在输入凭证时对其进行动态加密,以保护浏览器中的用户。
     
  • Anti-Bot Mobile SDK集成。 Proactive Bot Defense 使用的技术可以识别合法浏览器。 对于移动应用程序,不存在浏览器。 Anti-Bot Mobile SDK 使组织即使在移动 API 端点上也能使用先进的技术对抗机器人。


F5 Advanced WAF(API 安全 - 新一代 WAF)是一个专用的安全平台,可提供当今市场上最先进的application安全功能。 F5 致力于提供尖端的application安全解决方案,以缓解最复杂的攻击。 期待未来Advanced WAF(API 安全 - 新一代 WAF)平台取得更多进步。