不止于WAF 動(dòng)態(tài)安全實(shí)現(xiàn)變被動(dòng)為主動(dòng)

■本刊記者 趙志遠(yuǎn)

瑞數(shù)信息發(fā)布了行業(yè)第一款雙引擎動(dòng)態(tài)WAF——靈動(dòng)River Safeplus，通過動(dòng)態(tài)安全結(jié)合AI的方式，打造更為智能的AWF產(chǎn)品，為用戶帶來(lái)更加有效的Web安全防護(hù)。

提起Web安全防護(hù)，那就不得不提WAF，的確，在針對(duì)Web安全的防護(hù)工具中應(yīng)用最為廣泛的就是WAF。但WAF是最有效的嗎？未必。

Web應(yīng)用本身的復(fù)雜性決定了其安全防護(hù)絕非易事，用戶不僅要防范傳統(tǒng)的諸如SQL注入、跨站腳本XSS等攻擊，特別是近年來(lái)出現(xiàn)了大量新興安全威脅及漏洞，例如Bots攻擊、API數(shù)據(jù)泄露、零日漏洞等，這些新興威脅可以輕松繞過傳統(tǒng)驗(yàn)證碼的人機(jī)識(shí)別技術(shù)，更是令WAF顯得形同虛設(shè)。

Forrester Wave報(bào)告中也指出，即使應(yīng)用代碼中移除了所有已知漏洞，威脅也會(huì)以零日攻擊形式繼續(xù)存在。因此，傳統(tǒng)WAF并不能確保用戶Web應(yīng)用萬(wàn)無(wú)一失。用戶迫切地希望能夠有一個(gè)更為智能、完善的解決方案。

圖1 靈動(dòng)River Safeplus雙引擎驅(qū)動(dòng)部署

當(dāng)前中國(guó)的WAF市場(chǎng)競(jìng)爭(zhēng)不可謂不激烈，如果沒有一些“看家本領(lǐng)”是難以在網(wǎng)絡(luò)安全市場(chǎng)立足的。而瑞數(shù)此次發(fā)布的新產(chǎn)品究竟有何過人之處呢？

靈動(dòng)River Safeplus特點(diǎn)在于采用瑞數(shù)獨(dú)有的“動(dòng)態(tài)安全引擎” + “AI智能威脅檢測(cè)引擎”，內(nèi)建智能模型，不依賴于規(guī)則即可精確識(shí)別Bots和各類攻擊，為Web安全提供主動(dòng)式的安全防護(hù)，如圖1所示。

這其中包含兩點(diǎn)重要的理念和手段。一是“動(dòng)態(tài)安全引擎”，擺脫了傳統(tǒng)靜態(tài)安全防護(hù)上“被動(dòng)挨打”的弊端，形成主動(dòng)縱深防御。具體來(lái)說(shuō)，動(dòng)態(tài)安全引擎會(huì)對(duì)當(dāng)前頁(yè)面內(nèi)合法請(qǐng)求地址授予一定時(shí)間內(nèi)有效的動(dòng)態(tài)令牌，并為每個(gè)客戶端生成不依賴于設(shè)備特征的唯一標(biāo)識(shí)。令牌的動(dòng)態(tài)變換，加上客戶端唯一標(biāo)識(shí)，可防止通過偽造客戶端環(huán)境及令牌的方式繞過追蹤，阻攔非法的自動(dòng)化攻擊請(qǐng)求。同時(shí)還可通過在頁(yè)面中隨機(jī)自動(dòng)插入動(dòng)態(tài)驗(yàn)證腳本，實(shí)現(xiàn)對(duì)訪問客戶端的人機(jī)識(shí)別，從而阻攔腳本、程序等自動(dòng)化攻擊行為，并保障應(yīng)用邏輯的正確運(yùn)行。

二是“AI智能威脅檢測(cè)引擎”，隨著AI的發(fā)展，其在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用越發(fā)成熟，利用機(jī)器學(xué)習(xí)來(lái)分析威脅情報(bào)，極大提高了安全設(shè)備的工作效率。而該引擎基于大數(shù)據(jù)分析技術(shù)，對(duì)客戶端到服務(wù)器端所有的請(qǐng)求日志進(jìn)行全訪問記錄，并利用機(jī)器學(xué)習(xí)進(jìn)行深度行為分析。通過智能規(guī)則匹配，持續(xù)監(jiān)控并分析流量行為，從而深入檢測(cè)威脅攻擊。

靈動(dòng)River Safeplus是基于傳統(tǒng)WAF痛點(diǎn)而生，是對(duì)傳統(tǒng)WAF的功能升級(jí)。傳統(tǒng)WAF只能通過阻攔掃描手法隱藏漏洞，卻無(wú)法隱藏網(wǎng)頁(yè)目錄結(jié)構(gòu)，而新產(chǎn)品可實(shí)現(xiàn)漏洞隱藏防掃描，使得漏掃或漏洞利用工具無(wú)法發(fā)現(xiàn)可利用漏洞及網(wǎng)頁(yè)目錄結(jié)構(gòu)；傳統(tǒng)通過規(guī)則來(lái)更新阻攔零日漏洞過于滯后被動(dòng)，而新產(chǎn)品采用動(dòng)態(tài)安全引擎的主動(dòng)式防護(hù)，可在無(wú)規(guī)則升級(jí)情況下對(duì)Web零日漏洞探測(cè)進(jìn)行阻斷；雙引擎技術(shù)可保障針對(duì)資源消耗高的CC攻擊，有效防止自動(dòng)化威脅；通過為每個(gè)訪問被保護(hù)網(wǎng)站的客戶端生成不依賴設(shè)備特征的“唯一標(biāo)識(shí)”，實(shí)現(xiàn)精準(zhǔn)攻擊定位，精準(zhǔn)追蹤溯源。