國內外WAF需求特點和技術發展分析
2004年之后,經濟利益成為安全攻擊的驅動力,這改變了整個互聯網的安全圖景,攻擊變得“工業化”,具有龐大的組織、資金,更聚焦,并具有自動化能力。在此圖景下,Web安全事件不斷暴露出來,WAF解決方案應運而生,而為了更系統地進行Web安全防護,各類法規、政策陸續出現,這更有力地推動了WAF的需求和技術發展。但國內、國外(主要指美國)對WAF的需求特點并不完全一樣,所以國內、國外廠商的WAF技術發展也不完全一樣,產品走出了不一樣的發展軌跡,本文將在這方面做一些分析。
國外
美國研究WAF最早,尤其是銀行卡行業看重WAF的價值,因為美國的電子商務(在線支付)非常發達,各種企業都有自己的Web應用系統來為客戶提供在線支付,而這些Web應用系統中具有較高商業價值的數據引起了黑客的高度關注,一度出現了許多安全事件,包括信用卡信息被竊取。這些事件,損害了企業聲譽,動搖了客戶信心,給企業造成了直接的銷售損失。甚至威脅到了整個銀行卡在線支付業務模式的推廣。
于是,2004年12月15日,Visa、Master、American Express、Discover、JCB,五家企業聯合起來,成立了一個組織:支付卡行業安全標準委員會(Payment Card Industry Security Standards Council,縮寫PCI SSC)。此時,這個委員會中的企業已經有了各自的信息安全策略,他們在這個委員會中對信息安全策略進行了統一,發布了:支付卡行業數據安全標準(Payment Card Industry Data Security Standard,縮寫PCI DSS)。這就是對WAF產品發展產生持續、強大驅動力的PCI DSS,最早是Version 1.0,2006年9月升級為Version 1.1,2008年10月升級為Version 1.2,目前最新的PCI DSS是2009年8月發布的Version 1.2.1。
PCI DSS這一新的數據安全標準要求任何處理支付卡數據的零售商都必須滿足一系列嚴格的標準,如果不能做到“法規遵從”,則可能會遭受嚴厲的處罰和高額罰金。例如:
1、每個數據安全案件高達 500,000美元的罰款
2、由于未能符合頒布的標準而每天面臨 50,000 美元的罰金
3、對因賬號被盜用而造成的所有欺詐損失負責
4、對因信用卡被盜用而造成的重新發卡的成本負責
5、暫停商業賬戶
PCI DSS對WAF提出了明確要求:”All public-facing Web applications subject to either reviews of applications via manual or automated vulnerability assessment tools or methods, or installation of an application-layer firewall in front of public-facing Web applications.”
關于PCI DSS這個法規對WAF的驅動,還有兩個方面需要注意:第一、PCI DSS除了提出了“部署WAF”的要求之外,還描述了許多詳細的功能要求(雖然并沒有說一定要通過WAF來實現,但很多功能用WAF來實現明顯是最理想的方法),這些功能要求成了WAF廠商,尤其是國外WAF廠商,技術發展的最重要考量(即PCI DSS合規)。第二、PCI DSS的影響力大大超出了支付卡行業,甚至在權威測試機構的WAF產品通用測試標準(并不針對某個行業)中,也把PCI DSS作為參照。可以說,PCI DSS是驅動WAF技術發展最重要的法規。
國內
在大洋彼岸的中國,對WAF的需求又是怎樣的特點呢?現在回頭來看,真的就像我們中國人常說的:“具有中國特色”。
中國沒有完善的信用體系,信用卡在線支付到現在也不是很普及,其應用成熟度跟美國根本無法相比(這一度令人們懷疑中國電子商務的發展,當然,支付寶一類的方式解決了這個問題)。也許就是因為中國企業遭遇“信用卡信息被竊取”這樣的情況比較少,在銀行業并沒有產生類似PCI DSS的法規,沒有對WAF產生強力驅動。但是,“西方不亮東方亮”,網頁篡改事件在中國的大面積出現,成了WAF的主要驅動力(這中間還有一個 “插曲”,就是“網頁防篡改系統”的一度流行,這在后面會講到)。
CNCERT/CC(國家互聯網應急中心)每個月都會發布《我國網站被篡改情況月度報告》,我們隨意抽取2010年2月的情況來看一下:
“2010年2月,我國大陸地區被篡改網站的數量為2304個,與上月的1881個相比增長22%。”
“2010年2月,大陸地區政府網站被篡改的數量為403個,較上月的361個增長12%。”
網頁篡改的社會敏感性極高,尤其是對于政府門戶網站來說,此外,高校、企業、運營商的網站也都出現過嚴重的網頁篡改事件。一時間,在中國大陸,“網頁篡改”就代表了Web安全威脅,迫切地需要解決方案。這時,先出現的解決方案是前面提到的“網頁防篡改系統”。
“網頁防篡改系統”是一套軟件,包括:Agent程序(安裝在Web服務器上)和集中管理程序(安裝在單獨的一臺服務器上,管理Agent的策略)。起初,這種解決方案很受歡迎,因為它直接,但是它的部署位置和基本原理決定了:它只對保護靜態頁面有很好的效果,而對于動態頁面沒辦法保護,為此,有些“網頁防篡改”廠商提出在Web服務器上再安裝諸如“SQL注入防護模塊”的方案,但這會影響Web服務器性能,而且對動態頁面的篡改方法遠遠不只是“SQL注入”,這種打補丁的方案從長遠來看是不行的。而“網頁防篡改系統”的不足,恰恰是WAF的優勢,它部署在網絡中,深入分析HTTP協議流量,全面防御各種Web安全威脅的同時,對Web服務器沒有任何干擾,實際上是治本的網頁防篡改解決方案。
無論如何,“網頁篡改”是中國大陸最顯著的Web安全事件,就好比在美國最顯著的Web安全事件是“信用卡信息竊取”一樣,加上2008年奧運、2010年世博的大背景,國內Web安全的焦點幾乎全聚集在防篡改上面了。在法規方面,2006年3月1日起施行的“互聯網安全保護技術措施規定(公安部令第82號)”是影響比較大的國內法規,其第九條、第三款規定:“開辦門戶網站、新聞網站、電子商務網站的,能夠防范網站、網頁被篡改,被篡改后能夠自動恢復”。這是國內最接近對WAF產生驅動力的法規描述了。在國內部分行業Web應用系統的安全規范中,例如:銀行業的網上銀行系統、運營商網上營業廳系統,也都沒有對WAF提出明確的要求,要么還在要求傳統的“防火墻+IPS”方案,要么在要求治標不治本的“網頁防篡改系統”方案。可以說,缺乏法規推動,使得國內WAF的應用和發展落后于國外,但WAF在全面解決Web安全問題中的技術優勢和潛力已經在實踐中得到了越來越多的認可,相信法規的出臺和推動僅僅是時間問題。
分析
Web安全問題的技術根源和攻擊方法演進在全球范圍內是一樣的,但WAF成為Web安全問題主流解決方案的過程在國內外走出了不同的軌跡。
在國外:信用卡信息竊取(事件)——》PCI DSS(法規)——》WAF
在國內:網頁篡改(事件)——》82號令(法規)——》網頁防篡改產品——》WAF
事出必有因,國內WAF的發展雖然看似比國外“慢了一拍”,但在這其中確實有特殊的需求,比如一旦網頁被篡改如何避免不良社會影響擴散,這在國內是極其重要的需求。綠盟科技的WAF產品在技術上具備國際先進水平(PCI DSS合規),但因為首先服務的是國內客戶,所以認真考慮了國內客戶的關切,做出了許多創新的技術方案,例如:在綠盟科技WAF中運用了基于“內容預取”的網頁防篡改技術,在具備WAF一般功能的同時,著重解決了客戶“避免不良社會影響擴散”的關切,可以說是一款“中西合璧”的WAF產品。
相信,WAF在國內還會基于客觀的需求,走出一條具有中國特色的發展道路。
【編輯推薦】
