隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展升級(jí)，越來(lái)越多服務(wù)于企業(yè)的應(yīng)用都架設(shè)在 Web 平臺(tái)上，這也讓網(wǎng)路攻擊者有機(jī)可乘，他們通過(guò) SQL 注入攻擊、XSS 攻擊以及各種新型攻擊手段控制 Web 服務(wù)器，給企業(yè)用戶帶來(lái)巨大的損失，因此，Web 應(yīng)用安全的防護(hù)越來(lái)越受到大家的關(guān)注。自動(dòng)化技術(shù)發(fā)展是把雙刃劍，它在為網(wǎng)絡(luò)安全防護(hù)帶來(lái)更多可能的同時(shí)，也讓攻擊手段不斷升級(jí)，這讓傳統(tǒng)的 Web 防護(hù)技術(shù)開(kāi)始失效，身份盜用、敏感信息被竊取等問(wèn)題層出不窮，企業(yè)用戶應(yīng)該采取怎樣的防護(hù)手段才能抵御層出不窮的自動(dòng)化攻擊類型？如何在滿足 Web 安全合規(guī)要求的同時(shí)，保證企業(yè)業(yè)務(wù)關(guān)鍵數(shù)據(jù)的安全、確保業(yè)務(wù)可以高效、安全、可靠的運(yùn)營(yíng)呢？帶著這些問(wèn)題，本次牛人訪談我們邀請(qǐng)到了通付盾的創(chuàng)始人汪德嘉，以 Web 應(yīng)用防火墻的智能化發(fā)展為切入點(diǎn)，就 Web 應(yīng)用安全防護(hù)的突破、挑戰(zhàn)、發(fā)展以及未來(lái)展望展開(kāi)討論。

　　01

　　Web應(yīng)用安全防護(hù)一直都是企業(yè)組織網(wǎng)絡(luò)安全管理中的重要組成部分，WAF產(chǎn)品在其中發(fā)揮的重要作用更是不言而喻，在網(wǎng)絡(luò)攻擊威脅加劇和行業(yè)迅速發(fā)展的今天，新一代WAF產(chǎn)品產(chǎn)生了哪些新變化？滿足了哪些新的市場(chǎng)需求？

　　汪德嘉：

　　據(jù)相關(guān)報(bào)告數(shù)據(jù)顯示，在邊界防護(hù)類設(shè)備中，87.7%的受訪者都部署了WAF產(chǎn)品，Web應(yīng)用防火墻當(dāng)仁不讓地位居第一位。而未來(lái)5年，WAF的市場(chǎng)將以10%-16%的速度持續(xù)增長(zhǎng)。總的來(lái)說(shuō)，WAF市場(chǎng)的增長(zhǎng)潛力仍在，從Gartner對(duì)當(dāng)前Web應(yīng)用安全狀況的調(diào)查來(lái)看，WAF仍然是用于保護(hù)Web應(yīng)用的最佳產(chǎn)品。但是，目前市場(chǎng)上很多WEB防火墻產(chǎn)品都是基于規(guī)則庫(kù)的攻擊檢測(cè)，應(yīng)用防護(hù)更新不及時(shí)，對(duì)非OWASP TOP10攻擊防護(hù)的響應(yīng)較慢。而且對(duì)于未知攻擊行為、違法業(yè)務(wù)邏輯操作、自動(dòng)化交易欺詐等，針對(duì)模擬合法操作的攻擊行為，無(wú)法建立規(guī)則，也就無(wú)法起到任何防護(hù)作用。

　　目前市場(chǎng)反饋?zhàn)钕Ｍ鸚AF增強(qiáng)的功能方面，頁(yè)面混淆、動(dòng)態(tài)防御和通過(guò)掃描器驗(yàn)證Web攻擊數(shù)據(jù)的有效性是幾大迫切的需求點(diǎn)，因此Web應(yīng)用防火墻的智能化發(fā)展是一個(gè)很好的應(yīng)對(duì)方案，智能化技術(shù)如動(dòng)態(tài)防御技術(shù)、風(fēng)險(xiǎn)決策功能等，能夠有效阻止未知攻擊、防護(hù)自動(dòng)化攻擊、防范業(yè)務(wù)欺詐風(fēng)險(xiǎn)和防止數(shù)據(jù)泄露風(fēng)險(xiǎn)等，同時(shí)將智能化技術(shù)引入Web應(yīng)用防火墻中可以解決傳統(tǒng)安全產(chǎn)品依賴于靜態(tài)防御和被動(dòng)防御下的安全能力不足，缺少主動(dòng)防御機(jī)制等問(wèn)題，因此智能Web應(yīng)用化防火墻產(chǎn)品市場(chǎng)發(fā)展前景較好。

　　02

　　據(jù)我了解，您上述的動(dòng)態(tài)防御和風(fēng)險(xiǎn)智能決策能力需要依賴于大量的樣本學(xué)習(xí)和強(qiáng)大的算力，智能化技術(shù)是如何與Web應(yīng)用防火墻相結(jié)合來(lái)實(shí)現(xiàn)這一功能的？又是如何實(shí)現(xiàn)對(duì)未知攻擊、防護(hù)自動(dòng)化攻擊等安全威脅的響應(yīng)處置的，請(qǐng)?jiān)斒觥?/p>

　　汪德嘉：

　　新一代WAF的動(dòng)態(tài)防御其實(shí)是通過(guò)動(dòng)態(tài)防護(hù)引擎實(shí)現(xiàn)的，動(dòng)態(tài)防護(hù)引擎具有動(dòng)態(tài)加密、動(dòng)態(tài)混淆和動(dòng)態(tài)變換的能力。即通過(guò)對(duì)服務(wù)器執(zhí)行腳本代碼的動(dòng)態(tài)變化，讓攻擊者無(wú)法讀取服務(wù)器的相關(guān)代碼，達(dá)到防護(hù)目的。舉個(gè)例子，當(dāng)攻擊者想要進(jìn)行網(wǎng)站訪問(wèn)時(shí)，首先要發(fā)起訪問(wèn)請(qǐng)求，然后才能掃描到網(wǎng)站上可能存在的漏洞，而動(dòng)態(tài)防御技術(shù)則是在訪問(wèn)之初就會(huì)對(duì)源代碼進(jìn)行混淆防護(hù)，降低可識(shí)別性，攻擊者更換不同設(shè)備，或使用同一設(shè)備在不同時(shí)間訪問(wèn)時(shí)，頁(yè)面所采取的加密算法都是不同的，從而使攻擊者無(wú)法獲得真正準(zhǔn)確的代碼。

　　這種防護(hù)手段對(duì)自動(dòng)化攻擊的防范效果是非常顯著的，當(dāng)然，智能化加密手段的引入，對(duì)WAF產(chǎn)品的性能要求更高，用戶可根據(jù)具體需求對(duì)關(guān)鍵頁(yè)面進(jìn)行加密動(dòng)態(tài)防御。

　　我們目前所說(shuō)的智能化決策能力，是指將Web應(yīng)用防火墻與特征庫(kù)相連，通過(guò)智能化學(xué)習(xí)技術(shù)，基于大數(shù)據(jù)庫(kù)中的攻擊模型進(jìn)行學(xué)習(xí)和識(shí)別，讓W(xué)eb應(yīng)用防火墻產(chǎn)品能夠?qū)Τ霈F(xiàn)的可疑風(fēng)險(xiǎn)進(jìn)行行為特征分析，并與特征庫(kù)中已有的攻擊模型進(jìn)行對(duì)比，當(dāng)然這個(gè)數(shù)據(jù)庫(kù)是根據(jù)用戶需求和行業(yè)發(fā)展而動(dòng)態(tài)更新的。

　　03

　　安全牛：“攻防對(duì)抗”這場(chǎng)拉鋸戰(zhàn)發(fā)展至今，攻防的關(guān)注重點(diǎn)已經(jīng)從“防得住”轉(zhuǎn)到“響應(yīng)快”上來(lái)了，Web應(yīng)用防火墻是如何通過(guò)智能化發(fā)展實(shí)現(xiàn)快速響應(yīng)的？

　　汪德嘉：

　　目前市場(chǎng)上很多Web應(yīng)用防火墻都是基于規(guī)則來(lái)對(duì)Web進(jìn)行安全防護(hù)的。其防護(hù)原理是每一次HTTP請(qǐng)求訪問(wèn)都會(huì)通過(guò)Web應(yīng)用防火墻進(jìn)行一系列的安全規(guī)則檢測(cè)，每次安全檢測(cè)都由一個(gè)或多個(gè)規(guī)則組成，如果安全檢測(cè)沒(méi)通過(guò)，訪問(wèn)就會(huì)被認(rèn)為是非法不安全的并被拒絕，因此基于規(guī)則的Web應(yīng)用防火墻就必須要由一個(gè)強(qiáng)大的規(guī)則庫(kù)來(lái)支撐這一系列的安全檢測(cè)。安全運(yùn)維人員和廠商人員都需要投入大量的時(shí)間精力維護(hù)和升級(jí)規(guī)則庫(kù)，以盡可能的包含更多和最新的規(guī)則特征庫(kù)。

　　而0 DAY漏洞正好鉆了傳統(tǒng)Web應(yīng)用防火墻的空子。由于0 DAY漏洞是沒(méi)有已知特征的，企業(yè)的WEB安全問(wèn)題只能寄希望于傳統(tǒng)Web應(yīng)用防火墻廠商的響應(yīng)處置能力。然而修復(fù)一個(gè)0 DAY漏洞，通常需要數(shù)天的時(shí)間；即使在Web應(yīng)用防火墻上配置新的防護(hù)規(guī)則，可能也要在零日漏洞曝出后的1-2天才能完成。從而形成了空窗期，對(duì)0 DAY漏洞威脅下的企業(yè)意味著什么，不言而喻。

　　智能化技術(shù)的引入，改變了傳統(tǒng)Web應(yīng)用防火墻對(duì)抗0 DAY漏洞的方式。它通過(guò)上述的動(dòng)態(tài)防護(hù)引擎，采用主動(dòng)式防護(hù)技術(shù)，并結(jié)合智能決策引擎和爬蟲(chóng)防護(hù)引擎等，通過(guò)多引擎并行處理技術(shù)，在不依賴規(guī)則的情況下對(duì)0 DAY漏洞攻擊進(jìn)行有效阻斷，實(shí)現(xiàn)快速響應(yīng)，防范于未然，實(shí)現(xiàn)“無(wú)規(guī)則、無(wú)空窗期、無(wú)需大量運(yùn)維”的需求。

　　04

　　智能化Web應(yīng)用類防火墻產(chǎn)品和市場(chǎng)上眾多廠商所提的下一代WAF防火墻有何區(qū)別？請(qǐng)您結(jié)合實(shí)際經(jīng)驗(yàn)詳述。

　　汪德嘉：

　　對(duì)比智能化Web應(yīng)用防火墻產(chǎn)品與傳統(tǒng)的WAF產(chǎn)品的區(qū)別，主要可以從產(chǎn)品技術(shù)和運(yùn)維投入兩個(gè)維度來(lái)進(jìn)行分析：

　　產(chǎn)品技術(shù)：智能化Web應(yīng)用類防火墻產(chǎn)品，其“智能”具體體現(xiàn)在動(dòng)態(tài)防御能力上，一般都具備動(dòng)態(tài)加密、動(dòng)態(tài)混淆、動(dòng)態(tài)變換等技術(shù)；其次是通過(guò)智能化技術(shù)手段，它能夠連通開(kāi)發(fā)者的動(dòng)態(tài)多維度情報(bào)庫(kù)，同時(shí)基于欺詐及攻擊風(fēng)險(xiǎn)威脅特征庫(kù)、大數(shù)據(jù)異常監(jiān)測(cè)模型，通過(guò)智能決策引擎技術(shù)，進(jìn)行快速的全域站點(diǎn)流量實(shí)時(shí)監(jiān)測(cè)分析和預(yù)警，及時(shí)阻斷風(fēng)險(xiǎn)訪問(wèn)；最后，自動(dòng)識(shí)別、生命周期管理、攻擊防護(hù)、動(dòng)態(tài)防護(hù)、名單管理等智能化技術(shù)的引入，能夠幫助Web應(yīng)用產(chǎn)品實(shí)現(xiàn)對(duì)API接口的風(fēng)險(xiǎn)感知和攻擊阻斷能力，進(jìn)一步保障Web站點(diǎn)的安全。

　　運(yùn)維投入：安全維護(hù)人員在部署傳統(tǒng)WAF的時(shí)候往往是“先愛(ài)后恨”，因?yàn)閭鹘y(tǒng)WAF在剛投入使用時(shí)，運(yùn)維人員為了達(dá)到較好的防護(hù)效果，投入了大量的精力對(duì)傳統(tǒng)WAF進(jìn)行規(guī)則配置和策略調(diào)優(yōu)，但隨著時(shí)間的推移，Web應(yīng)用不斷變化和攻擊手段的不斷增加，傳統(tǒng)WAF防護(hù)的效果會(huì)變得越來(lái)越差。如果想繼續(xù)提升防護(hù)效果，運(yùn)維人員就必須再協(xié)調(diào)廠商人員針對(duì)特定攻擊進(jìn)行分析并制定相應(yīng)規(guī)則，依然會(huì)花費(fèi)大量時(shí)間精力。但引入決策智能技術(shù)之后，Web應(yīng)用防火墻通過(guò)上述的動(dòng)態(tài)防御引擎等防護(hù)功能，即可對(duì)不斷增加和變化的新型Web攻擊進(jìn)行有效防護(hù)、攔截和阻斷，同時(shí)大大降低人員運(yùn)維成本。

　　05

　　智能化Web應(yīng)用類防火墻產(chǎn)品的實(shí)際應(yīng)用場(chǎng)景有哪些？在不同場(chǎng)景下，有哪些不同的能力表現(xiàn)？

　　汪德嘉：

　　智能化技術(shù)可以幫助Web應(yīng)用防護(hù)類產(chǎn)品支持更多場(chǎng)景，如自動(dòng)化攻擊、WEB應(yīng)用數(shù)據(jù)安全防護(hù)、0 DAY攻擊、防業(yè)務(wù)風(fēng)險(xiǎn)等等。0 DAY上述已經(jīng)提及，不再贅述。這里以自動(dòng)化攻擊和WEB應(yīng)用數(shù)據(jù)安全防護(hù)舉例說(shuō)明。

　　自動(dòng)化攻擊：自動(dòng)化攻擊是指利用自動(dòng)化腳本或工具模擬正常人的行為來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)攻擊的一種方式。Forrester報(bào)告顯示，由于當(dāng)前市面上的WAF方案無(wú)法處理更廣泛的應(yīng)用程序攻擊，特別是由機(jī)器人驅(qū)動(dòng)的自動(dòng)化攻擊，已經(jīng)讓企業(yè)用戶苦不堪言。智能化技術(shù)的引入能夠幫助Web應(yīng)用產(chǎn)品精準(zhǔn)定位和發(fā)現(xiàn)這種自動(dòng)化攻擊行為，同時(shí)還可以確保威脅判斷更加全面，風(fēng)險(xiǎn)阻斷更加智能。

　　WEB應(yīng)用數(shù)據(jù)安全防護(hù)：黑客經(jīng)常會(huì)對(duì)網(wǎng)站發(fā)起攻擊或滲透，對(duì)網(wǎng)站所包含的非公開(kāi)數(shù)據(jù)進(jìn)行非授權(quán)訪問(wèn)或非法操作，由此可能引發(fā)數(shù)據(jù)被竊取、仿冒和篡改等安全事件，給網(wǎng)站運(yùn)營(yíng)者、公眾用戶造成經(jīng)濟(jì)損失和名譽(yù)損失。隨著《數(shù)據(jù)安全法》的出臺(tái)，數(shù)據(jù)安全已被客戶重新定義，可以說(shuō)，沒(méi)有數(shù)據(jù)安全就沒(méi)有業(yè)務(wù)安全，所以數(shù)據(jù)安全防護(hù)也變得更為重要。動(dòng)態(tài)防護(hù)引擎和爬蟲(chóng)防護(hù)引擎等智能化技術(shù)，可以實(shí)現(xiàn)對(duì)網(wǎng)站的動(dòng)態(tài)加密、動(dòng)態(tài)混淆和防惡意爬蟲(chóng)等安全防護(hù)能力，有效防止網(wǎng)站數(shù)據(jù)被竊取、篡改和仿冒等安全事件的發(fā)生，大大減少網(wǎng)站數(shù)據(jù)泄露的安全風(fēng)險(xiǎn)。同時(shí)一些智能化Web應(yīng)用產(chǎn)品的反調(diào)試保護(hù)技術(shù)，能夠有效防止網(wǎng)站內(nèi)容被隨意復(fù)制、剪切和代碼調(diào)試，抑制了任意轉(zhuǎn)載、摘抄和引用，維護(hù)了網(wǎng)站信息內(nèi)容的權(quán)威性以及商業(yè)價(jià)值。

　　06

　　您認(rèn)為未來(lái)Web應(yīng)用防火墻的智能化發(fā)展還有哪些技術(shù)瓶頸需要突破？發(fā)展趨勢(shì)如何？

　　汪德嘉：

　　Web應(yīng)用防火墻的智能化發(fā)展需要突破的是高性能的AI人工智能算法。

　　當(dāng)前市場(chǎng)上的智能Web應(yīng)用防火墻，雖然部分已經(jīng)集成了AI智能業(yè)務(wù)反欺詐引擎，實(shí)現(xiàn)了智能業(yè)務(wù)反欺詐能力。但AI算法對(duì)算力要求較高。引擎工作時(shí)，會(huì)消耗大量計(jì)算資源，導(dǎo)致防火墻整體的業(yè)務(wù)處理性能出現(xiàn)下降。與此同時(shí)黑客們的攻擊手段也越來(lái)越緊跟時(shí)代潮流，他們也開(kāi)始使用AI工具進(jìn)行滲透動(dòng)作編排，企圖繞過(guò)防火墻的安全防護(hù)功能。

　　基于AI的攻擊與基于AI的防攻擊始終處于此消彼長(zhǎng)的交替演進(jìn)中。魔高一尺道高一丈，所以我認(rèn)為Web應(yīng)用防火墻的智能化發(fā)展，未來(lái)主要還是集中在不斷提升AI算法的效率、準(zhǔn)確度以及提升硬件算力兩大方向上。希望隨著各安全廠商的研發(fā)投入和行業(yè)技術(shù)發(fā)展，未來(lái)Web應(yīng)用防火墻的智能化水平能夠得到大幅度提升，為企業(yè)的Web應(yīng)用提供更穩(wěn)定的防護(hù)效果。

　　安全牛評(píng)

　　近年來(lái)隨著各類網(wǎng)站數(shù)量的大幅度增長(zhǎng)，網(wǎng)站的安全問(wèn)題愈發(fā)嚴(yán)峻，而大多數(shù)網(wǎng)站程序開(kāi)發(fā)者、網(wǎng)站維護(hù)人員對(duì)網(wǎng)站攻防技術(shù)的了解甚少，網(wǎng)站管理者需要合理可行的技術(shù)措施，提高網(wǎng)站的安全性，防范各種惡意攻擊。動(dòng)態(tài)防護(hù)引擎等智能化技術(shù)與WAF產(chǎn)品相結(jié)合，大大增加了攻擊者發(fā)現(xiàn)代碼漏洞的難度，引入AI算法進(jìn)行進(jìn)行智能決策，增加了威脅判斷的精確性。