為什么WAF越來越讓人失望?
隨著企業數字轉型和“安全上云”運動的開展,以及當下疫情加重的Web安全和應用安全焦慮,越來越多的企業開始考慮購買WAF或云WAF產品。但是,在“戰五渣?四大云WAF實戰測試險遭團滅”一文中,我們了解到即使是一些大牌云計算廠商的云WAF產品,在測試中的表現往往都讓人大跌眼鏡。
其實不僅僅是云WAF,根據最新的調查報告,WAF產品的有效性和客戶滿意度的表現越來越令人失望。雖然WAF已經成為是企業應用安全策略的主力產品,但事實是,大多數企業都難以充分利用此類產品。
六成企業對WAF不滿意
根據Neustar國際網絡安全委員會近期發布的調查報告,大量Web應用程序攻擊繞過了WAF,企業難以對其進行調整,并且WAF沒有很好地集成到更廣泛的安全功能中。這佐證了安全分析師和相關研究機構在過去18個月中提出的警告:WAF保護機制仍然需要進一步發展,并且不能成為應用安全計劃的唯一支柱。
根據Neustar的報告,有四成的安全專家報告說,在應用層攻擊,至少有一半的應用層攻擊最終繞過了WAF。更加令人吃驚的是,10%的用戶表示, 超過90%的攻擊都繞過了WAF。
同時,三分之一的安全專家反應,過去12個月中大約50%的網絡請求被WAF誤報。研究指出這是因為WAF的配置調優對于相當比例的企業來說難度很大。大約30%的用戶表示他們很難修改WAF策略以防范新的應用層威脅。此外,40%的企業無法將其WAF完全集成到其他應用安全技術或更廣泛的安全功能中。
這些結果與Ponemon Institute于2019年進行的一項研究相呼應,該研究表明60%的企業對其WAF產品不滿意。該研究發現,65%的受訪者表示應用程序層的攻擊經常或有時會繞過WAF,只有40%的用戶對WAF產品滿意。Ponemon Institute還發現,平均每家企業雇用2.5名安全管理員,他們每周花費45個小時處理WAF警報,另外每周花費16個小時編寫WAF新規則。
WAF靠不住?
多個調查報告反映出的WAF可靠性和滿意度問題已經引起了業界分析公司的關注,這意味著WAF市場正面臨一次重大調整和變革。
Forrester Research的首席分析師Sandy Carielli表示:“根據Forrester今年春天對WAF市場的最新研究,很多企業希望WAF廠商提供更多的東西,如果廠商不盡快做出改變,那么WAF市場離崩盤就不遠了。”
Forrester報告顯示,由于當前的WAF方案無法處理更廣泛的應用程序攻擊,特別是客戶端攻擊、基于API的攻擊和由機器人驅動的攻擊,企業用戶已經苦不堪言。
例如,在API攻擊方面,針對云體系結構對元數據API和Webhooks的調用方式,服務器端請求偽造(SSRF)攻擊已經越來越猖獗。
“WAF不一定必須進行內聯部署以監視Web應用程序的出站HTTP請求。許多SaaS公司都提供某種形式的Web hook產品,該產品可以代表用戶發出http請求,因此不容易與SSRF攻擊區分開來,”K2網絡安全的聯合創始人兼CTO Jayant Shukla認為,今年早些時候Capital One的數據泄露事件就始于SSRF攻擊,攻擊者正是利用了Capital One的WAF產品漏洞。“這些因素暴露了WAF在防御SSRF攻擊時存在嚴重缺陷。”
WAF的定位:只是應用安全的“創可貼”
許多專家認為,WAF面臨的困境表明當今企業的應用安全(AppSe)策略和執行方面存在更多的系統缺陷。例如,去年秋天Radware進行的一項研究指出,WAF與RASP和代碼審查工具類似,屬于“意大利面條式”方法,企業原本想用這些產品解決問題,但發現這些產品同時也對企業的軟件開發和應用安全管理提出了更高的要求。
多年來,越來越多的企業將WAF作為應用安全的運營工具,基于風險驅動的優先級來不斷改善軟件的安全性。他們對WAF的定位不是安全改進的支持工具,而是將其作為前線防御措施。正如Neustar和Ponemon的調查結果,這導致安全團隊疲于為WAF制定規則來挫敗新的攻擊技術。
企業用戶對WAF產品的滿意度持續下滑,還有一部分原因是企業對WAF的期望過高。只是將太多的希望寄托在他們身上。一些安全專家指出,WAF的準確定位應該是攻擊者的減速帶,為企業贏得更多修復代碼的時間, WAF不是“宙斯盾”,頂多算是干擾劑或近防炮而已。
Veracode產品管理高級總監Tim Jarrett 表示:“如果您打算購買使用WAF,首先要清楚這玩意不會無限期保護您的產品不受攻擊。”“因此,請抓緊WAF為你爭取的修復時間窗口,找出漏洞在應用程序中的位置并盡快加以修復。”
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
