隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展升級，越來越多服務(wù)于企業(yè)的應(yīng)用都架設(shè)在 Web 平臺上，這也讓網(wǎng)路攻擊者有機可乘，他們通過 SQL 注入攻擊、XSS 攻擊以及各種新型攻擊手段控制 Web 服務(wù)器，給企業(yè)用戶帶來巨大的損失，因此，Web 應(yīng)用安全的防護越來越受到大家的關(guān)注。自動化技術(shù)發(fā)展是把雙刃劍，它在為網(wǎng)絡(luò)安全防護帶來更多可能的同時，也讓攻擊手段不斷升級，這讓傳統(tǒng)的 Web 防護技術(shù)開始失效，身份盜用、敏感信息被竊取等問題層出不窮，企業(yè)用戶應(yīng)該采取怎樣的防護手段才能抵御層出不窮的自動化攻擊類型？如何在滿足 Web 安全合規(guī)要求的同時，保證企業(yè)業(yè)務(wù)關(guān)鍵數(shù)據(jù)的安全、確保業(yè)務(wù)可以高效、安全、可靠的運營呢？帶著這些問題，本次牛人訪談我們邀請到了通付盾的創(chuàng)始人汪德嘉，以 Web 應(yīng)用防火墻的智能化發(fā)展為切入點，就 Web 應(yīng)用安全防護的突破、挑戰(zhàn)、發(fā)展以及未來展望展開討論。

　　01

　　Web應(yīng)用安全防護一直都是企業(yè)組織網(wǎng)絡(luò)安全管理中的重要組成部分，WAF產(chǎn)品在其中發(fā)揮的重要作用更是不言而喻，在網(wǎng)絡(luò)攻擊威脅加劇和行業(yè)迅速發(fā)展的今天，新一代WAF產(chǎn)品產(chǎn)生了哪些新變化？滿足了哪些新的市場需求？

　　汪德嘉：

　　據(jù)相關(guān)報告數(shù)據(jù)顯示，在邊界防護類設(shè)備中，87.7%的受訪者都部署了WAF產(chǎn)品，Web應(yīng)用防火墻當(dāng)仁不讓地位居第一位。而未來5年，WAF的市場將以10%-16%的速度持續(xù)增長。總的來說，WAF市場的增長潛力仍在，從Gartner對當(dāng)前Web應(yīng)用安全狀況的調(diào)查來看，WAF仍然是用于保護Web應(yīng)用的最佳產(chǎn)品。但是，目前市場上很多WEB防火墻產(chǎn)品都是基于規(guī)則庫的攻擊檢測，應(yīng)用防護更新不及時，對非OWASP TOP10攻擊防護的響應(yīng)較慢。而且對于未知攻擊行為、違法業(yè)務(wù)邏輯操作、自動化交易欺詐等，針對模擬合法操作的攻擊行為，無法建立規(guī)則，也就無法起到任何防護作用。

　　目前市場反饋最希望WAF增強的功能方面，頁面混淆、動態(tài)防御和通過掃描器驗證Web攻擊數(shù)據(jù)的有效性是幾大迫切的需求點，因此Web應(yīng)用防火墻的智能化發(fā)展是一個很好的應(yīng)對方案，智能化技術(shù)如動態(tài)防御技術(shù)、風(fēng)險決策功能等，能夠有效阻止未知攻擊、防護自動化攻擊、防范業(yè)務(wù)欺詐風(fēng)險和防止數(shù)據(jù)泄露風(fēng)險等，同時將智能化技術(shù)引入Web應(yīng)用防火墻中可以解決傳統(tǒng)安全產(chǎn)品依賴于靜態(tài)防御和被動防御下的安全能力不足，缺少主動防御機制等問題，因此智能Web應(yīng)用化防火墻產(chǎn)品市場發(fā)展前景較好。

　　02

　　據(jù)我了解，您上述的動態(tài)防御和風(fēng)險智能決策能力需要依賴于大量的樣本學(xué)習(xí)和強大的算力，智能化技術(shù)是如何與Web應(yīng)用防火墻相結(jié)合來實現(xiàn)這一功能的？又是如何實現(xiàn)對未知攻擊、防護自動化攻擊等安全威脅的響應(yīng)處置的，請詳述。

　　汪德嘉：

　　新一代WAF的動態(tài)防御其實是通過動態(tài)防護引擎實現(xiàn)的，動態(tài)防護引擎具有動態(tài)加密、動態(tài)混淆和動態(tài)變換的能力。即通過對服務(wù)器執(zhí)行腳本代碼的動態(tài)變化，讓攻擊者無法讀取服務(wù)器的相關(guān)代碼，達到防護目的。舉個例子，當(dāng)攻擊者想要進行網(wǎng)站訪問時，首先要發(fā)起訪問請求，然后才能掃描到網(wǎng)站上可能存在的漏洞，而動態(tài)防御技術(shù)則是在訪問之初就會對源代碼進行混淆防護，降低可識別性，攻擊者更換不同設(shè)備，或使用同一設(shè)備在不同時間訪問時，頁面所采取的加密算法都是不同的，從而使攻擊者無法獲得真正準(zhǔn)確的代碼。

　　這種防護手段對自動化攻擊的防范效果是非常顯著的，當(dāng)然，智能化加密手段的引入，對WAF產(chǎn)品的性能要求更高，用戶可根據(jù)具體需求對關(guān)鍵頁面進行加密動態(tài)防御。

　　我們目前所說的智能化決策能力，是指將Web應(yīng)用防火墻與特征庫相連，通過智能化學(xué)習(xí)技術(shù)，基于大數(shù)據(jù)庫中的攻擊模型進行學(xué)習(xí)和識別，讓W(xué)eb應(yīng)用防火墻產(chǎn)品能夠?qū)Τ霈F(xiàn)的可疑風(fēng)險進行行為特征分析，并與特征庫中已有的攻擊模型進行對比，當(dāng)然這個數(shù)據(jù)庫是根據(jù)用戶需求和行業(yè)發(fā)展而動態(tài)更新的。

　　03

　　安全牛：“攻防對抗”這場拉鋸戰(zhàn)發(fā)展至今，攻防的關(guān)注重點已經(jīng)從“防得住”轉(zhuǎn)到“響應(yīng)快”上來了，Web應(yīng)用防火墻是如何通過智能化發(fā)展實現(xiàn)快速響應(yīng)的？

　　汪德嘉：

　　目前市場上很多Web應(yīng)用防火墻都是基于規(guī)則來對Web進行安全防護的。其防護原理是每一次HTTP請求訪問都會通過Web應(yīng)用防火墻進行一系列的安全規(guī)則檢測，每次安全檢測都由一個或多個規(guī)則組成，如果安全檢測沒通過，訪問就會被認(rèn)為是非法不安全的并被拒絕，因此基于規(guī)則的Web應(yīng)用防火墻就必須要由一個強大的規(guī)則庫來支撐這一系列的安全檢測。安全運維人員和廠商人員都需要投入大量的時間精力維護和升級規(guī)則庫，以盡可能的包含更多和最新的規(guī)則特征庫。

　　而0 DAY漏洞正好鉆了傳統(tǒng)Web應(yīng)用防火墻的空子。由于0 DAY漏洞是沒有已知特征的，企業(yè)的WEB安全問題只能寄希望于傳統(tǒng)Web應(yīng)用防火墻廠商的響應(yīng)處置能力。然而修復(fù)一個0 DAY漏洞，通常需要數(shù)天的時間；即使在Web應(yīng)用防火墻上配置新的防護規(guī)則，可能也要在零日漏洞曝出后的1-2天才能完成。從而形成了空窗期，對0 DAY漏洞威脅下的企業(yè)意味著什么，不言而喻。

　　智能化技術(shù)的引入，改變了傳統(tǒng)Web應(yīng)用防火墻對抗0 DAY漏洞的方式。它通過上述的動態(tài)防護引擎，采用主動式防護技術(shù)，并結(jié)合智能決策引擎和爬蟲防護引擎等，通過多引擎并行處理技術(shù)，在不依賴規(guī)則的情況下對0 DAY漏洞攻擊進行有效阻斷，實現(xiàn)快速響應(yīng)，防范于未然，實現(xiàn)“無規(guī)則、無空窗期、無需大量運維”的需求。

　　04

　　智能化Web應(yīng)用類防火墻產(chǎn)品和市場上眾多廠商所提的下一代WAF防火墻有何區(qū)別？請您結(jié)合實際經(jīng)驗詳述。

　　汪德嘉：

　　對比智能化Web應(yīng)用防火墻產(chǎn)品與傳統(tǒng)的WAF產(chǎn)品的區(qū)別，主要可以從產(chǎn)品技術(shù)和運維投入兩個維度來進行分析：

　　產(chǎn)品技術(shù)：智能化Web應(yīng)用類防火墻產(chǎn)品，其“智能”具體體現(xiàn)在動態(tài)防御能力上，一般都具備動態(tài)加密、動態(tài)混淆、動態(tài)變換等技術(shù)；其次是通過智能化技術(shù)手段，它能夠連通開發(fā)者的動態(tài)多維度情報庫，同時基于欺詐及攻擊風(fēng)險威脅特征庫、大數(shù)據(jù)異常監(jiān)測模型，通過智能決策引擎技術(shù)，進行快速的全域站點流量實時監(jiān)測分析和預(yù)警，及時阻斷風(fēng)險訪問；最后，自動識別、生命周期管理、攻擊防護、動態(tài)防護、名單管理等智能化技術(shù)的引入，能夠幫助Web應(yīng)用產(chǎn)品實現(xiàn)對API接口的風(fēng)險感知和攻擊阻斷能力，進一步保障Web站點的安全。

　　運維投入：安全維護人員在部署傳統(tǒng)WAF的時候往往是“先愛后恨”，因為傳統(tǒng)WAF在剛投入使用時，運維人員為了達到較好的防護效果，投入了大量的精力對傳統(tǒng)WAF進行規(guī)則配置和策略調(diào)優(yōu)，但隨著時間的推移，Web應(yīng)用不斷變化和攻擊手段的不斷增加，傳統(tǒng)WAF防護的效果會變得越來越差。如果想繼續(xù)提升防護效果，運維人員就必須再協(xié)調(diào)廠商人員針對特定攻擊進行分析并制定相應(yīng)規(guī)則，依然會花費大量時間精力。但引入決策智能技術(shù)之后，Web應(yīng)用防火墻通過上述的動態(tài)防御引擎等防護功能，即可對不斷增加和變化的新型Web攻擊進行有效防護、攔截和阻斷，同時大大降低人員運維成本。

　　05

　　智能化Web應(yīng)用類防火墻產(chǎn)品的實際應(yīng)用場景有哪些？在不同場景下，有哪些不同的能力表現(xiàn)？

　　汪德嘉：

　　智能化技術(shù)可以幫助Web應(yīng)用防護類產(chǎn)品支持更多場景，如自動化攻擊、WEB應(yīng)用數(shù)據(jù)安全防護、0 DAY攻擊、防業(yè)務(wù)風(fēng)險等等。0 DAY上述已經(jīng)提及，不再贅述。這里以自動化攻擊和WEB應(yīng)用數(shù)據(jù)安全防護舉例說明。

　　自動化攻擊：自動化攻擊是指利用自動化腳本或工具模擬正常人的行為來實現(xiàn)網(wǎng)絡(luò)攻擊的一種方式。Forrester報告顯示，由于當(dāng)前市面上的WAF方案無法處理更廣泛的應(yīng)用程序攻擊，特別是由機器人驅(qū)動的自動化攻擊，已經(jīng)讓企業(yè)用戶苦不堪言。智能化技術(shù)的引入能夠幫助Web應(yīng)用產(chǎn)品精準(zhǔn)定位和發(fā)現(xiàn)這種自動化攻擊行為，同時還可以確保威脅判斷更加全面，風(fēng)險阻斷更加智能。

　　WEB應(yīng)用數(shù)據(jù)安全防護：黑客經(jīng)常會對網(wǎng)站發(fā)起攻擊或滲透，對網(wǎng)站所包含的非公開數(shù)據(jù)進行非授權(quán)訪問或非法操作，由此可能引發(fā)數(shù)據(jù)被竊取、仿冒和篡改等安全事件，給網(wǎng)站運營者、公眾用戶造成經(jīng)濟損失和名譽損失。隨著《數(shù)據(jù)安全法》的出臺，數(shù)據(jù)安全已被客戶重新定義，可以說，沒有數(shù)據(jù)安全就沒有業(yè)務(wù)安全，所以數(shù)據(jù)安全防護也變得更為重要。動態(tài)防護引擎和爬蟲防護引擎等智能化技術(shù)，可以實現(xiàn)對網(wǎng)站的動態(tài)加密、動態(tài)混淆和防惡意爬蟲等安全防護能力，有效防止網(wǎng)站數(shù)據(jù)被竊取、篡改和仿冒等安全事件的發(fā)生，大大減少網(wǎng)站數(shù)據(jù)泄露的安全風(fēng)險。同時一些智能化Web應(yīng)用產(chǎn)品的反調(diào)試保護技術(shù)，能夠有效防止網(wǎng)站內(nèi)容被隨意復(fù)制、剪切和代碼調(diào)試，抑制了任意轉(zhuǎn)載、摘抄和引用，維護了網(wǎng)站信息內(nèi)容的權(quán)威性以及商業(yè)價值。

　　06

　　您認(rèn)為未來Web應(yīng)用防火墻的智能化發(fā)展還有哪些技術(shù)瓶頸需要突破？發(fā)展趨勢如何？

　　汪德嘉：

　　Web應(yīng)用防火墻的智能化發(fā)展需要突破的是高性能的AI人工智能算法。

　　當(dāng)前市場上的智能Web應(yīng)用防火墻，雖然部分已經(jīng)集成了AI智能業(yè)務(wù)反欺詐引擎，實現(xiàn)了智能業(yè)務(wù)反欺詐能力。但AI算法對算力要求較高。引擎工作時，會消耗大量計算資源，導(dǎo)致防火墻整體的業(yè)務(wù)處理性能出現(xiàn)下降。與此同時黑客們的攻擊手段也越來越緊跟時代潮流，他們也開始使用AI工具進行滲透動作編排，企圖繞過防火墻的安全防護功能。

　　基于AI的攻擊與基于AI的防攻擊始終處于此消彼長的交替演進中。魔高一尺道高一丈，所以我認(rèn)為Web應(yīng)用防火墻的智能化發(fā)展，未來主要還是集中在不斷提升AI算法的效率、準(zhǔn)確度以及提升硬件算力兩大方向上。希望隨著各安全廠商的研發(fā)投入和行業(yè)技術(shù)發(fā)展，未來Web應(yīng)用防火墻的智能化水平能夠得到大幅度提升，為企業(yè)的Web應(yīng)用提供更穩(wěn)定的防護效果。

　　安全牛評

　　近年來隨著各類網(wǎng)站數(shù)量的大幅度增長，網(wǎng)站的安全問題愈發(fā)嚴(yán)峻，而大多數(shù)網(wǎng)站程序開發(fā)者、網(wǎng)站維護人員對網(wǎng)站攻防技術(shù)的了解甚少，網(wǎng)站管理者需要合理可行的技術(shù)措施，提高網(wǎng)站的安全性，防范各種惡意攻擊。動態(tài)防護引擎等智能化技術(shù)與WAF產(chǎn)品相結(jié)合，大大增加了攻擊者發(fā)現(xiàn)代碼漏洞的難度，引入AI算法進行進行智能決策，增加了威脅判斷的精確性。