连续两年提名Gartner《Web应用防火墙魔力象限》 长亭产品设计理念详解
作者:星期二, 九月 11, 20180

2018年8月28日,Gartner最新《Web应用防火墙魔力象限》报告发布,长亭科技作为创新技术WAF厂商再次提名。

报告指出,WAF领域无论从技术创新或市场格局都发生了很大的变化。至2020年,单独硬件部署的WAF在新部署WAF中占比将少于20%。

  • 2023年,超过30%的面向公众的网络应用将被WAAP保护,这也是Gartner在早些时候提出的一个概念,整合了DDoS/Bot mitigation/API protection/WAF的解决方案平台。
  • 2018年WAF市场总规模预计853百万美金,其中APAC 市场占比21.2%。

2016年,Gartner报告仍称四年未见WAF创新,市面产品仅停留在“足够好”阶段,而这数年的沉寂似乎只是WAF市场的一段酝酿期。

无论产品技术、功能、解决同类问题的可替代思路、单点功能表现突出……WAF格局都在持续产生强烈变化。最新魔力象限标准明确规定:WAF厂商不能仅仅提供基于开源再次打包或规则匹配的检测引擎技术。

网络应用安全关注剧增,更多企业利用面向大众的应用支持数字化商业,其中也包括API驱动的移动终端和IoT应用。据Verizon报告显示,2017年网络应用是排名第一的导向数据泄露的攻击方式。

就此机会分享下:8月24日安全牛CS8——WAF解决方案大会上,长亭科技产品总监李昌志发表的题为《高并发环境下的智能Web攻击检测》的演讲内容,详解基于语义分析的雷池(SafeLine)2.0版本的技术理念和研发过程

NGWAF2.0          

语义+集群+插件扩展    

精准   大流量   业务场景  

雷池(SafeLine)探索路径:

  • 2014年 基于语义分析的SQLChop引擎
  •  2015年 智能语义分析攻击检测引擎

Black Hat军械库展示研究成果

  • 2016年 发布雷池(SafeLine)
  • 2017年 获数百家企业认可
    提名《Web应用防火墙魔力象限》
  • 2018年 发布雷池(SafeLine)2.0
    形成长亭应用安全防护塔防体系
    提名《Web应用防火墙魔力象限》

传统的正则引擎只懂文本而不懂程序本身,存在着误报率过高、需要频繁更新规则、难以检测未知威胁等问题。

基于语义分析规则的原理则是在理解程序本身语言规范基础上,通过匹配攻击特征找到可疑流量以检测Web攻击。其检测的前提是程序语言本身具备规则定义的语义规范,典型的应用是针对数据库语言的SQL注入攻击检测,及针对JS语言的XSS攻击的攻击检测。

基于语义规则的WAF大大提升了检出能力,是对规则检测缺陷的进一步探索,由于引擎具备对语义的理解能力,当黑客对攻击语句做出回避式变形时,也能被语义分析引擎迅速解析理解。

其优势可总结为以下几点:

•    几乎没有误报•    无需手动维护规则•    支持深度递归解码•    能发现未知威胁

•    检测速度快

雷池(SafeLine)2.0的三大特点:

 1.  人工智能语义分析引擎:降低误报识别未知 

语义检测的价值之一在于即使是相同特征,能识别出在不同场景、语序下是恶意攻击还是正常请求。

在攻击手段越来越复杂和智能化的当下,雷池(SafeLine)的智能语义分析引擎取得了比规则匹配更好的检测能力。

雷池(SafeLine)智能语义分析引擎仿佛为WAF安装了一个大脑,其内置的多种算法可解决多种攻击类型,包括SQL注入攻击检测、XSS攻击检测、命令注入攻击检测、反序列化攻击检测、Webshell攻击检测,智能机器人检测……因此,长亭雷池(SafeLine)可以更好地解决误报、漏报、以及对未知威胁防御的问题。

 2. 稳定轻量的集群:轻松应对超大流量 

如今的网络环境中,不仅攻击手段更加多样化,企业本身也面临着网站规模变越来越大,业务需求越来越复杂的问题。

因此,长亭雷池(SafeLine)2.0增加了新的功能。为了应对大规模流量的情况,长亭给出了雷池集群方案:通过使用不同的集群部署,进行不同的任务,应对在大规模流量情况下的安全需求。雷池(SafeLine)的集群,具有不需要改变拓扑的轻量部署方式,可轻松水平扩展,支持多活和主备方案,稳定性强等特点。

如下图所示,雷池(SafeLine)支持多种部署方式,无论企业采用的是流量转发模式还是负载均衡模式,只需直接安装雷池(SafeLine)插件,无需改变拓扑结构,部署方式灵活

拓扑1:

 

拓扑2:
 3. 高度自定义:满足任意需求的可扩展性 

由于不同企业业务及用户类型不尽相同、业务场景复杂、团队运维流程千差万别,企业对WAF的使用也会有定制化的要求。传统的自定义方式仅仅基于黑名单与白名单的,很难满足多样化需求。

为了解决这一问题,雷池(SafeLine)一方面采用Open API,细化权限管理,开放所有功能;另一方面拥有功能齐备的插件平台,支持客户自己定制插件,满足特别的安全需求。

对于没有足够能力自己进行插件制作的用户,雷池(SafeLine)内置插件社区和插件市场,帮助用户找到匹配需求的插件;同时做到对其他平台提供数据支持,及时对接风控平台实时监控插件运行状态,并可实时阻断请求,确保不影响正常业务。

可解决的难题:

•    刷注册、刷评论、刷回复•    多维度定位羊毛党•    宏观Web流量及攻击分析•    为其他平台提供数据支持

•    对接风控平台,实时阻断请求

在Gartner的调研过程中,长亭科技的雷池(SafeLine)下一代Web应用防火墙用户对产品给出了以下评价:

Q:您最喜欢产品(或服务)的原因是什么?

A1:因为它使用了更先进的语义分析技术,能非常精准的识别出正常请求和攻击威胁,误报率很低。

A2:它的部署模式非常创新,可以在私有云上直接进行部署,同时解决了我们对轻量级和可定制化的双重需求。

Q:您为什么购买这个产品(或服务)?

A1:改善合规性和风险管理,帮助我们更好地达到政策和指引的规范。

A2:弥补传统WAF在检测未知威胁能力上的不足,提高安全业务流程的灵活性,从而改善对客户的服务。

Q:您之前考虑过其他公司的产品(或服务)吗?

A:考虑过别的WAF,但是通过测试对比发现,雷池(SafeLine)在大流量的情况下不会占用很多的CPU,而且能够保持很强的攻击检测能力,有效的防御SQL注入,命令注入和XSS。

Q:对于其他用户,您会给出一些建议吗?

传统的WAF依赖规则来检测攻击,这会导致很高误报率,而且维护起来非常困难。雷池(SafeLine)使用语义分析技术,非常便于使用,并且能够精准的防御未知威胁。所以我建议是时候放弃基于规则表达的传统WAF了。

Q:对于长亭的产品,您的部署需要多长时间?

A:部署很快。我们发现长亭的产品都非常灵活,在我们不同的网络环境和应用下可以任意选择其部署模式,所以我们的环境几乎不需要太多的改动就能完美融合。

Q:您多久使用一次这个产品(或服务)?

A:每天使用,因为效率很高检测很准,每天浏览已经成为了一种习惯,能帮助我们提前感知到威胁,同时又不会对业务造成其他影响。

Q:您对这个产品(或服务)有什么评价?

A:售后服务很好,有定期的产品检查和技术共享;反应的速度很快,应急响应一般在2小时内就会快速到位,1天就能解决问题。

Q:请您用三个关键词评价这个产品(或服务)?

A:技术全球领先、产品轻量灵活、服务省力省心

长亭科技在2016年全球首发了基于非规则的语义分析WAF,在两年前正则统领的WAF市场实属“少数派”,面对支持者寡而质疑声多的市场环境,踏实践行初衷理念,以用户的实际需求调整升级产品,服务了诸多金融和互联网典型客户。所幸这种坚持也得到了验证,WAF的创新成为势在必行的结果。长亭将持续倾听客户需求,让产品功能更贴合业务安全场景,并能继续成为将更多创新实际落地的安全公司。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章