非智慧WAF,是時候轉身離場了

安恆雲發表於2021-11-29

開門見山,曾經紅極一時,被安全市場廣泛使用的非智慧WAF(基於正規表示式的waf)如今迎來了它黯然離場的時刻。

 

身為一名安全研發人員,敢下這樣的結論,當然要做到有理有據。

一、知己知彼,什麼是WAF?

Waf = Web Application Firewall ,web應用防火牆,簡單來說就是在http協議層面對我們的資料包進行檢測,如果發現了可能是帶有攻擊性的語句,就會進行攔截。

非智慧WAF攔截防護的難言之隱

非智慧WAF的防護機制是透過正規表示式的形式撰寫攔截規則,對攻擊者來說,一方面如果某些正規表示式被猜測出來,防禦將形同虛設;另一方面,繞過方式不勝列舉,同時還隱藏未知威脅,防禦效能大大降低,從而滋生各種安全風險以及不確定性:

Ø   存在大量誤報,導致正常業務無法正常使用

Ø   頻繁更新規則,導致規則集臃腫、檢測效率低下、安全運維成本增加

Ø   無法攔截未知威脅,資料遭竊取、被破壞

 

以上,是關於非智慧WAF日薄西山、氣息奄奄的論證。然而,加速它黯然離場的關鍵原因是:更強更好的替代者出現。它就是——智慧安全引擎。

 

智慧安全引擎,智慧+安全雙管齊下,是把資料和演算法結合的安全系統資料分析平臺。它以底層基礎資料為支撐,透過智慧演算法和專家規則,實現左手計算學習,右手檢測分析。

 

那些非智慧WAF無法做到的,它可以:

Ø   精確識別是正常業務還是惡意攻擊請求,大大降低安全運維成本

Ø   無需頻繁更新規則,極簡的智慧演算法,提升檢出效率,防止駭客繞過,讓未知威脅無所遁形,保護資料安全。

 

論點論據都有了,還有應用案例。舉個栗子:以安恆雲智慧安全引擎為例,我們來圍觀智慧安全引擎是如何秒殺非智慧WAF的。

二、安恆雲智慧安全引擎全解析

 1、模組組成

1)        智慧請求解析模組:包含啟發式引數型別解析和啟發式引數編碼解碼,能夠根據請求型別自動解析請求包 根據引數自動解碼

2)        智慧語法分析模組:依託原生態的語法語義實現,目前支援主流的語法型別的檢測

3)        智慧威脅攻擊攔截模組:透過基於AI的威脅檢測演算法,提高語法語義的準確度和攔截率

非智慧WAF,是時候轉身離場了

2、檢測原理

對於經過智慧安全引擎的資料流,首先會經過字元流的預處理,之後會進行詞法分析,透過詞法分析,nfa,dfa等技術轉化成待檢測資訊流,再而透過語法樹進行相關的語法分析,語義分析等一系列的檢測邏輯實現智慧識別語法語義的目的。

3、檢測型別

目前的智慧安全引擎支援檢測包括但不限於例如多種OWSAP列出的典型漏洞威脅

非智慧WAF,是時候轉身離場了     

三、智慧安全引擎的實踐力

安恆資訊現已將智慧安全引擎技術引入新版本玄武盾安全防護中,結合全維度資料,監測到新版本玄武盾安全防護能力在各方面均有大幅提升。

規則數量更精悍:規則總體數量方面能夠減少38%左右,大大減少了開發人員對非智慧正規表示式開發的依賴,大幅降低了運維成本。

檢出率飛昇:在部署了智慧安全引擎的各節點中,最高檢出佔當前節點總攔截比例的55%,最低也將近20%,效果可見一斑。

誤報率驟減:更為立竿見影的當屬誤報率和漏報率,對於SQL隱碼攻擊、XSS等型別的攻擊,攻擊特徵和繞過方式千奇百怪,正常網站的請求也是五花八門,靠單一正則匹配,無異於是蠡酌管窺,引入智慧安全引擎後,透過基於AI的威脅檢測演算法以及原生態的語法語義,根據生產環境實測,攻擊的攔截率幾乎可達99.99%,並且語義誤報率幾乎可以忽略。

 非智慧WAF,是時候轉身離場了

智慧安全引擎在安恆雲玄武盾雲防護中的應用是技術實現的第一步。透過對原子能力的持續打磨迭代,將最新、最可靠的安全技術將被注入更多解決方案中,不斷革新走在錯綜複雜的網路安全環境的最前方。


相關文章