訪談嘉賓:汪德嘉
記者:張安媛
分析師:王劍橋
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展升級(jí),越來(lái)越多服務(wù)于企業(yè)的應(yīng)用都架設(shè)在Web平臺(tái)上,這也讓網(wǎng)路攻擊者有機(jī)可乘,他們通過(guò)SQL注入攻擊、XSS攻擊以及各種新型攻擊手段控制Web服務(wù)器,給企業(yè)用戶帶來(lái)巨大的損失,因此,Web應(yīng)用安全的防護(hù)越來(lái)越受到大家的關(guān)注。自動(dòng)化技術(shù)發(fā)展是把雙刃劍,它在為網(wǎng)絡(luò)安全防護(hù)帶來(lái)更多可能的同時(shí),也讓攻擊手段不斷升級(jí),這讓傳統(tǒng)的Web防護(hù)技術(shù)開(kāi)始失效,身份盜用、敏感信息被竊取等問(wèn)題層出不窮,企業(yè)用戶應(yīng)該采取怎樣的防護(hù)手段才能抵御層出不窮的自動(dòng)化攻擊類(lèi)型?如何在滿足Web安全合規(guī)要求的同時(shí),保證企業(yè)業(yè)務(wù)關(guān)鍵數(shù)據(jù)的安全、確保業(yè)務(wù)可以高效、安全、可靠的運(yùn)營(yíng)呢?帶著這些問(wèn)題,本次牛人訪談我們邀請(qǐng)到了通付盾的創(chuàng)始人汪德嘉,以Web應(yīng)用防火墻的智能化發(fā)展為切入點(diǎn),就Web應(yīng)用安全防護(hù)的突破、挑戰(zhàn)、發(fā)展以及未來(lái)展望展開(kāi)討論。
訪談嘉賓
汪德嘉
通付盾創(chuàng)始人、時(shí)空碼發(fā)明者、《身份危機(jī)》與《數(shù)字身份》作者、九三學(xué)社社員。美國(guó)威斯康星大學(xué)數(shù)學(xué)博士、中國(guó)科學(xué)院軟件研究所理學(xué)碩士、中國(guó)科學(xué)技術(shù)大學(xué)概率統(tǒng)計(jì)學(xué)士。
汪德嘉博士擁有十余年國(guó)際知名軟件公司ORACLE、VISA、IBM等總體設(shè)計(jì)、產(chǎn)品開(kāi)發(fā)及管理經(jīng)驗(yàn),并在硅谷多次參與早期創(chuàng)業(yè)。2011年創(chuàng)立通付盾公司,擔(dān)任董事長(zhǎng)兼CEO。參與制定多項(xiàng)行業(yè)標(biāo)準(zhǔn),擁有百余項(xiàng)自主知識(shí)產(chǎn)權(quán)。
Q&A
01、Web應(yīng)用安全防護(hù)一直都是企業(yè)組織網(wǎng)絡(luò)安全管理中的重要組成部分,WAF產(chǎn)品在其中發(fā)揮的重要作用更是不言而喻,在網(wǎng)絡(luò)攻擊威脅加劇和行業(yè)迅速發(fā)展的今天,新一代WAF產(chǎn)品產(chǎn)生了哪些新變化?滿足了哪些新的市場(chǎng)需求?
汪德嘉:
據(jù)相關(guān)報(bào)告數(shù)據(jù)顯示,在邊界防護(hù)類(lèi)設(shè)備中,87.7%的受訪者都部署了WAF產(chǎn)品,Web應(yīng)用防火墻當(dāng)仁不讓地位居第一位。而未來(lái)5年,WAF的市場(chǎng)將以10%-16%的速度持續(xù)增長(zhǎng)??偟膩?lái)說(shuō),WAF市場(chǎng)的增長(zhǎng)潛力仍在,從Gartner對(duì)當(dāng)前Web應(yīng)用安全狀況的調(diào)查來(lái)看,WAF仍然是用于保護(hù)Web應(yīng)用的最佳產(chǎn)品。但是,目前市場(chǎng)上很多WEB防火墻產(chǎn)品都是基于規(guī)則庫(kù)的攻擊檢測(cè),應(yīng)用防護(hù)更新不及時(shí),對(duì)非OWASP TOP10攻擊防護(hù)的響應(yīng)較慢。而且對(duì)于未知攻擊行為、違法業(yè)務(wù)邏輯操作、自動(dòng)化交易欺詐等,針對(duì)模擬合法操作的攻擊行為,無(wú)法建立規(guī)則,也就無(wú)法起到任何防護(hù)作用。
目前市場(chǎng)反饋?zhàn)钕M鸚AF增強(qiáng)的功能方面,頁(yè)面混淆、動(dòng)態(tài)防御和通過(guò)掃描器驗(yàn)證Web攻擊數(shù)據(jù)的有效性是幾大迫切的需求點(diǎn),因此Web應(yīng)用防火墻的智能化發(fā)展是一個(gè)很好的應(yīng)對(duì)方案,智能化技術(shù)如動(dòng)態(tài)防御技術(shù)、風(fēng)險(xiǎn)決策功能等,能夠有效阻止未知攻擊、防護(hù)自動(dòng)化攻擊、防范業(yè)務(wù)欺詐風(fēng)險(xiǎn)和防止數(shù)據(jù)泄露風(fēng)險(xiǎn)等,同時(shí)將智能化技術(shù)引入Web應(yīng)用防火墻中可以解決傳統(tǒng)安全產(chǎn)品依賴于靜態(tài)防御和被動(dòng)防御下的安全能力不足,缺少主動(dòng)防御機(jī)制等問(wèn)題,因此智能Web應(yīng)用化防火墻產(chǎn)品市場(chǎng)發(fā)展前景較好。
02、據(jù)我了解,您上述的動(dòng)態(tài)防御和風(fēng)險(xiǎn)智能決策能力需要依賴于大量的樣本學(xué)習(xí)和強(qiáng)大的算力,智能化技術(shù)是如何與Web應(yīng)用防火墻相結(jié)合來(lái)實(shí)現(xiàn)這一功能的?又是如何實(shí)現(xiàn)對(duì)未知攻擊、防護(hù)自動(dòng)化攻擊等安全威脅的響應(yīng)處置的,請(qǐng)?jiān)斒觥?/strong>
汪德嘉:
新一代WAF的動(dòng)態(tài)防御其實(shí)是通過(guò)動(dòng)態(tài)防護(hù)引擎實(shí)現(xiàn)的,動(dòng)態(tài)防護(hù)引擎具有動(dòng)態(tài)加密、動(dòng)態(tài)混淆和動(dòng)態(tài)變換的能力。即通過(guò)對(duì)服務(wù)器執(zhí)行腳本代碼的動(dòng)態(tài)變化,讓攻擊者無(wú)法讀取服務(wù)器的相關(guān)代碼,達(dá)到防護(hù)目的。舉個(gè)例子,當(dāng)攻擊者想要進(jìn)行網(wǎng)站訪問(wèn)時(shí),首先要發(fā)起訪問(wèn)請(qǐng)求,然后才能掃描到網(wǎng)站上可能存在的漏洞,而動(dòng)態(tài)防御技術(shù)則是在訪問(wèn)之初就會(huì)對(duì)源代碼進(jìn)行混淆防護(hù),降低可識(shí)別性,攻擊者更換不同設(shè)備,或使用同一設(shè)備在不同時(shí)間訪問(wèn)時(shí),頁(yè)面所采取的加密算法都是不同的,從而使攻擊者無(wú)法獲得真正準(zhǔn)確的代碼。
這種防護(hù)手段對(duì)自動(dòng)化攻擊的防范效果是非常顯著的,當(dāng)然,智能化加密手段的引入,對(duì)WAF產(chǎn)品的性能要求更高,用戶可根據(jù)具體需求對(duì)關(guān)鍵頁(yè)面進(jìn)行加密動(dòng)態(tài)防御。
我們目前所說(shuō)的智能化決策能力,是指將Web應(yīng)用防火墻與特征庫(kù)相連,通過(guò)智能化學(xué)習(xí)技術(shù),基于大數(shù)據(jù)庫(kù)中的攻擊模型進(jìn)行學(xué)習(xí)和識(shí)別,讓W(xué)eb應(yīng)用防火墻產(chǎn)品能夠?qū)Τ霈F(xiàn)的可疑風(fēng)險(xiǎn)進(jìn)行行為特征分析,并與特征庫(kù)中已有的攻擊模型進(jìn)行對(duì)比,當(dāng)然這個(gè)數(shù)據(jù)庫(kù)是根據(jù)用戶需求和行業(yè)發(fā)展而動(dòng)態(tài)更新的。
03安全牛:“攻防對(duì)抗”這場(chǎng)拉鋸戰(zhàn)發(fā)展至今,攻防的關(guān)注重點(diǎn)已經(jīng)從“防得住”轉(zhuǎn)到“響應(yīng)快”上來(lái)了,Web應(yīng)用防火墻是如何通過(guò)智能化發(fā)展實(shí)現(xiàn)快速響應(yīng)的?
汪德嘉:
目前市場(chǎng)上很多Web應(yīng)用防火墻都是基于規(guī)則來(lái)對(duì)Web進(jìn)行安全防護(hù)的。其防護(hù)原理是每一次HTTP請(qǐng)求訪問(wèn)都會(huì)通過(guò)Web應(yīng)用防火墻進(jìn)行一系列的安全規(guī)則檢測(cè),每次安全檢測(cè)都由一個(gè)或多個(gè)規(guī)則組成,如果安全檢測(cè)沒(méi)通過(guò),訪問(wèn)就會(huì)被認(rèn)為是非法不安全的并被拒絕,因此基于規(guī)則的Web應(yīng)用防火墻就必須要由一個(gè)強(qiáng)大的規(guī)則庫(kù)來(lái)支撐這一系列的安全檢測(cè)。安全運(yùn)維人員和廠商人員都需要投入大量的時(shí)間精力維護(hù)和升級(jí)規(guī)則庫(kù),以盡可能的包含更多和最新的規(guī)則特征庫(kù)。
而0 DAY漏洞正好鉆了傳統(tǒng)Web應(yīng)用防火墻的空子。由于0 DAY漏洞是沒(méi)有已知特征的,企業(yè)的WEB安全問(wèn)題只能寄希望于傳統(tǒng)Web應(yīng)用防火墻廠商的響應(yīng)處置能力。然而修復(fù)一個(gè)0 DAY漏洞,通常需要數(shù)天的時(shí)間;即使在Web應(yīng)用防火墻上配置新的防護(hù)規(guī)則,可能也要在零日漏洞曝出后的1-2天才能完成。從而形成了空窗期,對(duì)0 DAY漏洞威脅下的企業(yè)意味著什么,不言而喻。
智能化技術(shù)的引入,改變了傳統(tǒng)Web應(yīng)用防火墻對(duì)抗0 DAY漏洞的方式。它通過(guò)上述的動(dòng)態(tài)防護(hù)引擎,采用主動(dòng)式防護(hù)技術(shù),并結(jié)合智能決策引擎和爬蟲(chóng)防護(hù)引擎等,通過(guò)多引擎并行處理技術(shù),在不依賴規(guī)則的情況下對(duì)0 DAY漏洞攻擊進(jìn)行有效阻斷,實(shí)現(xiàn)快速響應(yīng),防范于未然,實(shí)現(xiàn)“無(wú)規(guī)則、無(wú)空窗期、無(wú)需大量運(yùn)維”的需求。
04、智能化Web應(yīng)用類(lèi)防火墻產(chǎn)品和市場(chǎng)上眾多廠商所提的下一代WAF防火墻有何區(qū)別?請(qǐng)您結(jié)合實(shí)際經(jīng)驗(yàn)詳述。
汪德嘉:對(duì)比智能化Web應(yīng)用防火墻產(chǎn)品與傳統(tǒng)的WAF產(chǎn)品的區(qū)別,主要可以從產(chǎn)品技術(shù)和運(yùn)維投入兩個(gè)維度來(lái)進(jìn)行分析:
產(chǎn)品技術(shù):智能化Web應(yīng)用類(lèi)防火墻產(chǎn)品,其“智能”具體體現(xiàn)在動(dòng)態(tài)防御能力上,一般都具備動(dòng)態(tài)加密、動(dòng)態(tài)混淆、動(dòng)態(tài)變換等技術(shù);其次是通過(guò)智能化技術(shù)手段,它能夠連通開(kāi)發(fā)者的動(dòng)態(tài)多維度情報(bào)庫(kù),同時(shí)基于欺詐及攻擊風(fēng)險(xiǎn)威脅特征庫(kù)、大數(shù)據(jù)異常監(jiān)測(cè)模型,通過(guò)智能決策引擎技術(shù),進(jìn)行快速的全域站點(diǎn)流量實(shí)時(shí)監(jiān)測(cè)分析和預(yù)警,及時(shí)阻斷風(fēng)險(xiǎn)訪問(wèn);最后,自動(dòng)識(shí)別、生命周期管理、攻擊防護(hù)、動(dòng)態(tài)防護(hù)、名單管理等智能化技術(shù)的引入,能夠幫助Web應(yīng)用產(chǎn)品實(shí)現(xiàn)對(duì)API接口的風(fēng)險(xiǎn)感知和攻擊阻斷能力,進(jìn)一步保障Web站點(diǎn)的安全。
運(yùn)維投入:安全維護(hù)人員在部署傳統(tǒng)WAF的時(shí)候往往是“先愛(ài)后恨”,因?yàn)閭鹘y(tǒng)WAF在剛投入使用時(shí),運(yùn)維人員為了達(dá)到較好的防護(hù)效果,投入了大量的精力對(duì)傳統(tǒng)WAF進(jìn)行規(guī)則配置和策略調(diào)優(yōu),但隨著時(shí)間的推移,Web應(yīng)用不斷變化和攻擊手段的不斷增加,傳統(tǒng)WAF防護(hù)的效果會(huì)變得越來(lái)越差。如果想繼續(xù)提升防護(hù)效果,運(yùn)維人員就必須再協(xié)調(diào)廠商人員針對(duì)特定攻擊進(jìn)行分析并制定相應(yīng)規(guī)則,依然會(huì)花費(fèi)大量時(shí)間精力。但引入決策智能技術(shù)之后,Web應(yīng)用防火墻通過(guò)上述的動(dòng)態(tài)防御引擎等防護(hù)功能,即可對(duì)不斷增加和變化的新型Web攻擊進(jìn)行有效防護(hù)、攔截和阻斷,同時(shí)大大降低人員運(yùn)維成本。
05、智能化Web應(yīng)用類(lèi)防火墻產(chǎn)品的實(shí)際應(yīng)用場(chǎng)景有哪些?在不同場(chǎng)景下,有哪些不同的能力表現(xiàn)?
汪德嘉:
智能化技術(shù)可以幫助Web應(yīng)用防護(hù)類(lèi)產(chǎn)品支持更多場(chǎng)景,如自動(dòng)化攻擊、WEB應(yīng)用數(shù)據(jù)安全防護(hù)、0 DAY攻擊、防業(yè)務(wù)風(fēng)險(xiǎn)等等。0 DAY上述已經(jīng)提及,不再贅述。這里以自動(dòng)化攻擊和WEB應(yīng)用數(shù)據(jù)安全防護(hù)舉例說(shuō)明。
自動(dòng)化攻擊:自動(dòng)化攻擊是指利用自動(dòng)化腳本或工具模擬正常人的行為來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)攻擊的一種方式。Forrester報(bào)告顯示,由于當(dāng)前市面上的WAF方案無(wú)法處理更廣泛的應(yīng)用程序攻擊,特別是由機(jī)器人驅(qū)動(dòng)的自動(dòng)化攻擊,已經(jīng)讓企業(yè)用戶苦不堪言。智能化技術(shù)的引入能夠幫助Web應(yīng)用產(chǎn)品精準(zhǔn)定位和發(fā)現(xiàn)這種自動(dòng)化攻擊行為,同時(shí)還可以確保威脅判斷更加全面,風(fēng)險(xiǎn)阻斷更加智能。
WEB應(yīng)用數(shù)據(jù)安全防護(hù):黑客經(jīng)常會(huì)對(duì)網(wǎng)站發(fā)起攻擊或滲透,對(duì)網(wǎng)站所包含的非公開(kāi)數(shù)據(jù)進(jìn)行非授權(quán)訪問(wèn)或非法操作,由此可能引發(fā)數(shù)據(jù)被竊取、仿冒和篡改等安全事件,給網(wǎng)站運(yùn)營(yíng)者、公眾用戶造成經(jīng)濟(jì)損失和名譽(yù)損失。隨著《數(shù)據(jù)安全法》的出臺(tái),數(shù)據(jù)安全已被客戶重新定義,可以說(shuō),沒(méi)有數(shù)據(jù)安全就沒(méi)有業(yè)務(wù)安全,所以數(shù)據(jù)安全防護(hù)也變得更為重要。動(dòng)態(tài)防護(hù)引擎和爬蟲(chóng)防護(hù)引擎等智能化技術(shù),可以實(shí)現(xiàn)對(duì)網(wǎng)站的動(dòng)態(tài)加密、動(dòng)態(tài)混淆和防惡意爬蟲(chóng)等安全防護(hù)能力,有效防止網(wǎng)站數(shù)據(jù)被竊取、篡改和仿冒等安全事件的發(fā)生,大大減少網(wǎng)站數(shù)據(jù)泄露的安全風(fēng)險(xiǎn)。同時(shí)一些智能化Web應(yīng)用產(chǎn)品的反調(diào)試保護(hù)技術(shù),能夠有效防止網(wǎng)站內(nèi)容被隨意復(fù)制、剪切和代碼調(diào)試,抑制了任意轉(zhuǎn)載、摘抄和引用,維護(hù)了網(wǎng)站信息內(nèi)容的權(quán)威性以及商業(yè)價(jià)值。
06、您認(rèn)為未來(lái)Web應(yīng)用防火墻的智能化發(fā)展還有哪些技術(shù)瓶頸需要突破?發(fā)展趨勢(shì)如何?
汪德嘉:
Web應(yīng)用防火墻的智能化發(fā)展需要突破的是高性能的AI人工智能算法。
當(dāng)前市場(chǎng)上的智能Web應(yīng)用防火墻,雖然部分已經(jīng)集成了AI智能業(yè)務(wù)反欺詐引擎,實(shí)現(xiàn)了智能業(yè)務(wù)反欺詐能力。但AI算法對(duì)算力要求較高。引擎工作時(shí),會(huì)消耗大量計(jì)算資源,導(dǎo)致防火墻整體的業(yè)務(wù)處理性能出現(xiàn)下降。與此同時(shí)黑客們的攻擊手段也越來(lái)越緊跟時(shí)代潮流,他們也開(kāi)始使用AI工具進(jìn)行滲透動(dòng)作編排,企圖繞過(guò)防火墻的安全防護(hù)功能。
基于AI的攻擊與基于AI的防攻擊始終處于此消彼長(zhǎng)的交替演進(jìn)中。魔高一尺道高一丈,所以我認(rèn)為Web應(yīng)用防火墻的智能化發(fā)展,未來(lái)主要還是集中在不斷提升AI算法的效率、準(zhǔn)確度以及提升硬件算力兩大方向上。希望隨著各安全廠商的研發(fā)投入和行業(yè)技術(shù)發(fā)展,未來(lái)Web應(yīng)用防火墻的智能化水平能夠得到大幅度提升,為企業(yè)的Web應(yīng)用提供更穩(wěn)定的防護(hù)效果。
安全牛評(píng)
近年來(lái)隨著各類(lèi)網(wǎng)站數(shù)量的大幅度增長(zhǎng),網(wǎng)站的安全問(wèn)題愈發(fā)嚴(yán)峻,而大多數(shù)網(wǎng)站程序開(kāi)發(fā)者、網(wǎng)站維護(hù)人員對(duì)網(wǎng)站攻防技術(shù)的了解甚少,網(wǎng)站管理者需要合理可行的技術(shù)措施,提高網(wǎng)站的安全性,防范各種惡意攻擊。動(dòng)態(tài)防護(hù)引擎等智能化技術(shù)與WAF產(chǎn)品相結(jié)合,大大增加了攻擊者發(fā)現(xiàn)代碼漏洞的難度,引入AI算法進(jìn)行進(jìn)行智能決策,增加了威脅判斷的精確性。