專題一:【安天攻防演練專題】防守要點與解決方案專題五:【安天攻防演習專題】運用文件分析提升威脅發現
專題六:【安天攻防演練專題】構建欺騙式防禦
本期為【安天攻防演練專題】系列的第七期,將分享安天下一代 WAF 防護系統的 WEB 在線實時主動防禦能力,支撐用戶在攻防演練期間有效抵禦未知的 Web 攻擊、提高防護效率。
Web 應用防火牆( Web Application Firewall,簡稱:WAF )通常部署於 Web 網站前端,為目標網站提供在線實時的安全防護。WAF 對網站的 HTTP 流量進行解析,基於解析結果進行深度 Web 攻擊掃描,檢查流量數據中是否包含 XSS、SQL 注入、已知漏洞等相關 Web 攻擊特徵,對觸發安全策略的流量進行實時的告警和阻斷。
圖1 Web應用防火牆作用示意
WAF 在攻防演練中是一款不可或缺的 Web 安全防護設備,是保護 Web 服務器最重要的一道安全門。安天下一代 WAF 防護系統以積極防禦為安全理念,一改傳統 WAF 以特徵匹配為中心的設計思路,從用戶自身的網站安全出發,通過對網站關鍵業務、數據進行動態變形、封裝,結合網站代碼反調試保護和客戶端環境實時主動探測技術,以我為主對網站進行主動防護,能幫助用戶在演練期間化被動為主動。安天下一代 WAF 防護系統的四大產品價值,可有效支撐用戶擺脫傳統 WAF 在攻防演練中被動挨打的局面。
高速特徵關鍵字預匹配技術保證在超大流量下實現對特徵的全面檢測;特徵關聯匹配技術提供強大的特徵描述能力,支持對複雜行為特徵進行定義;完善的 Web 遞歸解碼引擎,有效應對攻防演練中的各種攻擊檢測規避技術。產品從上傳文件、RFI(Remote File Inclusion)攻擊防護、WebShell 指紋檢測、基於訪問授權的 WebShell 檢測等多個環節全方位檢測 WebShell ,可有效防止網站在演練期間遭受掛馬攻擊。通過 API 傳輸的數據類型通常為 JSON 或 XML 格式。產品針對該格式數據進行專門的解析,並基於解析的結果對數據格式與元素進行規範性檢查和攻擊特徵檢查。確保攻防演練過程中網站對外的 API 服務安全。從近年攻防演練趨勢來看,攻擊方越來越多地通過攻擊客戶端來間接完成最終對目標網站的滲透。客戶端瀏覽器安全功能通過插入相關瀏覽器安全屬性對客戶端進行安全加固,彌補用戶網絡安全環境短板,將 WAF 的安全防護能力延展到 Web 客戶端,從而提升用戶 Web 應用鏈的整體安全性。產品允許用戶關聯多種 HTTP 元素和變量來定義具有複雜邏輯的複合安全策略,應對演練期間不同場景下的安全需求,有效避免產品的定製開發。具體的產品支持的元素和變量包括 URL、參數、HTTP 頭部字段、請求資源類型、HTTP 返回碼、來源 IP、客戶端地理位置、用戶名、時間範圍、觸發頻度等。網頁防篡改功能能夠鎖定被保護的網站頁面,即使發生目標網站頁面被攻擊者篡改情況,依然能向用戶提供正常的頁面服務。網頁防篡改在攻防演練中能夠起到亡羊補牢的作用,最大限度消除網站漏洞帶來的負面影響。產品提供 IP 黑名單、Geo 訪問控制、URL 訪問控制、Host 訪問控制等多種 HTTP 訪問控制方式。在演練中能對攻擊來源進行高效的封堵。同時對外提供 RESTFul API 接口,實現與其它安全類產品的聯查、聯防。價值二:自學習快速創建安全策略、防禦 0Day 攻擊
自學習功能能夠自動分析、學習目標網站的流量,如網站拓撲結構、參數詳細信息、常用 HTTP 方法以及特徵誤報等。通過自學習,產品可以快速地生成擬合目標網站的最佳配置,極大地縮短了演練前期 WAF 部署、調試的周期,並大大提高了配置定義的準確度,規避了人工創建安全策略存在的弊端。自學習通過關聯「特徵檢測」可以在演練期間幫助用戶自動處理誤報,將用戶從繁雜的誤報處理工作中解放出來,着重應對、處理更為關鍵的安全問題。自學習經過對網站流量分析與統計,能夠學習業務參數的相關細節,並為業務參數創建基於白名單的規範策略。這種白名單機制的參數規範策略可以有效地應對 0Day 攻擊,阻斷帶有不符合預期參數規範的 HTTP 請求,使得攻擊者無法通過構造參數的內容來利用 0Day 漏洞。針對近年來攻防演練中不斷增多的 AI 和自動化相關工具的使用,產品從用戶業務安全加固、關鍵資源防護、業務代碼保護、客戶端環境主動探測及驗證等多個維度提供綜合的自動化攻擊防護解決方案。產品可以對用戶業務的各個環節進行安全加固,如註冊、登錄、查詢、下單等業務環節,有效地防範攻擊者利用自動化工具進行虛假業務交易、薅羊毛、賬號撞庫等活動。通過對用戶業務的安全加固增加了自動化工具的攻擊難度和成本,使得自動化工具無法簡單、直接地攻擊用戶的業務,攻擊者無法直接控制和構造業務參數和訪問令牌。產品通過對用戶業務 URL 進行加密、添加一次性訪問 Token、HTML 鏈接元素動態變形等技術對用戶的關鍵業務資源提供專門的防護,有效防止用戶業務資源被數據爬蟲竊取。產品通過在網站回應的頁面中插入環境探測腳本,對頁面最終運行的客戶端環境進行採樣、探測,搜集客戶端環境的各種參數和用戶事件,如瀏覽器版本、客戶端類型、用戶的鍵盤、鼠標事件等,綜合評判客戶端是否是真實的瀏覽器環境。產品具有機器人被動探測機制,通過在服務器回應的頁面中插入機器人誘餌,誘使機器人訪問,檢測惡意機器人客戶端。產品具有用戶代碼反調試防護能力,通過在用戶的代碼中插入反調試干擾指令,使得攻擊方無法對被保護的代碼進行跟蹤、調試。這種方式在演練期間增加了攻擊方的攻擊成本,保護網站的代碼邏輯不被攻擊方所破解。產品提供腳本挑戰和驗證碼的人機驗證方式。對於普通的自動化工具,由於其不是真實的瀏覽器,無法成功運行產品的挑戰腳本,無法通過驗證。這種腳本挑戰方式優點在於其過程對於終端用戶完全透明,不會影響用戶體驗。對於使用瀏覽器引擎(無頭瀏覽器)開發的高級自動化工具,通過驗證碼方式可以對其進行識別。該方式的優點在於即使安全策略出現誤報,只要用戶在輸入正確的驗證碼後依然能正常訪問網站業務。
用戶業務安全防護功能能夠抵禦攻防演練中針對用戶業務層面的攻擊。監控網站用戶的登錄過程,對用戶身份進行識別,將業務流量映射到具體的用戶。在用戶識別的基礎上,進一步跟蹤用戶的業務操作。對於用戶觸發的所有安全策略告警,產品都能對應到具體的用戶,這種能力使得產品具備從用戶業務的視角對安全事件進行調查、回溯。產品通過對用戶認證相關信息進行加密與重放保護,防止攻擊者對用戶認證相關信息進行篡改、竊取與重放,保證用戶認證信息的安全存儲與使用。當網站存在業務漏洞時,攻擊者可能利用該漏洞提升自身權限或訪問未授權的網站資源。產品密切監控業務用戶的權限狀態,實時檢測用戶權限狀態的異常變化,及時阻斷異常授權的訪問。基於產品的用戶身份識別和跟蹤能力,實現從用戶業務層面進行訪問控制,支持禁止某一用戶對特定業務的訪問控制。
下期為【安天攻防演練專題】系列的第八期,將分享在攻防演練期間如何幫助 WEB 業務系統擁有「威脅自免疫」能力,同時與傳統 WEB 網站安全防護產品協作,有效實現「雙重防護」。
留言列表