為什么WAF越來越讓人失望?
隨著企業(yè)數字轉型和“安全上云”運動的開展,以及當下疫情加重的Web安全和應用安全焦慮,越來越多的企業(yè)開始考慮購買WAF或云WAF產品。但是,在“戰(zhàn)五渣?四大云WAF實戰(zhàn)測試險遭團滅”一文中,我們了解到即使是一些大牌云計算廠商的云WAF產品,在測試中的表現(xiàn)往往都讓人大跌眼鏡。
其實不僅僅是云WAF,根據最新的調查報告,WAF產品的有效性和客戶滿意度的表現(xiàn)越來越令人失望。雖然WAF已經成為是企業(yè)應用安全策略的主力產品,但事實是,大多數企業(yè)都難以充分利用此類產品。
六成企業(yè)對WAF不滿意
根據Neustar國際網絡安全委員會近期發(fā)布的調查報告,大量Web應用程序攻擊繞過了WAF,企業(yè)難以對其進行調整,并且WAF沒有很好地集成到更廣泛的安全功能中。這佐證了安全分析師和相關研究機構在過去18個月中提出的警告:WAF保護機制仍然需要進一步發(fā)展,并且不能成為應用安全計劃的唯一支柱。
根據Neustar的報告,有四成的安全專家報告說,在應用層攻擊,至少有一半的應用層攻擊最終繞過了WAF。更加令人吃驚的是,10%的用戶表示, 超過90%的攻擊都繞過了WAF。
同時,三分之一的安全專家反應,過去12個月中大約50%的網絡請求被WAF誤報。研究指出這是因為WAF的配置調優(yōu)對于相當比例的企業(yè)來說難度很大。大約30%的用戶表示他們很難修改WAF策略以防范新的應用層威脅。此外,40%的企業(yè)無法將其WAF完全集成到其他應用安全技術或更廣泛的安全功能中。
這些結果與Ponemon Institute于2019年進行的一項研究相呼應,該研究表明60%的企業(yè)對其WAF產品不滿意。該研究發(fā)現(xiàn),65%的受訪者表示應用程序層的攻擊經常或有時會繞過WAF,只有40%的用戶對WAF產品滿意。Ponemon Institute還發(fā)現(xiàn),平均每家企業(yè)雇用2.5名安全管理員,他們每周花費45個小時處理WAF警報,另外每周花費16個小時編寫WAF新規(guī)則。
WAF靠不住?
多個調查報告反映出的WAF可靠性和滿意度問題已經引起了業(yè)界分析公司的關注,這意味著WAF市場正面臨一次重大調整和變革。
Forrester Research的首席分析師Sandy Carielli表示:“根據Forrester今年春天對WAF市場的最新研究,很多企業(yè)希望WAF廠商提供更多的東西,如果廠商不盡快做出改變,那么WAF市場離崩盤就不遠了。”
Forrester報告顯示,由于當前的WAF方案無法處理更廣泛的應用程序攻擊,特別是客戶端攻擊、基于API的攻擊和由機器人驅動的攻擊,企業(yè)用戶已經苦不堪言。
例如,在API攻擊方面,針對云體系結構對元數據API和Webhooks的調用方式,服務器端請求偽造(SSRF)攻擊已經越來越猖獗。
“WAF不一定必須進行內聯(lián)部署以監(jiān)視Web應用程序的出站HTTP請求。許多SaaS公司都提供某種形式的Web hook產品,該產品可以代表用戶發(fā)出http請求,因此不容易與SSRF攻擊區(qū)分開來,”K2網絡安全的聯(lián)合創(chuàng)始人兼CTO Jayant Shukla認為,今年早些時候Capital One的數據泄露事件就始于SSRF攻擊,攻擊者正是利用了Capital One的WAF產品漏洞。“這些因素暴露了WAF在防御SSRF攻擊時存在嚴重缺陷。”
WAF的定位:只是應用安全的“創(chuàng)可貼”
許多專家認為,WAF面臨的困境表明當今企業(yè)的應用安全(AppSe)策略和執(zhí)行方面存在更多的系統(tǒng)缺陷。例如,去年秋天Radware進行的一項研究指出,WAF與RASP和代碼審查工具類似,屬于“意大利面條式”方法,企業(yè)原本想用這些產品解決問題,但發(fā)現(xiàn)這些產品同時也對企業(yè)的軟件開發(fā)和應用安全管理提出了更高的要求。
多年來,越來越多的企業(yè)將WAF作為應用安全的運營工具,基于風險驅動的優(yōu)先級來不斷改善軟件的安全性。他們對WAF的定位不是安全改進的支持工具,而是將其作為前線防御措施。正如Neustar和Ponemon的調查結果,這導致安全團隊疲于為WAF制定規(guī)則來挫敗新的攻擊技術。
企業(yè)用戶對WAF產品的滿意度持續(xù)下滑,還有一部分原因是企業(yè)對WAF的期望過高。只是將太多的希望寄托在他們身上。一些安全專家指出,WAF的準確定位應該是攻擊者的減速帶,為企業(yè)贏得更多修復代碼的時間, WAF不是“宙斯盾”,頂多算是干擾劑或近防炮而已。
Veracode產品管理高級總監(jiān)Tim Jarrett 表示:“如果您打算購買使用WAF,首先要清楚這玩意不會無限期保護您的產品不受攻擊。”“因此,請抓緊WAF為你爭取的修復時間窗口,找出漏洞在應用程序中的位置并盡快加以修復。”
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
