亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

盡管WAF現(xiàn)在已經(jīng)成為了很多企業(yè)應(yīng)用安全體系中的標(biāo)配，但是很多企業(yè)對(duì)其表現(xiàn)卻相當(dāng)不滿。

最近一份由Neustar International Security Council進(jìn)行的調(diào)查發(fā)現(xiàn)，許多針對(duì)網(wǎng)站應(yīng)用的攻擊都繞過(guò)了WAF；而企業(yè)正在努力將這些WAF進(jìn)行調(diào)整，從而能和整個(gè)企業(yè)的安全體系進(jìn)行協(xié)同。這個(gè)調(diào)查結(jié)果進(jìn)一步證明了一些分析師和研究人員在過(guò)去18個(gè)月中的想法：WAF的防護(hù)機(jī)制需要進(jìn)一步演進(jìn)，不能只是作為應(yīng)用安全體系的“編外防御”。

這份調(diào)查發(fā)現(xiàn)，四成受訪的安全相關(guān)人員表示，至少有一半針對(duì)他們的應(yīng)用層攻擊繞過(guò)了WAF；而有一成的人員甚至表示，超過(guò)90%的攻擊可以輕松避開WAF防御。

另一方面，三分之一的專業(yè)人員聲稱，過(guò)去與12個(gè)月中，有50%的網(wǎng)絡(luò)請(qǐng)求被標(biāo)記為了誤報(bào)。這和認(rèn)為購(gòu)買的WAF很難調(diào)和的企業(yè)比例相近；近30%的受訪者表示他們很難將WAF策略調(diào)整對(duì)新型的應(yīng)用層威脅進(jìn)行防御；還有40%的組織認(rèn)為很難將他們的WAF完全集成到其他應(yīng)用安全體系或者更大的安全架構(gòu)中。

這些結(jié)果對(duì)2019年P(guān)onemon Institute的報(bào)告進(jìn)行了肯定，該報(bào)告顯示，60%的組織不滿意他們購(gòu)買的WAF產(chǎn)品。這份報(bào)告也發(fā)現(xiàn)了組織正在盡力對(duì)付和大量繞過(guò)WAF的應(yīng)用層攻擊，同時(shí)還要應(yīng)對(duì)配置協(xié)同問題，以及高誤報(bào)率問題。Ponemon Institute發(fā)現(xiàn)組織平均需要雇傭2.5個(gè)安全管理員，每人每周花45小時(shí)處理WAF告警，再花16小時(shí)給WAF寫新的規(guī)則。

WAF漏了些什么？

這些報(bào)告中顯現(xiàn)出的問題，無(wú)疑將會(huì)給WAF市場(chǎng)在可見的未來(lái)敲響警鐘。

Forrester Research的首席分析師Sandy Carielli在今年春天對(duì)WAF的市場(chǎng)研究中表示：“企業(yè)希望能從WAF供應(yīng)商中獲得更多的協(xié)助，但是這些負(fù)面反饋則標(biāo)志著除非供應(yīng)商能快速進(jìn)行改變，否則WAF市場(chǎng)會(huì)崩塌。”

Forrester的報(bào)告則顯示，企業(yè)當(dāng)前的WAF無(wú)法應(yīng)對(duì)更大范圍的應(yīng)用層面攻擊，尤其是客戶端方面的攻擊、基于API的攻擊、以及機(jī)器人攻擊。以API攻擊為例，由于云架構(gòu)使用的元數(shù)據(jù)API與webhook，造成有越來(lái)越多的服務(wù)器端請(qǐng)求偽造（server-side request forgery, SSRF）攻擊得以有機(jī)會(huì)得手。

“WAF未必在線路上部署，從而對(duì)網(wǎng)站應(yīng)用的對(duì)外HTTP請(qǐng)求進(jìn)行監(jiān)控。許多SaaS公司提供某些形態(tài)的webhook產(chǎn)品，從而代替用戶進(jìn)行http請(qǐng)求；這就使得SSRF攻擊很難被辨別出來(lái)。”K2 Cyber Security的CTO兼聯(lián)合創(chuàng)始人Jayant Shukla在今年早些時(shí)候，針對(duì)2019年的一起由SSRF攻擊繞過(guò)WAF而引起的泄露事件，如是說(shuō)到，“這些因素暴露出了WAF在應(yīng)對(duì)SSRF攻擊中最基本的局限性。”

WAF難以抵擋的應(yīng)用安全之殤

許多專家相信，WAF的無(wú)力代表著整個(gè)應(yīng)用安全的策略和執(zhí)行上有系統(tǒng)性缺陷。舉例而言，去年秋天Radware的研究認(rèn)為，WAF和許多其他產(chǎn)品有同樣的問題：企業(yè)將如何開發(fā)和修復(fù)軟件，這一基礎(chǔ)性的改變需求，全部依賴于一個(gè)單獨(dú)的產(chǎn)品去解決。

多年以來(lái)，越來(lái)越多的組織在使用WAF作為應(yīng)用安全的一環(huán)，在風(fēng)險(xiǎn)驅(qū)動(dòng)的情況下持續(xù)提升安全態(tài)勢(shì)。這些組織不是將WAF作為改進(jìn)后的底線防御手段，而是作為一種前置防御的措施。但正如Neustar和Ponemon的研究顯示，WAF的局限性在于，團(tuán)隊(duì)能多快創(chuàng)建規(guī)則防范新型攻擊。

但從結(jié)果來(lái)看，企業(yè)對(duì)WAF不滿意的很大原因，在于他們對(duì)WAF寄予了太多期望。事實(shí)上，部分專家認(rèn)為，WAF應(yīng)該只是減緩攻擊速度，而團(tuán)隊(duì)需要及時(shí)修復(fù)代碼。

Veracode的產(chǎn)品管理高級(jí)總監(jiān)Tim Jarret表示：“就算你使用WAF，你也無(wú)法無(wú)限制地保護(hù)自己的產(chǎn)品不受攻擊。因此，要合理地使用WAF給自己爭(zhēng)取到的時(shí)間，發(fā)現(xiàn)自身應(yīng)用的真正漏洞并且修復(fù)他們。”

轉(zhuǎn)載自：數(shù)世咨詢