我们在新闻中听到很多关于日益严重的 DDoS 攻击的报道 — — 毕竟,这些网络攻击往往会以“死星大小的僵尸网络”和“世界纪录”攻击等吸引人的标题出现 — — 但对于大多数企业和大型组织而言,还有一系列同样令人担忧的应用攻击。 只要看一下 OWASP.org(即开放式 Web应用安全项目)上的“攻击”类别页面,您就可以看到攻击者用来利用应用漏洞的 70 多种技术的列表。
许多此类攻击都有有趣且听起来好玩的名字 - 暴力破解、欺骗、填充、中间人、窃听 - 但实际上,应用攻击并不好笑。 例如,2017年,受数据泄露影响的美国企业平均损失为735 万美元。 而且,数据泄露只是部分攻击所造成的最明显后果,此外还有网络中断或停机的成本;IT 员工本可以专注于创新,而现在却不得不投入到缓解攻击的成本;以及当员工、合作伙伴和客户无法连接以完成工作、销售您的服务或购买您的产品时您所遭受的损失。
但组织该做什么呢? 这并不意味着你就会放弃使用应用。 如今,各种规模的公司几乎都在所有事情上依赖网络应用:提高员工工作效率、简化业务政策的执行、分析大量数据以及处理从工资单到应付账款的所有事务。 不幸的是,潜在的攻击者知道这些应用对您的组织有多么重要,并且他们比以往任何时候都更决心摧毁或危害您最重要的 Web 应用程序。
对于大多数组织来说,第一道防线是 Web应用防火墙 ( WAF )。 我们最新的应用交付状况报告显示,98% 的受访者使用 WAF 保护其应用组合的至少一部分,超过 40% 的受访者保护其一半或更多的应用程序。
作为WAF 行业的领导者,F5 很高兴看到世界其他地区逐渐认同我们多年以来所宣扬的理念。 但您不能满足于现状而成为行业领导者,我们会不断努力寻找方法让您的应用更加安全。 例如,我们最近宣布的Advanced WAF(API 安全 - 新一代 WAF)比以往更进一步,提供了一流的应用安全性。 Advanced WAF(API 安全 - 新一代 WAF)将防御机器人(超越签名和信誉来阻止不断发展的自动攻击)、防止帐户接管(在应用层进行加密)并保护应用程序免受 DoS 攻击(使用机器学习和行为分析实现高精度)。
对于我们来说,与其他行业领导者合作也很重要,为我们的共同客户提供比我们任何一个人单独提供的更强大、更安全的解决方案。 WhiteHat Security就是这样一个合作伙伴。 WhiteHat 提供网站风险管理解决方案,保护数据、确保合规性并缩小风险窗口。 这些解决方案与 F5 的新Advanced WAF(API 安全 - 新一代 WAF)解决方案完美契合,扩展了组织保护客户和公司数据的能力。
我们的联合解决方案(见上图)使用 F5 开放 API 将Advanced WAF(API 安全 - 新一代 WAF)与 WhiteHat Sentinel 集成。 在这样的部署中,Sentinel 提供持续的动态扫描,并由威胁研究中心的专家团队提供支持,该团队会验证每个漏洞以几乎消除误报。 同时, Advanced WAF(API 安全 - 新一代 WAF)负责 WAF 保护和一系列可见性和报告功能。 通过精心集成, Advanced WAF(API 安全 - 新一代 WAF)使用 Sentinel 提供的智能来自动修补漏洞,通常是在代码修复可用之前。
结果:完整的端到端 Web应用安全性有助于确保持续的业务生产力并促进增长。
了解更多:
部署全面的 Webapplication安全计划– WhiteHat + F5 集成
选择 Webapplication防火墙时需要考虑的关键因素– F5 白皮书
您今天可以做什么来防止违规行为? – WhiteHat 技术洞察