欧美日韩中文字幕综合-欧美日韩一区二区三区四区蜜桃视频-国精产品一区一区三区mba·-99热这里只有精品一区二区三区-久久久久久成人av-日韩成人在线大片-日韩精品中文在线视频-欧美日韩一二三区免费播放-亚洲av三级在线播放,亚洲av爽爽淫人网,熟女av在线资源,久久99热这里只有精品66

數(shù)字經(jīng)濟的安全基石

申請試用

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2020 > 正文

Web攻防對抗|防御零日漏洞,安恒新一代WAF穩(wěn)坐釣魚臺

閱讀量:

未知攻,焉知防。

在Web攻防對抗的戰(zhàn)場上,

0day作為一類不為人知的秘密武器,

可以說是進攻方的王牌殺手锏!

那么,什么是0day?

又應(yīng)如何防范呢?

?

未知威脅——0day

0day漏洞,又稱“零日漏洞”(zero-day),是已經(jīng)被發(fā)現(xiàn)但尚未被公開,官方還沒有相關(guān)補丁或無有效應(yīng)對手段的漏洞。

通俗地講就是,除了漏洞發(fā)現(xiàn)者,沒有其他的人知道這個漏洞的存在,并且這個漏洞可以有效地加以利用,發(fā)起的攻擊往往具有很大的突發(fā)性與破壞性,防不勝防!

從理論上講,每一個稍具規(guī)模的應(yīng)用軟件都會存在漏洞,0day也必然存在,區(qū)別只是尚未發(fā)現(xiàn)而已。

在實踐中,已被廣泛應(yīng)用的Web系統(tǒng),由于其開放性,互聯(lián)網(wǎng)內(nèi)任意用戶都可以對其進行訪問或攻擊,來自未知的潛在威脅更加嚴重。那么,我們應(yīng)該如何防護呢?

?

傳統(tǒng)Web 0day防護手段

針對Web攻擊防護主要以Web應(yīng)用防火墻(簡稱WAF)為主。傳統(tǒng)的防護手段分為基于已有規(guī)則防護與事后升級規(guī)則庫應(yīng)對兩種方式。

1、基于已有規(guī)則防護

針對新爆發(fā)的0day漏洞,通過 WAF已有規(guī)則對攻擊進行檢測識別。此種方式有效識別的關(guān)鍵在于,新的0day漏洞利用攻擊的攻擊特征與規(guī)則庫中已有特征吻合,進而能夠有效識別。然而,由于0day的突發(fā)與未知性,已有規(guī)則庫能夠有效檢出的概率較低,其0day檢出率一般在9%左右,故此種方式針對性不強,時效性相對較強。

2、事后升級規(guī)則庫

針對新爆發(fā)的0day漏洞,WAF廠家通過攻擊行為分析提取相關(guān)特征并升級特征庫,進而獲得0day漏洞的防御能力,此方式的針對性強,在官方系統(tǒng)補丁更新前,能夠有效防止已爆發(fā)過的0day攻擊,針對性較強但時效性較差,漏洞暴露時間受限于WAF規(guī)則庫升級時間。

?

新一代WAF?0day防護升級

傳統(tǒng)的0day漏洞防護方案要么時效性差檢出率高,要么時效性強檢出率低,那么是否有技術(shù)手段可以實現(xiàn)時效性、檢出率、針對性兼具呢?

答案是 【有】 !

前幾日,安恒信息新一代智能WAF斬獲了Frost&Sullivan 2019年大中華區(qū)(包括但不限于中國大陸+港澳臺)Web應(yīng)用防火墻整體市場份額排名第一的殊榮。

(圖|該排名為硬件WAF及云WAF的總體市場排名)

?

此前,國內(nèi)數(shù)字化領(lǐng)域第三方調(diào)研機構(gòu)數(shù)世咨詢推出了《中國網(wǎng)絡(luò)安全能力圖譜》,展示了細分產(chǎn)品的代表供應(yīng)商。其中,在Web應(yīng)用防護領(lǐng)域里,安恒信息成為WAF產(chǎn)品的代表者。

那究竟它有什么神奇之處呢?

安恒信息新一代智能WAF采用的語義分析+機器學(xué)習(xí)安全引擎相結(jié)合的方式可實現(xiàn)對未知威脅的有效防護,兼具時效性與檢出率!

?

■ 語義分析

作為OWASP TOP 10中排名靠前的攻擊方式,SQL注入、XSS等命令型攻擊由于具備極強的靈活性,是Web攻防對抗中是最常被用到的攻擊手段之一。傳統(tǒng)的基于靜態(tài)簽名特征的防護方式極易被繞過造成未知威脅攻擊,下圖以SQL注入防護為例簡要分析此過程:

一個為黑客進行的惡意攻擊,一個正常用戶提交的帶有敏感字段的正常報文。

上圖中的真實訪問內(nèi)容解碼后為:

攻擊報文:http://x.x.x.x/list.asp?tp=1 union select from user where 1=1

正常報文:http://x.x.x.x/list.asp?tp=student union representative should be those best students that you can select from this class

傳統(tǒng)基于靜態(tài)簽名規(guī)則的WAF應(yīng)對這種情況就存在兩難的問題:要么嚴格限制,這樣就會導(dǎo)致正常用戶請求誤攔截;要么寬松限制,這樣則會導(dǎo)致攻擊請求被放過,難以兩全。

安恒新一代智能WAF提供業(yè)界領(lǐng)先的智能語義分析引擎,結(jié)合詞法/語法分析,基于理解語言規(guī)范基礎(chǔ)上,結(jié)合上下文進行關(guān)聯(lián)分析,解析異變的web攻擊,還原攻擊威脅。在保證極低誤報率的基礎(chǔ)上,同時有效識別傳統(tǒng)WAF無法檢測的變種繞過的未知攻擊行為。

以2019年12月公布的Apache Struts2 代碼問題高危漏洞(CNNVD編號:CNNVD-201912-256)為例,攻擊者可借助畸形的XSLT文件利用該漏洞上傳并執(zhí)行任意文件。針對此類Struts2漏洞,安恒新一代WAF通過內(nèi)置OGNL語法檢測模塊,已獲得Struts2漏洞攻擊的先天免疫能力。已部署使用安恒新一代智能WAF的客戶驚喜地發(fā)現(xiàn),無須任何升級就已具備防范利用此漏洞進行攻擊的能力!

?

同樣的,在近期大規(guī)模的攻防對抗時期,應(yīng)用廣泛的Web攻擊工具冰蝎3.0版本發(fā)布,其最重要的變化就是“去除動態(tài)密鑰協(xié)商機制,采用預(yù)共享密鑰,全程無明文交互”,這給基于簽名特征庫匹配的帶來了新的挑戰(zhàn),新一輪的特征庫緊急升級又開始了。而安恒新一代智能WAF語義分析引擎不僅支持基于OGNL的語義分析,同樣支持對JSP、PHP、ASP的WebShell識別檢測,可有效阻斷WebShell上傳,因此無須升級即可獲得針對冰蝎3.0的免疫防護能力!

?

■?機器學(xué)習(xí)

與傳統(tǒng)WAF自學(xué)習(xí)功能不同,機器學(xué)習(xí)屬于無監(jiān)督過程,安全模型自動學(xué)習(xí)、自動更新、自動進入異常檢測,無需人工介入!

學(xué)習(xí)階段:建立模型的流量全部為經(jīng)過安全檢測的白流量,機器學(xué)習(xí)針對業(yè)務(wù)系統(tǒng)建立“量身定做”的安全訪問模型。

檢測階段:學(xué)習(xí)結(jié)束后自動進入檢測階段,Web流量首先經(jīng)過安全訪問模型的檢測,機器學(xué)習(xí)通過將訪問流量與安全模型的偏離度進行比較。

  • 訪問流量與安全模型無偏離度或者偏離度較小則屬于白流量,無需經(jīng)過安全引擎將流量直接放行
  • 訪問流量與安全模型的偏離度屬于中間范圍則屬于灰流量,機器學(xué)習(xí)無法判斷則會將流量發(fā)給安全引擎繼續(xù)檢測
  • 訪問流量和安全模型的偏離度較大則屬于黑流量,機器學(xué)習(xí)主動進行攔截

機器學(xué)習(xí)完成進入檢測模式后,依據(jù)“量身定做”的安全模型識別黑、灰、白三種不同流量,進而針對安全性的不同采取不同的處理策略,在高效保障正常業(yè)務(wù)訪問的同時,可以有效識別并阻斷0day等未知威脅訪問,為用戶的Web安全保駕護航!

?

通過以上分析可以看出,安恒信息新一代智能WAF語義分析+機器學(xué)習(xí)引擎的組合,不僅能有效防止0day等未知威脅,同時還能大大縮短威脅檢測的路徑,流量安全檢測冗長的規(guī)則庫逐項檢測不再是必選項,從而大大提高了檢測效率,提高了防護效率。

關(guān)閉

客服在線咨詢?nèi)肟?,期待與您交流

線上咨詢
聯(lián)系我們

咨詢電話:400-6059-110

產(chǎn)品試用

即刻預(yù)約免費試用,我們將在24小時內(nèi)聯(lián)系您

微信咨詢
安恒信息聯(lián)系方式
霞浦县| 冷水江市| 绥宁县| 禹城市| 亚东县| 会宁县| 偏关县| 兴国县| 台江县| 张掖市| 雅安市| 普安县| 望城县| 新晃| 荣成市| 神木县| 都安| 临沭县| 抚州市| 奉新县| 石狮市| 桐梓县| 黔南| 都兰县| 神农架林区| 新乡县| 玉溪市| 绥芬河市| 重庆市| 澄江县| 梁山县| 临猗县| 孙吴县| 北安市| 嵊州市| 敖汉旗| 夏河县| 隆尧县| 和田县| 景洪市| 额尔古纳市|