今天,網(wǎng)站和 Web 應(yīng)用程序是根據(jù)用戶體驗來判斷的,這與用戶的時間、麻煩和成本以及所保證的安全和隱私水平成正比。因此,Web 應(yīng)用程序安全和WAF(Web 應(yīng)用程序防火墻)不再是奢侈品或“必備”商品;安全對于所有組織和WAF來說都是最重要的,是安全過程中不可或缺的一部分。
為什么調(diào)整 WAF 很重要?
要了解調(diào)整 Web 應(yīng)用程序防火墻的重要性,我們必須首先了解Web 應(yīng)用程序防火墻的工作原理。WAF 是邊緣的第一道防線,是應(yīng)用程序和 Web 流量之間的保護(hù)屏障。它的功能取決于稱為策略的特定規(guī)則集,這些規(guī)則告訴 WAF 要查找哪些漏洞、漏洞、攻擊行為、如果發(fā)現(xiàn)這些該怎么辦、如何保護(hù)應(yīng)用程序等。
因此,出于以下原因調(diào)整 WAF 很重要。
- 不同組織的業(yè)務(wù)需求和風(fēng)險狀況差異很大。因此,WAF 策略必須根據(jù)組織的這些特定需求和配置文件進(jìn)行定制和調(diào)整。
- 開發(fā)人員對代碼和應(yīng)用程?序功能進(jìn)行更改,并且需要為這些快節(jié)奏的更改配備 WAF。
- 隨著攻擊者利用技術(shù)資助新的和創(chuàng)新的方式來協(xié)調(diào)攻擊,威脅形勢正在迅速變化。
- 這些應(yīng)用程序建立在不同的 Web 開發(fā)框架上,每個框架都有其優(yōu)點和缺點。框架中的差距會影響應(yīng)用程序本身的安全級別,WAF的規(guī)則必須相應(yīng)調(diào)整。
- 已知只有 41% 的流量來自人類,其余的是機(jī)器人。調(diào)整 WAF 的策略和設(shè)置對于識別不良機(jī)器人和改善應(yīng)用程序的安全狀況至關(guān)重要。更重要的是,WAF 還應(yīng)該確保它不會阻止一個好的機(jī)器人(例如搜索引擎)
為什么調(diào)整 Web 應(yīng)用程序防火墻具有挑戰(zhàn)性?
部署 Web 應(yīng)用程序防火墻的最大難題是它必須阻止不良行為者、僵尸網(wǎng)絡(luò)和惡意流量訪問/窺探 Web 應(yīng)用程序,但在此過程中,它不能阻止合法流量訪問網(wǎng)站/Web 應(yīng)用程序。如果企業(yè)必須在可用性和安全性之間進(jìn)行權(quán)衡,他們很可能會選擇可用性,因為沒有可用性保護(hù)網(wǎng)站是沒有用的。確保 WAF 策略的設(shè)計不會出現(xiàn)任何誤報,這需要在應(yīng)用程序開發(fā)的整個生命周期中應(yīng)用程序團(tuán)隊和安全專家之間的特殊專業(yè)知識和協(xié)調(diào)工作。
隨著威脅形勢和攻擊性質(zhì)的快速變化,如果這組規(guī)則積極地與黑名單模型一起使用,可能的結(jié)果是大量誤報——有效請求被拒絕。這些誤報與部署 Web 應(yīng)用防火墻的邏輯和目的背道而馳。太多誤報表明 WAF 正在做與成功攻擊相同的事情,因此對使用它的企業(yè)會適得其反。Web 應(yīng)用防火墻及其規(guī)則必須定期定制和調(diào)整,以確保零誤報。AppTrana 提供智能 WAF,該 WAF 由與應(yīng)用程序團(tuán)隊合作的安全專家編寫的精確規(guī)則構(gòu)建,以確保 WAF 零誤報……
調(diào)整 Web 應(yīng)用程序防火墻的下一個挑戰(zhàn)來自開發(fā)人員更改代碼、添加和刪除功能以及向應(yīng)用程序引入更新的速度。如前所述,網(wǎng)站和 Web 應(yīng)用程序是由用戶根據(jù)用戶體驗而不是顏色和設(shè)計來判斷的。用戶期望應(yīng)用程序具有速度、敏捷性和安全性。以增長為導(dǎo)向的組織和開發(fā)人員努力使他們的應(yīng)用程序和用戶體驗與競爭對手保持一致或更前衛(wèi),以推動更多流量并確保更多轉(zhuǎn)化。因此,必須調(diào)整策略,以最大限度地減少對良好流量的開銷和性能影響
除了已知的漏洞之外,還有一些由特定于每個業(yè)務(wù)的業(yè)務(wù)邏輯缺陷引起的漏洞。還需要配置 WAF 策略來解決這些漏洞。為此,安全專家需要了解業(yè)務(wù)如何運作以及業(yè)務(wù)策略的變化將如何影響應(yīng)用程序。
由于缺乏安全人員可以用來調(diào)整規(guī)則的可見性、實時洞察力和安全分析,調(diào)整 Web 應(yīng)用程序防火墻也可能具有挑戰(zhàn)性。AppTrana 等綜合解決方案還提供手動筆測試,提供對業(yè)務(wù)邏輯缺陷的完整可見性,并提供 24×7 的風(fēng)險態(tài)勢可見性以及安全專家利用的安全分析和實時洞察力來定期調(diào)整 WAF確保安全解決方案有效的基礎(chǔ)。調(diào)整確保除了防止應(yīng)用程序受到攻擊和利用之外,它只允許后端應(yīng)用程序處理相關(guān)流量,并且它們不必為不相關(guān)的流量支付帶寬或在其日志中包含不相關(guān)數(shù)據(jù)的噪音。一個完全托管的因此,具有持續(xù)調(diào)整功能的Web 應(yīng)用程序防火墻可以被認(rèn)為是在確保核心業(yè)務(wù)免受攻擊的基礎(chǔ)上為核心業(yè)務(wù)提供優(yōu)化和敏捷性。
