下一代WAF应该往更智能化方向演进。
毫无疑问,在应对复杂多变的应用层攻击时,WAF产品作为抵御应用层攻击强有力的工具,依旧是众多企业用户的首选。然而,一方面攻击手段不断增加,另一方面,企业应用正变得越来越复杂,传统WAF要为企业应用提供防护也变得越来越力不从心。不少企业开始对WAF威胁识别的准确性、抵御攻击的能力感到失望。
从现有WAF产品的工作原理分析,不难发现,导致这一结果的根本原因,是当前传统WAF产品所采用的规则检测引擎和正则表达式匹配方式,面对现在复杂多变的Web应用攻击时,处理性能及攻击检测和拦截的方法上,存在明显的不足。
传统WAF防御引擎弊端突显
传统的WAF防御体系存在性能差、漏判、误判率高等特征。
传统规则引擎的弊端
1
全流量处理,设备存在极大的性能瓶颈
随着应用的不断丰富,网络中的应用层流量越来越多,而传统WAF设备在进行安全防御时,需要对全部流量进行安全检测,这种全流量检测模式就造成了WAF设备处理性能存在瓶颈问题的根本原因。全流量检测就是不管流量是好是坏,都需要设备对其进行拆包、还原、特征比对等,极大的消耗了设备性能。
2
业务内容无法有效解析、难以深入分析
黑客在发起应用层攻击时,传统WAF设备首先会对应用流量进行内容解析并还原,比如黑客攻击的是IIS、Apache、Weblogic等组件,WAF设备会依托于内容还原引擎去解析所有的组件的内容,识别攻击流量是否是针对该组件,业务内容解析及还原能力是否够强,直接影响应用层威胁的检测结果。在业务内容解析环境,WAF面临的最大的难度就是如何全面覆盖客户环境中异构的、不同版本的各种组件。
一般来说,用户环境中存在异构的、不同版本的各种组件。需要安全厂商进行持续的攻防研究与攻防演练,并持续更新迭代。然而不同厂商在业务内容还原的能力上参差不齐,这就导致了传统WAF设备无法有效保障服务器的组件能够被全部识别并被有效还原。当黑客针对性发起攻击时,就会存在被绕过的风险。
3
Web威胁无法精准识别、无法保证误报率和漏报率
WAF产品的误判和漏判情况,也是使用者普遍