“动态安全”和“主动防御”,无疑是近年安全行业的热词。对此,各家都有不同的解读和实现思路。两年前,以“动态安全”技术为核心亮相的瑞数信息,便是其中一家。这周二,以WAF为切入点,瑞数正式推出了第一款面向中小企业安全产品——双引擎动态WAF(River Safeplus),同时还开启了今年包括北、上、广、深等7个城市的渠道培训大会。
WAF在国内是一个相对成熟细分市场。无论是近乎全线的老牌厂商,还是创新技术见长的安全初创,都有涉及;作为客户的甲方,无论是合规或是需求驱动,也都至少有一台WAF类产品部署关键场景中。选择这时切入企业级WAF市场,目标客户还是中小企业,瑞数的自信来自哪里?此次发布的动态WAF,在能力上,和之前的“机器人防火墙”(Botgate)解决方案,又有哪些不同?
是企业战略 更是客户需求
去年,瑞数就以“机器人防火墙”这一产品为核心,发布过横跨应用安全和业务安全的解决方案,通过漏洞隐藏、反爬虫、威胁感知等方式,实现以动态安全技术为依托的主动防御。在Botgate这一方案中,对Web应用的安全防护,只是其中的部分内容。
在安全牛看来,动态安全技术,在瑞数的产品中所反应的能力,最突出的,是对机器人(bots)等自动化工具的识别。这些恶意的、来自工具的流量,无论是哪种攻击形式,或是对哪些漏洞的利用,他们的这个本质是不变的。据统计,全球42.2%的互联网流量不是由真实用户发起的;其中,恶意bot流量占到了21.8%,而且仍是在保持不断增长的趋势。
Gartner曾在其2017年的WAF魔力象限报告中指出,在保护企业Web应用的有效安全技术中,WAF在受调研者中的支持率居首位(73%),排在第二位的是应用安全测试(53%)。两年多项目和产品的打磨,以及和包括运营商,政府、金融机构,以及大型国企、互联网等企业客户的沟通交流,瑞数信息的首席战略官马蔚彦向安全牛记者表示,客户目前对WAF产品的需求,仍是非常强烈的。
瑞数信息首席战略官 马蔚彦
即使有些客户,已经部署了两个,甚至三个WAF,我们可以看到,还是达不到客户预期的效果。对WAF的采购预算,还在增加。他们需要在兼顾整体采购和运维成本的前提下,补充动态安全的重要能力。要想实现较好的效果,这也是有技术门槛的。对WAF厂商而言,如何在产品定位上不和现有的WAF产品相矛盾,而是增强,也是他们需要谨慎考虑的。而这款双引擎动态WAF,则是瑞数很自然的,动态安全能力在具体业务场景下的延伸。
中小企业 安全、简单是关键词
相较于之前的Botgate方案,这款动态WAF产品,针对全行业更具通用的应用安全场景补充了更多WAF的能力,削减了部分面向业务安全和对高级复杂攻击的动态安全能力,使动态安全引擎对于web应用安全的防御更加轻便。针对中小企业,在保障安全的前提下,简化运维、部署,才能降低其Web应用的综合防护成本。
能力定位上,这款动态WAF的重点,仍是突出动态安全在Web应用安全这一防护场景中的价值。五大突出能力包括:
1. 漏洞隐藏、防扫描
人少、活多、黑锅多,是安全运维人员普遍的工作现状。漏洞没有穷尽。如何有效阻止漏洞扫描或漏洞利用工具发起的自动化扫描探测(可利用的漏洞及网页目录结构),在网站补丁空窗期,降低攻击者发现、利用的概率,为网站的维护人员争取响应时间。这已是诸如政府、高校等有众多Web业务且站点受控后影响恶劣的机构的刚需。
2. 无规则防御
规则库、策略的更新,势必是滞后的。即使是有贯彻积极的漏洞管理,也会有百密一疏。更不要说,攻击者漏洞扫描和利用的高发期,零日漏洞攻击普遍是在漏洞曝光的前两天就已经开始。
如今,发起攻击的技术门槛正在降低,而攻击面却在不断扩大。依赖动态引擎的人机识别,以及动态令牌(不依赖设备特征的唯一标识)的生成和对客户端的动态验证,实现及时、主动,甚至是对零日漏洞的有效防护。
同时,不依赖规则的防御,可以有效简化运维,特别是针对自身安全实力不强的中小企业,在实现安全防护效果的同时,降低防护成本。
3. 应用层DDoS攻击流量发现
应用层的DDoS流量,具备使用分布式IP地址、间断性、低频,但是集中于某些业务的操作请求的特征。多源低频已成为攻击常态。以某一攻击为例,攻击IP总数超过11万,最大单一IP访问量占比却仅为0.09%。传统IP黑名单、限制访问频率等策略已经不现实。具备对由工具发起访问请求流量的有效识别能力,就显得尤为重要。
4. OWASP Top 10攻击
每年,由OWASP(开源Web应用程序安全项目)给出的十大Web应用安全威胁,对Web应用安全的防护工作极具指导意义。针对SQL注入、跨站脚本XSS、不安全的反序列化、含漏洞组件等攻击方式,做出针对性防护。这几乎成为WAF产品的标配需求,以满足合规。
5. AI智能威胁检测引擎:全日志记录+AI助力的分析溯源
基于动态安全引擎所获得的实时标识数据,AI智能威胁检测引擎可基于大数据分析技术,对客户端到服务器端所有的请求日志进行全访问记录,同时内置机器学习引擎的助力,对潜在和更加隐蔽的攻击行为进行更深层次的分析挖掘。
动态安全引擎所采集和标识的数据,相较于经常用于异常分析的流量,有更细的粒度和更少的噪音,在训练数据的质量上会有显著提升。这种内嵌的深度分析和溯源能力,也是此次区别传统WAF的重要特点所在。
安全牛评
瑞数信息之前更多的聚焦在大型客户的培养,以及拓展动态安全的应用场景。此次双引擎动态WAF的发布,在安全市场和场景上更为具体明确。产品层面,结合瑞数在动态安全的技术优势的同时,还引入了AI以加强其分析能力,并针对中小企业在定价和运维上进行了优化。虽然WAF市场已是红海,但未来,加上云的助力,以及各方面不断调优与深入,在诸如教育、医疗等行业,仍有很广泛的前景。
相关阅读
