近年来,针对Web应用的攻击已成为企业面临的主要安全问题之一。Gartner的数据显示,网络安全攻击有75%都是发生在Web应用层而非网络层面上,约2/3的Web站点都相当脆弱,易受攻击。而WAF(Web Application Firewall,即Web应用防火墙),是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
通常来说,WAF承担了抵御常见Web攻击的作用,是大多数互联网公司Web防御体系中最重要的一环,像一名尽职的保安,作为第一道防线守护业务的安全。2020年,市面上提供WAF方案的厂商依然很多,WAF仍是大多数企业用户部署的必选项。
国内企业的Web安全现状如何?使用WAF解决方案时有何困惑?期望后续的产品增强哪方面的能力?本报告将通过现场走访、资料整合及问卷调查的形式,对国内近百家企业的WAF使用情况进行对比分析,总结国内WAF产品的基本现状,并尝试对其发展趋势进行评估和预测,为企业安全建设提供有效参考。
国内 WAF 产品现状分析
企业Web业务系统面临的安全问题主要有以下几个方面:
1、开发时期遗留问题
由于Web应用程序的编写人员,在编程的过程中没有考虑到安全的因素,使得黑客能够利用这些漏洞发起对网站的攻击,比如SQL注入、跨站脚本攻击等。
2、Web中间件漏洞问题
Web系统包括底层的操作系统和Web业务常用的发布系统(如IIS、Apache),这些系统本身存在诸多的安全漏洞,利用好这些漏洞,可以给入侵者可乘之机。
3、运维管理中的问题
业务系统中由于管理的问题也存在诸多安全隐患,如弱口令嗅探、备份文件泄露,.git文件泄露等等,导致黑客、病毒可以利用这些缺陷对网站进行攻击。
4、破坏手段多样问题
Web系统所处的环境的网络安全状况也影响着Web系统的安全,比如网络中存在的DDoS攻击,或者存在感染病毒木马的终端,给黑客提供可利用的跳板等,这些内网自身的安全问题同样会影响到Web系统的稳定运行。
遭受Web攻击往往会导致页面被篡改、业务瘫痪、用户数据泄露等严重问题,对企业的经济利益及声誉造成重大损害。纵观近年来的重大网络安全事件,也不难发现上到政府单位、跨国巨头,下到普通企业及个人用户,都可能遭遇网络攻击,且从以上案例来看,事后处置的代价,无一例外都远远高于事前防护的成本:
2017年5月,全球爆发大规模勒索软件WannaCry攻击事件,超过30万台电脑受到攻击,波及包括英国、俄罗斯、中国、美国等在内的150个国家,涉及能源、电力、交通、医疗、教育等多个重点行业领域;
2018年2月,韩国平昌冬奥会开幕式当天遭遇黑客攻击,此次攻击造成网络中断,广播系统和奥运会官网均无法正常运作,许多观众无法打印开幕式门票,最终未能正常入场;
2018年3月,Facebook数据泄露,8700多万用户数据被贩卖。数天后,Facebook股价大跌,市值蒸发360亿美元;
2019年2月,湖南某医院遭遇勒索攻击,导致大批患者滞留,无法正常就医;
2019年3月,委内瑞拉发生包括首都加拉加斯在内的18个州范围的电力中断,持续超过24小时,导致地铁无法运行和大规模的交通拥堵,加拉加斯机场、医院、移动网络等基础设施均受到极大影响;
2019年6月,美国《纽约时报》爆料称,美政府官员承认,早在2012年就已在俄罗斯电网中植入病毒程序,可随时发起网络攻击。报道随即引发相关国家的高度关注和国际舆论的广泛猜测
政策法规层面,自2017年6月1日以来,《中华人民共和国网络安全法》实施两年有余,其明确规定单位或个人建立、运营网站,有义务保证网站运行正常,网络安全法中指出等级保护工作的核心内容包括关键信息基础设施的安全保护义务(第三十四条 运营者设置专门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等)和敏感信息保护(第三十七条 境内收集产生的个人信息和重要数据应当在境内存储。确需向境外提供的,应进行安全评估)。
如果网站运营者重视不足,未使用合理的防护手段,一旦网站被入侵,可能造成业务瘫痪、数据泄露、散播出不良言论等恶性事件。如果发生此类情况,相关单位、责任人需承担相应的法律责任,其执法行为已走向常态,执法案例比比皆是,将对企业的运行和声誉造成极大的负面影响。
综上所述,无论是面临越来越严格的监管要求,还是应对日益严重的安全威胁,企业部署WAF作为Web安全防护手段不仅必要,且十分紧迫。
综合国内多款主流WAF产品介绍及实地考察研究,其使用场景主要有:
1、精准访问控制
明确定义和限制信息系统用户能够对资源执行的访问操作,因此可以有效提供对信息资源的机密性和完整性保护。
2、Web漏洞攻击防护
恶意访问者通过SQL注入、XSS、远程命令执行等手段,入侵网站数据库,窃取业务数据或其他敏感信息。
3、CC攻击防护
网站被发起大量的恶意请求,长时间占用核心资源,导致网站业务响应缓慢或无法正常提供服务。
4、0day漏洞缓解
第三方框架或插件爆发0day漏洞时,需要通过下发虚拟补丁,第一时间防护由漏洞可能产生的攻击。
综合以上来看,一款合格的WAF通常应具备以下功能:
1、HTTP、HTTPS协议的解析和过滤,如协议不同版本的识别和解析、协议参数长度限制等;
2、各类Web攻击防护,如:SQL注入、XSS跨站、CSRF、网页后门等;
3、各类自动化攻击防护,如:暴力破解、撞库、批量注册、自动发贴等;
4、阻止其它常见威胁,如:爬虫、0day攻击、代码分析、嗅探、数据篡改、越权访问、敏感信息泄漏、应用层DDoS、远程恶意包含、盗链、越权、扫描等;
5、其他管理与审计,如安全配置、日志分析、报表与统计功能等。
国内企业WAF产品现状调查
通过对国内近百家大中型企业的调查走访,我们得以窥视国内企业WAF产品的部署及使用现状。
1、IT基础设施
企业的IT基础设施就像一个大舞台,舞台布置好了,演员们才可以在上面进行表演(信息化应用)。目前主流的IT基础设施一般来说有以下几种构建方式:
自建机房的占比最高,达到38.6%;其次有32.9%的企业将业务部署在公有云;部署在IDC机房的占比为25.7%;另外,还有2.8%的企业的IT基础架构部署在混合云或私有云。
2、边界防护设备部署情况
由于信息系统自身的复杂性、网络的广泛可接入性等因素,系统面临日益增多的安全威胁,安全问题日益突出。边界防护作为企业最关键的网络安全防护手段之一在国内得到了非常广泛的应用,本报告的核心⸺WAF产品也是典型的边界防护设备。下面就让我们来看一下受访企业中都部署了哪些边界防护设备。
受访企业中,Web应用防火墙当仁不让地位居第一位,87.7%的受访者都部署了WAF产品;第二和第三位分别是入侵检测/防护及传统硬件防火墙产品,占比分别为75.5%和61.2%。
3、WAF的分类
WAF产品从部署形式上来说,大致可以分为硬件型、软件型、云WAF三个大类。
① 硬件型
硬件型WAF以一个独立的硬件设备的形态存在,支持以多种方式(如透明桥接模式、旁路模式、反向代理等)部署到网络中为后端的Web应用提供安全防护,是最为传统的WAF型态,在受访企业中部署占比为35.2%。相对于软件产品类的WAF,这类产品的优点是性能好、功能全面、支持多种模式部署等,但它的价格通常比较贵。国内的绿盟、安恒、启明星辰等老牌厂商旗下的WAF都属于此类。
② 软件型
这种类型的WAF采用纯软件的方式实现,特点是安装简单,容易使用,成本低。但它的缺点也是显而易见的,除了性能受到限制外,还可能会存在兼容性、安全等问题。这类WAF的代表有ModSecurity、Naxsi、ShareWAF、安全狗等。
③ 云WAF
随着云计算技术的快速发展,使得基于云的WAF实现成为可能,在本次调查中占比甚至超过了传统的硬件WAF跃升为第一位,达到39.4%。阿里云、腾讯云、深信服云WAF、Imperva WAF是这类WAF的典型代表。
部署与使用
WAF产品从部署形式上来说,大致可以分为硬件型、软件型、云WAF三个大类。
1、部署WAF
使用WAF的第一步是部署。WAF部署总的一个思路是,让用户访问到达网站之前,先经过WAF,让WAF识别、拦截恶意访问、攻击。
WAF的部署模式有三种:反向代理、透明代理、旁路。常用的是反向、透明两种模式,因为旁路只有监听功能,不能对访问进行拦截、没有防护能力,因此使用的较少。
① 反向代理
反向代理模式下,将WAF部署在了服务器之前,用户访问时,不知道服务器的的具体存在,会直接访问到WAF,如果是恶意请求或攻击,访问会被直接拦截,正常的访问WAF才会向服务器转发请求。这是最常见的一种部署模式。
② 透明代理
通常只有硬件WAF才会部署为透明代理。透明代理模式下,用户访问时不知道WAF的存在,访问会直接指向真实服务器,但流量到达服务器之前,会隐性地被WAF过滤,只有正常的访问才会被放行到服务器,恶意的访问、攻击都会被拦截。
以上只是简单的原理性说明,实际情况下,很多时候网络结构会复杂很多,具体将WAF部署在网络中的什么位置,需根据自己情况而定。
2、使用与调试
WAF部署成功后,准备开始使用了。正式使用之前,还有一个配置、调试、测试的过程。
对于传统WAF而言,需要大量的设置、调整规则。如果规则配置不当,可能会出现误报,影响业务系统正常运作;可能会漏报,不能很好的起到防护作用。云WAF则相对简单很多,将云WAF绑定到虚拟主机,然后通过控制台设置页面,开启WAF开关即可。
调试、测试全部完成,部署就完成了,WAF就可以开始真正的保护网站安全运行。
2.5 趋势与展望
WAF依然是目前抵御Web应用攻击的大头:受访者中大部分企业用户都部署了WAF。但是从调查结果来看,越来越多的企业对WAF的防御检出有效度、影响业务性能、高昂的维护成本等问题并不满意。
被问到WAF产品在后续开发中应增强哪些能力时,18.5%的企业认为业务安全防护能力首当其冲;16.6%的企业认为WAF产品应该增强情报能力;除此之外,上下文理解能力、AI能力、协同能力、语义分析能力、审计举证能力等也是受访企业的关注焦点。
功能方面,集成和共享威胁情报库是受访企业最为迫切需求点,其次是针对企业定向攻击事件的分析和通过扫描器验证Web攻击数据的有效性。
此外,81.8%的受访企业开启了拦截功能,未开启的原因则包含担心误报、怕影响业务、怕误杀、尚未上线等。
总的来说,WAF市场的增长潜力仍在,从Gartner对当前Web应用安全状况的调查来看,WAF仍然是用于保护Web应用的最佳产品。与此同时,新兴的WAF产品市场也充满了挑战:
1、传统 WAF 厂商针对非 OWASP Top 10 攻击防护的响应较慢,尤其那些专注 API 和更复杂的攻击,比如证书填充、应用逻辑漏洞的利用。
2、越来越多企业正在从实体WAF设备转向采用获取服务的方式:包括传统的托管服务、私有云、IaaS部署的虚拟设备,还有基于云的SaaS订阅方案。
到2022年,硬件WAF占新部署产品的比例将不到10%,如今的比例是30%。
3、越来越多的WAF厂商开始提供额外的解决方案⸺如应用层DDoS防护、bot缓解,甚至还可能包括CDN之类的非安全功能,Gartner将这种新生的融合方案称作WAAP。
他们预测称,到2023年,超过30%的Web应用程序和API将受到WAAP服务的保护,这个数字如今只有10%。
4、很多厂商开始着力于WAF更为复杂的分析能力、自动化的调整机制。
国内主流 WAF 产品名录
通常来说,WAF承担了抵御常见Web攻击的作用,是大多数互联网公司Web防御体系中最重要的一环,像一名尽职的保安,作为第一道防线守护业务的安全。2020年,市面上提供WAF方案的厂商依然很多,WAF仍是大多数企业用户部署的必选项。
国内企业的Web安全现状如何?使用WAF解决方案时有何困惑?期望后续的产品增强哪方面的能力?本报告将通过现场走访、资料整合及问卷调查的形式,对国内近百家企业的WAF使用情况进行对比分析,总结国内WAF产品的基本现状,并尝试对其发展趋势进行评估和预测,为企业安全建设提供有效参考。
国内 WAF 产品现状分析
企业Web业务系统面临的安全问题主要有以下几个方面:
1、开发时期遗留问题
由于Web应用程序的编写人员,在编程的过程中没有考虑到安全的因素,使得黑客能够利用这些漏洞发起对网站的攻击,比如SQL注入、跨站脚本攻击等。
2、Web中间件漏洞问题
Web系统包括底层的操作系统和Web业务常用的发布系统(如IIS、Apache),这些系统本身存在诸多的安全漏洞,利用好这些漏洞,可以给入侵者可乘之机。
3、运维管理中的问题
业务系统中由于管理的问题也存在诸多安全隐患,如弱口令嗅探、备份文件泄露,.git文件泄露等等,导致黑客、病毒可以利用这些缺陷对网站进行攻击。
4、破坏手段多样问题
Web系统所处的环境的网络安全状况也影响着Web系统的安全,比如网络中存在的DDoS攻击,或者存在感染病毒木马的终端,给黑客提供可利用的跳板等,这些内网自身的安全问题同样会影响到Web系统的稳定运行。
遭受Web攻击往往会导致页面被篡改、业务瘫痪、用户数据泄露等严重问题,对企业的经济利益及声誉造成重大损害。纵观近年来的重大网络安全事件,也不难发现上到政府单位、跨国巨头,下到普通企业及个人用户,都可能遭遇网络攻击,且从以上案例来看,事后处置的代价,无一例外都远远高于事前防护的成本:
2017年5月,全球爆发大规模勒索软件WannaCry攻击事件,超过30万台电脑受到攻击,波及包括英国、俄罗斯、中国、美国等在内的150个国家,涉及能源、电力、交通、医疗、教育等多个重点行业领域;
2018年2月,韩国平昌冬奥会开幕式当天遭遇黑客攻击,此次攻击造成网络中断,广播系统和奥运会官网均无法正常运作,许多观众无法打印开幕式门票,最终未能正常入场;
2018年3月,Facebook数据泄露,8700多万用户数据被贩卖。数天后,Facebook股价大跌,市值蒸发360亿美元;
2019年2月,湖南某医院遭遇勒索攻击,导致大批患者滞留,无法正常就医;
2019年3月,委内瑞拉发生包括首都加拉加斯在内的18个州范围的电力中断,持续超过24小时,导致地铁无法运行和大规模的交通拥堵,加拉加斯机场、医院、移动网络等基础设施均受到极大影响;
2019年6月,美国《纽约时报》爆料称,美政府官员承认,早在2012年就已在俄罗斯电网中植入病毒程序,可随时发起网络攻击。报道随即引发相关国家的高度关注和国际舆论的广泛猜测
政策法规层面,自2017年6月1日以来,《中华人民共和国网络安全法》实施两年有余,其明确规定单位或个人建立、运营网站,有义务保证网站运行正常,网络安全法中指出等级保护工作的核心内容包括关键信息基础设施的安全保护义务(第三十四条 运营者设置专门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等)和敏感信息保护(第三十七条 境内收集产生的个人信息和重要数据应当在境内存储。确需向境外提供的,应进行安全评估)。
如果网站运营者重视不足,未使用合理的防护手段,一旦网站被入侵,可能造成业务瘫痪、数据泄露、散播出不良言论等恶性事件。如果发生此类情况,相关单位、责任人需承担相应的法律责任,其执法行为已走向常态,执法案例比比皆是,将对企业的运行和声誉造成极大的负面影响。
综上所述,无论是面临越来越严格的监管要求,还是应对日益严重的安全威胁,企业部署WAF作为Web安全防护手段不仅必要,且十分紧迫。
综合国内多款主流WAF产品介绍及实地考察研究,其使用场景主要有:
1、精准访问控制
明确定义和限制信息系统用户能够对资源执行的访问操作,因此可以有效提供对信息资源的机密性和完整性保护。
2、Web漏洞攻击防护
恶意访问者通过SQL注入、XSS、远程命令执行等手段,入侵网站数据库,窃取业务数据或其他敏感信息。
3、CC攻击防护
网站被发起大量的恶意请求,长时间占用核心资源,导致网站业务响应缓慢或无法正常提供服务。
4、0day漏洞缓解
第三方框架或插件爆发0day漏洞时,需要通过下发虚拟补丁,第一时间防护由漏洞可能产生的攻击。
综合以上来看,一款合格的WAF通常应具备以下功能:
1、HTTP、HTTPS协议的解析和过滤,如协议不同版本的识别和解析、协议参数长度限制等;
2、各类Web攻击防护,如:SQL注入、XSS跨站、CSRF、网页后门等;
3、各类自动化攻击防护,如:暴力破解、撞库、批量注册、自动发贴等;
4、阻止其它常见威胁,如:爬虫、0day攻击、代码分析、嗅探、数据篡改、越权访问、敏感信息泄漏、应用层DDoS、远程恶意包含、盗链、越权、扫描等;
5、其他管理与审计,如安全配置、日志分析、报表与统计功能等。
国内企业WAF产品现状调查
通过对国内近百家大中型企业的调查走访,我们得以窥视国内企业WAF产品的部署及使用现状。
1、IT基础设施
企业的IT基础设施就像一个大舞台,舞台布置好了,演员们才可以在上面进行表演(信息化应用)。目前主流的IT基础设施一般来说有以下几种构建方式:
自建机房的占比最高,达到38.6%;其次有32.9%的企业将业务部署在公有云;部署在IDC机房的占比为25.7%;另外,还有2.8%的企业的IT基础架构部署在混合云或私有云。
2、边界防护设备部署情况
由于信息系统自身的复杂性、网络的广泛可接入性等因素,系统面临日益增多的安全威胁,安全问题日益突出。边界防护作为企业最关键的网络安全防护手段之一在国内得到了非常广泛的应用,本报告的核心⸺WAF产品也是典型的边界防护设备。下面就让我们来看一下受访企业中都部署了哪些边界防护设备。
受访企业中,Web应用防火墙当仁不让地位居第一位,87.7%的受访者都部署了WAF产品;第二和第三位分别是入侵检测/防护及传统硬件防火墙产品,占比分别为75.5%和61.2%。
3、WAF的分类
WAF产品从部署形式上来说,大致可以分为硬件型、软件型、云WAF三个大类。
① 硬件型
硬件型WAF以一个独立的硬件设备的形态存在,支持以多种方式(如透明桥接模式、旁路模式、反向代理等)部署到网络中为后端的Web应用提供安全防护,是最为传统的WAF型态,在受访企业中部署占比为35.2%。相对于软件产品类的WAF,这类产品的优点是性能好、功能全面、支持多种模式部署等,但它的价格通常比较贵。国内的绿盟、安恒、启明星辰等老牌厂商旗下的WAF都属于此类。
② 软件型
这种类型的WAF采用纯软件的方式实现,特点是安装简单,容易使用,成本低。但它的缺点也是显而易见的,除了性能受到限制外,还可能会存在兼容性、安全等问题。这类WAF的代表有ModSecurity、Naxsi、ShareWAF、安全狗等。
③ 云WAF
随着云计算技术的快速发展,使得基于云的WAF实现成为可能,在本次调查中占比甚至超过了传统的硬件WAF跃升为第一位,达到39.4%。阿里云、腾讯云、深信服云WAF、Imperva WAF是这类WAF的典型代表。
部署与使用
WAF产品从部署形式上来说,大致可以分为硬件型、软件型、云WAF三个大类。
1、部署WAF
使用WAF的第一步是部署。WAF部署总的一个思路是,让用户访问到达网站之前,先经过WAF,让WAF识别、拦截恶意访问、攻击。
WAF的部署模式有三种:反向代理、透明代理、旁路。常用的是反向、透明两种模式,因为旁路只有监听功能,不能对访问进行拦截、没有防护能力,因此使用的较少。
① 反向代理
反向代理模式下,将WAF部署在了服务器之前,用户访问时,不知道服务器的的具体存在,会直接访问到WAF,如果是恶意请求或攻击,访问会被直接拦截,正常的访问WAF才会向服务器转发请求。这是最常见的一种部署模式。
② 透明代理
通常只有硬件WAF才会部署为透明代理。透明代理模式下,用户访问时不知道WAF的存在,访问会直接指向真实服务器,但流量到达服务器之前,会隐性地被WAF过滤,只有正常的访问才会被放行到服务器,恶意的访问、攻击都会被拦截。
以上只是简单的原理性说明,实际情况下,很多时候网络结构会复杂很多,具体将WAF部署在网络中的什么位置,需根据自己情况而定。
2、使用与调试
WAF部署成功后,准备开始使用了。正式使用之前,还有一个配置、调试、测试的过程。
对于传统WAF而言,需要大量的设置、调整规则。如果规则配置不当,可能会出现误报,影响业务系统正常运作;可能会漏报,不能很好的起到防护作用。云WAF则相对简单很多,将云WAF绑定到虚拟主机,然后通过控制台设置页面,开启WAF开关即可。
调试、测试全部完成,部署就完成了,WAF就可以开始真正的保护网站安全运行。
2.5 趋势与展望
WAF依然是目前抵御Web应用攻击的大头:受访者中大部分企业用户都部署了WAF。但是从调查结果来看,越来越多的企业对WAF的防御检出有效度、影响业务性能、高昂的维护成本等问题并不满意。
被问到WAF产品在后续开发中应增强哪些能力时,18.5%的企业认为业务安全防护能力首当其冲;16.6%的企业认为WAF产品应该增强情报能力;除此之外,上下文理解能力、AI能力、协同能力、语义分析能力、审计举证能力等也是受访企业的关注焦点。
功能方面,集成和共享威胁情报库是受访企业最为迫切需求点,其次是针对企业定向攻击事件的分析和通过扫描器验证Web攻击数据的有效性。
此外,81.8%的受访企业开启了拦截功能,未开启的原因则包含担心误报、怕影响业务、怕误杀、尚未上线等。
总的来说,WAF市场的增长潜力仍在,从Gartner对当前Web应用安全状况的调查来看,WAF仍然是用于保护Web应用的最佳产品。与此同时,新兴的WAF产品市场也充满了挑战:
1、传统 WAF 厂商针对非 OWASP Top 10 攻击防护的响应较慢,尤其那些专注 API 和更复杂的攻击,比如证书填充、应用逻辑漏洞的利用。
2、越来越多企业正在从实体WAF设备转向采用获取服务的方式:包括传统的托管服务、私有云、IaaS部署的虚拟设备,还有基于云的SaaS订阅方案。
到2022年,硬件WAF占新部署产品的比例将不到10%,如今的比例是30%。
3、越来越多的WAF厂商开始提供额外的解决方案⸺如应用层DDoS防护、bot缓解,甚至还可能包括CDN之类的非安全功能,Gartner将这种新生的融合方案称作WAAP。
他们预测称,到2023年,超过30%的Web应用程序和API将受到WAAP服务的保护,这个数字如今只有10%。
4、很多厂商开始着力于WAF更为复杂的分析能力、自动化的调整机制。
国内主流 WAF 产品名录
责任编辑:倪迎春