尽管WAF现在已经成为了很多企业应用安全体系中的标配,但是很多企业对其表现却相当不满。
最近一份由Neustar International Security Council进行的调查发现,许多针对网站应用的攻击都绕过了WAF;而企业正在努力将这些WAF进行调整,从而能和整个企业的安全体系进行协同。这个调查结果进一步证明了一些分析师和研究人员在过去18个月中的想法:WAF的防护机制需要进一步演进,不能只是作为应用安全体系的“编外防御”。
这份调查发现,四成受访的安全相关人员表示,至少有一半针对他们的应用层攻击绕过了WAF;而有一成的人员甚至表示,超过90%的攻击可以轻松避开WAF防御。
另一方面,三分之一的专业人员声称,过去与12个月中,有50%的网络请求被标记为了误报。这和认为购买的WAF很难调和的企业比例相近;近30%的受访者表示他们很难将WAF策略调整对新型的应用层威胁进行防御;还有40%的组织认为很难将他们的WAF完全集成到其他应用安全体系或者更大的安全架构中。
这些结果对2019年Ponemon Institute的报告进行了肯定,该报告显示,60%的组织不满意他们购买的WAF产品。这份报告也发现了组织正在尽力对付和大量绕过WAF的应用层攻击,同时还要应对配置协同问题,以及高误报率问题。Ponemon Institute发现组织平均需要雇佣2.5个安全管理员,每人每周花45小时处理WAF告警,再花16小时给WAF写新的规则。
WAF漏了些什么?
这些报告中显现出的问题,无疑将会给WAF市场在可见的未来敲响警钟。
Forrester Research的首席分析师Sandy Carielli在今年春天对WAF的市场研究中表示:“企业希望能从WAF供应商中获得更多的协助,但是这些负面反馈则标志着除非供应商能快速进行改变,否则WAF市场会崩塌。”
Forrester的报告则显示,企业当前的WAF无法应对更大范围的应用层面攻击,尤其是客户端方面的攻击、基于API的攻击、以及机器人攻击。以API攻击为例,由于云架构使用的元数据API与webhook,造成有越来越多的服务器端请求伪造(server-side request forgery, SSRF)攻击得以有机会得手。
“WAF未必在线路上部署,从而对网站应用的对外HTTP请求进行监控。许多SaaS公司提供某些形态的webhook产品,从而代替用户进行http请求;这就使得SSRF攻击很难被辨别出来。”K2 Cyber Security的CTO兼联合创始人Jayant Shukla在今年早些时候,针对2019年的一起由SSRF攻击绕过WAF而引起的泄露事件,如是说到,“这些因素暴露出了WAF在应对SSRF攻击中最基本的局限性。”
WAF难以抵挡的应用安全之殇
许多专家相信,WAF的无力代表着整个应用安全的策略和执行上有系统性缺陷。举例而言,去年秋天Radware的研究认为,WAF和许多其他产品有同样的问题:企业将如何开发和修复软件,这一基础性的改变需求,全部依赖于一个单独的产品去解决。
多年以来,越来越多的组织在使用WAF作为应用安全的一环,在风险驱动的情况下持续提升安全态势。这些组织不是将WAF作为改进后的底线防御手段,而是作为一种前置防御的措施。但正如Neustar和Ponemon的研究显示,WAF的局限性在于,团队能多快创建规则防范新型攻击。
但从结果来看,企业对WAF不满意的很大原因,在于他们对WAF寄予了太多期望。事实上,部分专家认为,WAF应该只是减缓攻击速度,而团队需要及时修复代码。
Veracode的产品管理高级总监Tim Jarret表示:“就算你使用WAF,你也无法无限制地保护自己的产品不受攻击。因此,要合理地使用WAF给自己争取到的时间,发现自身应用的真正漏洞并且修复他们。”
关键词:WAF,应用安全
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。