如今,随着每个人都生活在网上,在线渠道的网络流量正在激增。但是,如果您深入研究流量,您会发现大部分流量并非来自合法用户。只有不到一半的流量是真正的人类,其余的是机器人,包括好机器人和坏机器人。,,在早期,机器人仅用于垃圾邮件或小型抓取尝试。如今,机器人操作员正在大规模利用自动化来执行恶意活动。此类活动包括接管用户帐户、滥用 API、执行 DDoS 攻击、抓取独特的定价信息、竞争性数据挖掘、网络抓取、数字欺诈、金融数据收集、交易欺诈、暴力登录等等。,尽管影响严重,但组织是否采用了有效的机器人管理方法?答案是不。许多企业仍在尝试使用传统解决方案来阻止机器人程序,从而将安全置于风险之中。那么,为什么传统的 WAF缓解爬虫程序会失败呢?让我们来看看 WAF 在 bot 管理中失败的原因以及高级 WAF 保护的好处。,要了解高级 WAF 对机器人检测和缓解的重要性,让我们探讨企业为阻止机器人攻击而采取的常见安全措施以及它们为何无效。,尽管下一代防火墙 (NGFW) 声称可以感知应用程序,但它们仍然依赖于基本的 bot 缓解功能,例如阻止 IP、用户生成重复请求或对浏览器进行指纹识别。他们检查了有效载荷的前几个字节,因此,使用现代技术的下一代机器人仍未被发现。,,WAF 技术经历了几项改进,但它依赖于基于过滤器的方法来检测已证明不足以阻止机器人和其他自动威胁的恶意负载。,此外,管理具有操作复杂性的 WAF 策略已导致一些公司使 Web 应用程序不受保护。在某些情况下,由于目标企业无法足够快地修补漏洞,因此利用了一个已知漏洞。,结合这些挑战,机器人的轻松可用性和自动化技术的创新使得机器人检测和缓解变得更加困难。,为了部署有效的爬虫程序管理和保护,组织需要 Web 应用程序防火墙技术,该技术可以自动发展和微调自身以检测最复杂的爬虫程序并提供持续的安全性。好消息是,像 AppTrana 这样的高级 WAF 采用了有效的措施来检测和阻止不断发展的僵尸网络。,在高级 WAF 保护的情况下,WAF 技术与行为分析相结合,可检测恶意机器人活动,无需人工干预即可更轻松地发现机器人流量。,Advanced WAF 的 Bot 检测包括以下组件:,通过主动机器人防御,高级 WAF 可以跟踪 IP 地址以外的攻击者,检测用户的性质并将合法机器人与恶意机器人区分开来。它还消除了与 CAPTCHA 挑战相关的 UX(用户体验)的影响。,,除了阻止攻击的开箱即用的完全托管的 WAF 功能外,公司还可以创建自己的自定义策略和规则来阻止他们正在接收或担心可能会收到的机器人攻击。,例如,如果在短时间内从同一 IP 发出重复请求,则可以制定规则来阻止访问网站上的密码重置请求。,使用威胁情报数据库,其中包含所有近期攻击的详细信息、相关的 IP 地址、位置,无论这些攻击是机器还是人为产生的。这个数据库一直在更新。如果从任何可疑 IP 地址发出任何请求,该地址将被自动阻止。,Web 应用程序全天候成为目标,黑客正在寻找新的方法来破坏网站并造成混乱。加入 Indusface 完全托管的基于云的 WAF、AppTrana,您不仅可以降低僵尸网络的风险,还可以通过阻止恶意机器人流量来最大限度地减少基础设施的处理负载。,,AppTrana采用 WAF 技术、爬虫程序缓解和 CDN 编译,可通过提供准确且完全托管的基于云的保护来进一步保护您的应用程序完整性,确保为客户提供安全的在线体验,而不会影响速度。, ,如今,随着每个人都生活在网上,在线渠道的网络流量正在激增。但是,如果您深入研究流量,您会发现大部分流量并非来自合法用户。只有不到一半的流量是真正的人类,其余的是机器人,包括好机器人和坏机器人。,尽管下一代防火墙 (NGFW) 声称可以感知应用程序,但它们仍然依赖于基本的 bot 缓解功能,例如阻止 IP、用户生成重复请求或对浏览器进行指纹识别。他们检查了有效载荷的前几个字节,因此,使用现代技术的下一代机器人仍未被发现。,
对于大多数企业来说,建立积极的客户认知的一种方法是展示您对数据隐私和保护的承诺。开发和维护一个安全的 IT 环境,让客户在付款或共享个人信息时不必担心数据泄露,可以帮助您赢得并保持人们的信任。它还可以改善您的网站和网络的性能,这对于提供积极的客户体验至关重要。,,为了确保您的网络安全,您必须建立一个具有多层保护的完整网络安全框架。您的 Web 应用程序(已成为更复杂攻击的目标)可以受益于对数据盗窃的额外防御。我们帮助数百家企业对其技术做出明智的选择。在这里,我们将介绍您的 Web 应用程序的两个安全选项,它们是:,WAF 通过在可疑活动到达您的服务器之前对其进行监控和阻止来保护您的网站免受不同类型的威胁。它旨在成为您防止对 Web 应用程序的攻击的第一道防线。,当用户尝试访问您的网站时,会向您的服务器发送请求。在请求到达服务器之前,WAF 会对其进行检查以确定用户是否通过了您的预定策略。策略是确定活动或流量是否恶意的规则。,将 WAF 视为聚会上的安全人员。如果客人没有携带邀请函并且没有穿着符合着装要求的衣服,保安将不得不拒绝他进入。同样,WAF 会阻止可疑或未通过设置策略的请求,并允许符合规则的请求。,, 1. 提高网站的速度,与其他反向代理一样,WAF 具有缓存机制,有助于卸载服务器并减少用户响应时间。, 2. 防止网络攻击,WAF 提供以下保护:, 1. 没有提供足够的保护,WAF 在过滤容易识别的威胁方面非常出色,但在检测不具备典型网络攻击(如零日攻击)属性的漏洞方面并不可靠。Ponemon Institute进行的一项调查显示,只有 9% 的 WAF 用户从未经历过任何数据泄露。, 2. 昂贵和高维护,WAF 不仅难以设置,而且维护和支持成本也很高。Web 应用程序、功能和整个安全基础架构的变化也意味着 WAF 的更新。聘请托管支持可能更有利于监督您的网络并在威胁造成损害之前识别它们。,,WAP 允许您向不在您的域下的最终用户及其设备提供对服务器上应用程序的访问,而不会损害后端服务器。,发布是指使外部用户可以访问公司应用程序的过程。,“如果您有任何本地 Web 服务,并且您正试图使其远程可用,则立即响应是打开防火墙以允许流量。但是,出于安全原因,您不希望任何人在任何特定时间都可以访问那扇门。因此,另一种选择是使用 WAP。这使您的防火墙之门对全世界关闭,并且仅对 Microsoft 服务开放。” 科勒提到。,当您通过 WAP 发布应用程序时,用户可以随时随地从他们的个人笔记本电脑或智能手机访问您公司的应用程序。即使用户在非托管设备上,WAP 也能提供对外部威胁的保护。,它与 Active Directory 联合身份验证服务 (AD FS) 一起部署以进行身份验证和授权。AD FS 保护您的企业应用程序免受未经授权和未经身份验证的用户的攻击。, 1.具有多种认证协议,WAP 允许您获得 AD FS 身份验证的好处,其中包括:,, 2.保护您免受 DDoS 攻击,WAP甚至在DDoS 攻击到达后端服务器之前就阻止了它们。, 3.确保网络隔离,WAP 允许外部用户访问公司应用程序,而无需提供对后端服务器的直接访问。, 1. 安全硬件要求,要运行 WAP,您需要一台满足 Windows Server 2012 R2 硬件要求的计算机。, 2. 设置 AD FS 服务器,WAP 要求您设置 AD FS 服务器,但它应该安装在单独的服务器中。AD FS 也存在安全风险,必须正确安装以避免出现问题。,“ WAP 的运作方式可能与 WAF 类似,但并不相同。WAF 有更多的设置和复杂的键,而 WAP 基本上是一种开关服务,如果你想通过 Microsoft 代理一次性加载你的服务,你可以使用它。” Kohler 解释说。,如果您的企业遵循高安全标准并处理敏感的客户数据,如社会安全号码和信用卡信息,强烈建议使用 WAF。其中包括零售商、银行和医疗保健提供者。另一方面,如果您希望将已发布的企业应用程序的访问权限授予外部用户并同时隔离您的 AD FS 服务器,那么部署 WAP 是您的组织的理想选择。WAP 最适合旨在防止直接访问其 AD FS 服务器的企业。, ,对于大多数企业来说,建立积极的客户认知的一种方法是展示您对数据隐私和保护的承诺。开发和维护一个安全的 IT 环境,让客户在付款或共享个人信息时不必担心数据泄露,可以帮助您赢得并保持人们的信任。它还可以改善您的网站和网络的性能,这对于提供积极的客户体验至关重要。,将 WAF 视为聚会上的安全人员。如果客人没有携带邀请函并且没有穿着符合着装要求的衣服,保安将不得不拒绝他进入。同样,WAF 会阻止可疑或未通过设置策略的请求,并允许符合规则的请求。,
您想在 Web 应用程序防火墙(云 WAF)中寻找的一切。您是否知道即使是最严重的漏洞也可能需要长达 5 个月的时间才能修复?Web 应用程序安全统计报告指出,大多数公司平均在 146 天内修复关键漏洞。,,黑客会等待您的开发人员修补代码吗?即使他们手头有时间,您不希望将时间花在更关键的业务功能上吗?这就是您需要 有效且经济高效的云 WAF 的原因。,根据开放 Web 应用程序安全项目 (OWASP),WAF 将一组规则应用于 HTTP 会话以阻止常见攻击。这意味着Web 应用程序防火墙(WAF) 旨在修补应用程序的弱点。它可以阻止利用跨站点伪造、跨站点脚本 (XSS)、文件包含和 SQL 注入的攻击,而无需在应用程序中进行开发/代码更改。,听起来很容易,对吧?然而,由于有数十家 WAF 供应商且缺乏相关的技术指南,公司常常难以找到合适的产品。我们的安全分析师和行业专家专门为比较不同 WAF 产品的公司编写了本指南。以下是应在清单顶部的功能。,(使用混合部署模型)2008 年,亚利桑那州立大学发表了一篇关于云计算未来的革命性文章。他们将 SaaS 模型与电力进行了比较。当您插入烤面包机时,您不必考虑电子从源(煤/核/水力发电站)行进多远来为您的家供电。您知道那里有电,您可以每月支付使用费。您可能永远不会想知道建立这样一个发电厂的成本是多少。,Web 应用程序防火墙(以及整个 SaaS 行业)也以类似的方式发展。早些时候,当您不得不投资于本地 WAF 时,只有价值数百万美元的组织才能负担得起。,,随着在线业务的蓬勃发展,安全问题和要求也在增长。并非每家在线公司都愿意在安装的设备上花费如此大的资金,而这些设备也需要软件升级。它缓慢、昂贵且不必要。如今,WAF是指数级增长的在线企业的首选,这些企业希望易于部署和降低每月成本。,此外,支持混合部署模型也很重要, 以使您能够过渡到云(如果需要),这不可能在一夜之间发生。您根本不能在迁移到云期间延迟安全选择,如果本地部署不支持免费迁移到云,您也不能对本地部署进行投资。,采用云 WAF 的主要障碍之一是担心额外的跃点可能会影响网站的性能和响应时间。这是一个有效的担忧,但可以根据云 WF 可以启用的某些功能轻松缓解。大多数云 WAF 提供商应该提供一个选项来启用 CDN 以及 WAF 服务,而无需额外费用。这可以确保您实际上可以提高网站性能和安全性,因为大多数网站(甚至是动态网站)都有超过 75% 的静态内容可以从用户浏览的最近边缘自动提供。还要检查云 WAF 基础设施是否托管和构建在现有的公共云架构(如 AWS 或 Azure)上,确保在所有这些部署模型中都有一个集中式控制台,用于管理和查看提供给客户的应用程序安全性。,,分布式拒绝服务 ( DDoS ) 攻击使在线服务不可用。此类攻击利用大量僵尸/受损/被黑客入侵的系统或其他网络资源。根据定义,每个网站都容易受到 DDoS 攻击。,DDoS 攻击的成本高达每小时 100,000 美元,如果您计划比较 Web 应用程序防火墙,最好有某种DDoS 保护以免受这些攻击。现代的智能 WAF 持续监控您的流量,以防止第 3、4 和 7 层攻击。他们的全球威胁数据库将攻击历史和威胁情报提供给您的 WAF 以进行保护。,(基于具有快速、托管保护的应用程序风险)假设您的应用程序中有一个专有漏洞(OWASP 称之为业务逻辑缺陷),并且您希望 WAF 覆盖它。那会有多困难?,有几个 Web 应用程序防火墙供应商会根据每个请求收取创建自定义规则的费用。如果您有一个需要多个规则的复杂网站,那将是令人沮丧和昂贵的。此外,请确保供应商提供的保证将检查误报。测试并将它们置于阻止模式的责任不应仅由客户承担,还应由提供这些规则和安全策略更新的供应商承担。寻找以服务水平协议(SLA)为后盾的零误报保证来支持其自定义规则服务的供应商。,,理想情况下,Web 应用程序防火墙应允许您从门户网站请求自定义规则,而无需为此大惊小怪或为每个请求收费。确保在付款前比较不同 WAF 供应商的此功能。,在不了解您的应用程序漏洞的情况下启用 WAF 策略可能会使您的应用程序处于高风险之中。重要的是,WAF 提供集成产品以包括应用程序的安全测试和集成产品以立即防范这些风险,以及请求自定义规则的选项。此外,WAF 必须附带可以从第一天开始以 BLOCK 模式部署的默认策略,以便可以立即阻止大多数常见攻击。,安全情报是一项无与伦比的资产。它可以帮助您构建更强大的 Web 应用程序来保护请求,保护关键数据。WAF 日志对于构建中央安全情报存储库至关重要。基本的 Web 应用程序防火墙充当机器人,根据预先编写的规则阻止请求,而智能 WAF 则赋予您决策权。,这是不费吹灰之力的。您不会想在没有试用的情况下购买关键工具,例如 Web 应用程序防火墙。毕竟,您只会在入职后评估潜在的好处和/或产品兼容性问题。,确保您比较的云 WAF 具有全功能试用选项,没有“退款”或“我们需要一张卡进行身份验证”的先决条件。您不希望为 3 种不同的订阅输入信用卡以进行试用并最终被收取费用。,理想情况下,一个全功能的 WAF 试用版应该包括它必须为测试提供的所有内容,但您也可以满足以下条件:, 总结,无论您是初创公司、小型企业还是蓬勃发展的巨头,Web 应用程序防火墙已成为现代在线业务的必需品。无论您公司的修补能力如何,您都无法承受客户数据、金融交易和资产可用性方面的风险。此外,WAF 必须通过允许混合部署模型来促进客户采用云的旅程,但具有集中式窗格的云优势,可以查看所有 Web 应用程序的安全状况,而与防火墙的部署位置无关, ,您想在 Web 应用程序防火墙(云 WAF)中寻找的一切。您是否知道即使是最严重的漏洞也可能需要长达 5 个月的时间才能修复?Web 应用程序安全统计报告指出,大多数公司平均在 146 天内修复关键漏洞。,(使用混合部署模型)2008 年,亚利桑那州立大学发表了一篇关于云计算未来的革命性文章。他们将 SaaS 模型与电力进行了比较。当您插入烤面包机时,您不必考虑电子从源(煤/核/水力发电站)行进多远来为您的家供电。您知道那里有电,您可以每月支付使用费。您可能永远不会想知道建立这样一个发电厂的成本是多少。,
随着越来越多的组织及其数百万客户/用户/客户上线,网络安全已成为组织主动保护其网络、系统和 Web 应用程序的关键和不可或缺的一部分。,,网络犯罪分子和黑客不断寻找 Web 应用程序中的弱点/错误配置,他们可以利用这些弱点/错误配置来访问网站,甚至对托管服务器进行某种程度的控制,以实现数据盗窃、身份盗窃、分发恶意内容、注入污损、垃圾邮件内容、传播仇恨信息等。这些弱点和错误配置就是所谓的网络漏洞。这些网站漏洞被网络犯罪分子通过漏洞扫描器、机器人等自动化手段和其他专门工具(可以从网络平台定位常见和公开的漏洞)检测和利用。,恰当的例子——仅在美国,去年就有超过 20 亿条记录(个人和机密信息、政府记录等)遭到入侵。美国网络犯罪分子的最大目标是小型企业,其中超过 50% 遭受网络攻击,其次是医疗保健行业。还有几起针对美国军方和联邦机构、警察部门和教育机构的数据泄露事件。在美国,数据泄露的平均成本(客户和声誉损失、泄露后响应、检测和升级成本等)估计为 735 万美元。,下面列出了 2018 年一些最关键和最具利用性的 Web 漏洞:,, 如何保护网站漏洞?,我们都同意,需要在黑客和网络犯罪分子发现这些网络漏洞之前识别和保护这些漏洞。保护 Web 漏洞的最有效和最具成本效益的方法是通过Web 应用程序防火墙(WAF) 以及积极主动的心态和整体网络安全策略。这将使组织能够专注于其关键业务功能。, Web 应用程序防火墙如何工作?,Web 应用程序防火墙 (WAF) 充当 Web 应用程序与包括合法和恶意请求的流量之间的屏障。如果 Web 应用程序中出现安全漏洞,WAF 会在不更改代码的情况下打补丁并充当第一道防线,自动阻止攻击者、恶意请求和不良流量,包括机器人、自动扫描仪、垃圾邮件或攻击 IP 地址,基于攻击的用户输入等通过这些漏洞访问Web应用程序。通过这样做,它为开发人员提供了缓冲时间来进行必要的代码更改,而不是立即修复由 WAF 保护的安全漏洞。, 使用 WAF 的好处,, 如何选择合适的WAF?,以下是一些重要的考虑因素,可指导您做出正确的 WAF 的关键选择。,AppTrana是一种 WAF,可为 Web 应用程序提供全面、全天候、定制的安全性。它是由专家根据 Web 应用程序的现有风险敞口构建的,并在安全规则中具有外科手术般的准确性,以修补应用程序漏洞并确保零误报。使用 AppTrana 的另一个重要好处是,它可以持续监控和分析流量行为/攻击模式,并通过机器学习整合学习成果,以加强未来的网络安全战略和政策。通过这种方式,组织可以有效地保护其 Web 应用程序、资源和声誉,并切实保护其客户/用户的数据、财务和其他资产。, ,随着越来越多的组织及其数百万客户/用户/客户上线,网络安全已成为组织主动保护其网络、系统和 Web 应用程序的关键和不可或缺的一部分。,,
在几年的时间里,我们正在经历快速的技术进步,这些进步正在彻底改变世界的运作方式。从这些进步中受益的不仅仅是企业,甚至网络犯罪分子和犯罪集团也利用这些进步在此过程中获得了财务和其他收益。,,网站、Web 应用程序和服务器是当今企业的关键部分,在网络攻击者的攻击名单中名列前茅,他们找到了新的巧妙方法来组织攻击。Web 应用程序面临的最常见的攻击是SQL 注入、跨站点脚本 (XSS)、CSRF 和 DDoS 攻击。,因此,非常需要 Web 应用程序安全措施和策略来对抗这些攻击,而 Web 应用程序防火墙 ( WAF ) 已在此类策略中占据不可或缺的位置。,可以通过两种重要方式保护 Web 应用程序免受漏洞、网络风险和攻击。,您可能知道,WAF 或 Web 应用程序防火墙是应用程序和互联网流量之间的第一道防线。它监控和过滤互联网流量以阻止不良流量和恶意请求。WAF 是识别应用程序中的漏洞并在恶意行为者发现它们之前保护它们的最佳且具有成本效益的方法之一。,,它们有效地检测到其他安全措施(如网络扫描仪)遗漏的漏洞。当它是像 AppTrana 一样提供的托管 WAF 时,它允许自定义规则,防止业务逻辑缺陷,确保零误报,并保护您的应用程序免受零日威胁和DDoS 攻击。,WAF 防火墙保护 Web 应用程序免受恶意攻击和漏洞。另一方面,传统防火墙提供针对网络威胁的保护。标准防火墙和 Web 应用程序防火墙不仅在它们扩展的保护类型上有所不同,而且在总体功能上也有所不同。,WAF 被部署为硬件设备、软件,或者通过云部署,并使用一组称为策略的特定规则进行操作。这些策略告诉WAF防火墙要查找哪些漏洞/漏洞/流量行为,在检测到漏洞时如何处理等等。换句话说,这些策略使 WAF 能够保护 Web 应用程序和服务器免受攻击。,,因此,基于这些策略,Web 应用程序防火墙将继续扫描 Web 应用程序以及它收到的 GET 和 POST 请求,以识别和过滤恶意活动和请求。需要注意的重要一点是,WAF 不仅分析标头,还分析所有数据包的内容以阻止非法请求,智能 WAF 防火墙甚至挑战请求以使参与者证明他们是人类而不是机器人。,当发现应用程序本身存在漏洞时,WAF 会立即对其进行修补,以自动阻止攻击者和恶意行为者(机器人、攻击 IP 地址、基于攻击的输入等)发现这些漏洞。这样,开发人员可以获得缓冲时间来修复应用程序中的漏洞/漏洞。,Web 应用防火墙通常根据三种基本安全模型进行配置。这些模型是:,安全模型的选择完全取决于上下文、风险概况以及 Web 应用程序和服务器的需求。现实情况是,应用程序是许多企业的核心,并且在不断变化,没有单一的模式能够奏效。,,一个有效的防火墙应该结合,Web 应用程序防火墙在智能和可管理时最有效,例如 AppTrana 提供的防火墙。借助全球威胁数据库和 ML 功能,智能 WAF可以持续监控 Web 流量,并将学习内容包括在保护 Web 应用程序中。当它们被管理时,WAF 可以确保零误报,并且可以以外科手术的准确性进行定制,以结合自定义业务规则,防止业务逻辑漏洞。,托管 WAF 将包括经过认证的安全专业人员的专业知识,他们进行渗透测试和安全审计,以防止零日威胁并保持最高的 Web 应用程序安全标准。 托管 WAF 确保学习是准确和相关的,并专注于减轻特定于应用程序的风险。它将在 24×7 安全专家的支持下内置学习,以便采取行动。因此,应用程序所有者可以专注于其功能的敏捷性,并利用专家的服务确保安全。, ,在几年的时间里,我们正在经历快速的技术进步,这些进步正在彻底改变世界的运作方式。从这些进步中受益的不仅仅是企业,甚至网络犯罪分子和犯罪集团也利用这些进步在此过程中获得了财务和其他收益。,您可能知道,WAF 或 Web 应用程序防火墙是应用程序和互联网流量之间的第一道防线。它监控和过滤互联网流量以阻止不良流量和恶意请求。WAF 是识别应用程序中的漏洞并在恶意行为者发现它们之前保护它们的最佳且具有成本效益的方法之一。,
Web 应用程序防火墙(WAF) 是 Web 应用程序/网站/网络服务器与 Internet 流量之间的第一道防线。互联网流量包括好的和恶意的流量和请求。因此,使用 WAF 有助于保护 Web 应用程序/网站/Web 服务器免受不良流量和恶意行为者试图策划的不同类型的网络攻击。,,WAF 是Web 应用程序安全和网络安全策略中 至关重要且不可或缺的一部分,因为它能够识别并立即修补应用程序和服务器中的漏洞,立即阻止所有恶意行为者发现这些漏洞和漏洞,从而为开发人员提供修复的缓冲时间他们。,WAF 旨在阻止的 8 种网络攻击类型, 1. DDoS攻击,DDoS 攻击 试图用虚假流量压倒目标 Web 应用程序/网站/服务器,耗尽网络带宽,并使其对合法用户不可用。DDoS 攻击以几种不同的方式发生,包括放大、泛洪、基于协议和反射。一些常见但危险的 DDoS 攻击类型包括 DNS 放大、死亡 Ping、Smurf 攻击、HTTP 洪水、SYN 洪水等。,WAF 通过应用程序的日常扫描、全天候监控、全球威胁情报和机器学习来识别伪装机器人、恶意请求等并阻止它们,从而阻止这些攻击。借助 AppTrana 等托管 WAF,由经过认证的安全专业人员进行的定期渗透测试和安全审计有助于阻止 DDoS 攻击。, 2. SQL注入攻击,在这些攻击中,犯罪者以请求或查询的形式在 Web 应用程序的用户输入字段(如提交表单、联系表单等)中注入恶意 SQL 代码。这样做,他们可以访问应用程序的后端数据库,然后潜入其中提取客户或企业本身的敏感和机密信息,获得未经授权的管理访问,修改或删除数据等,甚至完全控制 Web 应用程序。SQL 注入攻击主要是由于用户输入字段和提交表单没有受到保护以防止输入代码和其他未经清理的输入。,, 3. 跨站脚本(XSS)攻击,XSS 攻击 针对易受攻击的 Web 应用程序/网站的用户,以访问和控制他们的浏览器。在这里,攻击者利用应用程序中的漏洞和漏洞注入恶意脚本/代码,这些脚本/代码在毫无戒心的用户加载应用程序/网站时执行。在反射型 XSS 攻击中,恶意代码只有在用户单击链接时才会执行,而在存储型 XSS 攻击中,恶意负载会存储在 Web 浏览器中,并在用户每次访问网站/应用程序时执行(无论他们查看/下载/点击链接没关系)。XSS 攻击使用户的个人和机密信息受到威胁,并经常导致身份盗用、会话劫持等。这些攻击的发生要么是因为用户输入字段,如评论部分、用户帖子、反馈等。, 4. 零日攻击,零日攻击 是指组织仅在攻击发生时才知道硬件/软件中存在漏洞的攻击。这些都是出乎意料的,因此对企业来说非常有害,因为他们没有快速修复或补丁来保护他们的应用程序。另一方面,网络攻击者可能以前一直在窥探应用程序,并在发现漏洞后立即利用这些漏洞。,配备机器学习功能(如 AppTrana)的托管智能 WAF 不仅可以阻止错误请求和分析攻击模式,还可以将用户列入白名单、挑战请求,并基于学习持续管理策略和规则。, 5. 业务逻辑攻击,业务逻辑是 UI 与数据库和软件系统之间连接和传递信息的关键元素,使用户能够有效地使用 Web 应用程序/网站。当业务逻辑中存在差距、错误或重叠时,它会产生漏洞,网络攻击者通常会利用这些漏洞来获取金钱和其他优势。攻击者不会使用格式错误的请求和恶意负载来编排业务逻辑攻击。他们使用合法值和合法请求来利用应用程序中的环境漏洞。业务逻辑机器人通常用于这些攻击。,,托管 WAF 最适合应对这些攻击,因为它们将机器的可扩展性、速度和准确性与了解业务的认证安全专业人员的专业知识、智能和创造性思维能力相结合。, 6. 中间人攻击,当犯罪者将自己置于应用程序和合法用户之间,通过冒充两方之一来提取密码、登录凭据、信用卡详细信息等机密详细信息时,就会发生这些攻击。攻击可以通过简单的方式进行策划,例如在不受密码保护的公共场所提供免费的恶意热点。当受害者连接到这些热点时,他们会将其在线数据交换的完全可见性提供给攻击者。DNS缓存中毒,IP欺骗,ARP欺骗等复杂手段用于拦截连接,HTTPS欺骗,SSL劫持,SSL野兽等用于解密双向SSL流量而不提醒用户或应用程序。, 7. 恶意软件,恶意软件攻击是通过利用应用程序漏洞或通过网络钓鱼等社会工程方法将木马、勒索软件、间谍软件、rootkit 等恶意软件注入网站/Web 应用程序/服务器而精心策划的。通过这样做,攻击者可以访问机密信息、应用程序的敏感部分、系统配置更改等。, 8. 污损,在所有网络攻击中最简单的污损攻击中,犯罪者更改网站内容并用自己的内容替换以反映政治意识形态/议程,用有争议的信息或图像震惊用户等等。在污损修复之前,Web 应用程序可能对用户不可用。,如前所述,托管、智能并配备全球威胁情报和 ML 能力的 Web 应用程序防火墙可以有效且高效地应对这 8 种网络攻击中的每一种。AppTrana提供了一种这样的 WAF,它允许自定义规则、防止业务逻辑缺陷、确保零误报并保持最高的 Web 安全标准。, ,Web 应用程序防火墙(WAF) 是 Web 应用程序/网站/网络服务器与 Internet 流量之间的第一道防线。互联网流量包括好的和恶意的流量和请求。因此,使用 WAF 有助于保护 Web 应用程序/网站/Web 服务器免受不良流量和恶意行为者试图策划的不同类型的网络攻击。,DDoS 攻击 试图用虚假流量压倒目标 Web 应用程序/网站/服务器,耗尽网络带宽,并使其对合法用户不可用。DDoS 攻击以几种不同的方式发生,包括放大、泛洪、基于协议和反射。一些常见但危险的 DDoS 攻击类型包括 DNS 放大、死亡 Ping、Smurf 攻击、HTTP 洪水、SYN 洪水等。,
随着网络犯罪和网络攻击成为企业及其最终客户面临的最大风险,稳健、动态和全面的网络安全战略和措施已成为各种类型和规模的企业的当务之急。WAF 或Web 应用程序防火墙是并且必须是任何综合 Web 安全解决方案的重要组成部分。它是保护网站/Web 应用程序免受不良行为者和恶意请求的第一道防线。,,话虽如此,重要的是要注意,并非所有WAF 提供商都有效且主动地保护您的网站/Web 应用程序免受各种原因的攻击。以下是您的 WAF 必须具备的强大功能列表,但您的 WAF 提供商可能缺少这些功能。, 1. 智能、全面、可管理的 WAF,通常,Web 扫描工具和过时的防火墙被多个 WAF 提供商伪装成 Web 应用程序防火墙。这些工具仅扫描您的网站/Web 应用程序,并不能帮助您修复发现的漏洞或有效阻止攻击。,Web App Firewall 必须是全面的,以确保从应用程序、服务器、第三方资源等中检测到所有已知漏洞,并立即修补直到被开发人员修复并过滤掉所有恶意/非法请求。,WAF 必须是智能的,配备 AI、ML 和全球威胁情报数据库,以便从业务本身的过去攻击历史和全球攻击中学习。它不断地寻找新的区域来寻找漏洞。智能 WAF 可以区分机器人和人工流量,并决定是否允许、阻止、标记或质疑请求。,必须对其进行管理(将自动化的力量与经过认证的安全专家的专业知识和技能相结合)以主动和一致地构建自定义措施和策略,以跟上外部和内部变化的步伐,并保持对威胁的强大防御。,, 2. 具有手术精度的定制,没有两家企业是相同的,因此,它们的安全风险、风险偏好、安全需求等也是独一无二的。通用且一刀切的网络安全方法对业务不利。包括 WAF 规则在内的安全措施必须针对业务的独特需求进行精确定制,并且必须不断调整以适应应用程序本身的动态和新出现的威胁。, 3. 业务逻辑漏洞评估、渗透测试和安全审计,自动扫描程序加快了识别所有已知漏洞的过程。然而,他们错过了可能看似合法但具有破坏性的业务逻辑漏洞。同样,自动化和 WAF 可能会遗漏未知漏洞、错误配置和安全漏洞。为了识别这些并减轻与之相关的风险,经过认证的安全专家必须进行业务逻辑漏洞评估、渗透测试和安全审计,以加强网站的安全策略和安全态势。因此,WAF 必须是端到端安全解决方案的一部分。, 4. 灵活无忧的部署,Web App Firewall 必须易于部署、灵活且易于部署,从而实现零停机时间。Cloud WAF 就是这样一个解决方案。, 5. 零误报,托管 WAF 可确保零误报,以确保开发人员和其他资源的有限且宝贵的带宽不会被不构成或尚未构成威胁的事物侵蚀。WAF 还有助于防止使用以前未知漏洞的攻击;通过在这些攻击造成任何损害之前阻止这些攻击,开发人员不太可能遭受误报,从而导致浪费大量时间和资源来对抗并非真正的攻击。,, 6. 网站/网络应用程序的全天候可用性,托管 WAF 必须能够确保您的网站/Web 应用程序全天候可供最终用户使用,且停机时间或崩溃为零。从本质上讲,WAF 必须为您的 Web 应用程序提供主动、即时、多层和定制的保护,以抵御各种DDoS 攻击。增强的网络安全不得干扰网站的速度、敏捷性或性能,反之亦然。最好的安全解决方案为此提供CDN 服务。, 7. 风险态势和业务影响的 24×7 可见性,WAF 必须有一个全面且信息丰富的仪表板,该仪表板提供安全洞察力以及对您的风险状况和业务影响的 24×7 实时可见性。这样,您不仅可以了解存在哪些漏洞,还可以了解它们的来源和原因、被阻止请求的来源等,从而使您和您的安全团队能够采取主动措施来加强安全性。, ,随着网络犯罪和网络攻击成为企业及其最终客户面临的最大风险,稳健、动态和全面的网络安全战略和措施已成为各种类型和规模的企业的当务之急。WAF 或Web 应用程序防火墙是并且必须是任何综合 Web 安全解决方案的重要组成部分。它是保护网站/Web 应用程序免受不良行为者和恶意请求的第一道防线。,Web App Firewall 必须是全面的,以确保从应用程序、服务器、第三方资源等中检测到所有已知漏洞,并立即修补直到被开发人员修复并过滤掉所有恶意/非法请求。,
Web 应用程序防火墙 (WAF) 就像一个力场,只允许合法请求和良好流量访问您的网站/Web 应用程序,过滤并阻止不良请求和僵尸网络。几种WAF 替代品充斥着市场,但并非所有 WAF 都是平等的,而且它们绝对不能提供相同级别的安全性。在本文中,我们为您提供了一组 8 个问题,您必须在做出决定之前询问 WAF 提供商。,,您必须向 WAF 提供商提出的 8 个问题, 1. WAF 保护什么?,始终选择全面的 Web 应用程序防火墙,以保护您的 Web 应用程序免受所有已知漏洞的影响。它必须能够检测来自应用程序、服务器、第三方资源等的已知漏洞并修补漏洞,直到开发人员修复。, 2. 使用了哪些检测技术?,Web 应用程序防火墙分析流量以仅允许合法用户访问应用程序,同时过滤掉不良/恶意请求以阻止攻击/威胁。为此,最好的 Web 应用防火墙将包括一系列检测技术,例如签名匹配、行为分析、规范化等。,此外,在选择 Web 应用程序防火墙时,比较误报率与负率的证明、第三方测试结果、检测/阻止的零日威胁以及潜在供应商的频率和误报管理策略。, 3. 它是如何保护的?,根据对以下问题的回答和您的 Web 应用程序的独特需求,评估 Web 应用程序防火墙如何保护 Web 应用程序。,, 4. 它允许定制吗?,没有两个企业或 Web 应用程序是相同的——它们的威胁和漏洞、风险、风险偏好、安全需求等因各自独特的环境而异。因此,WAF 策略/规则需要以外科手术般的准确性进行定制,以提高安全性,并持续不断地进行调整,以跟上应用程序本身的活力和新出现的威胁。,选择一个托管的 WAF,它提供实时洞察和安全分析、24×7 的风险状况可见性和业务影响,就像来自 AppTrana 的那样 – 它结合了自动化的力量与经过认证的安全专家的智能和创造性思维技能,他们定制- 基于对您的业务及其独特需求的深刻理解,以外科手术般的准确性构建您的 WAF,并根据 WAF 提供的安全分析、实时洞察力和可见性调整策略。, 5. 它是否配备了 Accurate learning 以根据新的威胁向量和应用程序的风险态势,根据生产中应用程序的当前风险级别不断更新其策略?,选择配备 AI、ML 和全球威胁情报数据库的智能 WAF,使其能够从企业自身过去的攻击历史和全球范围内的攻击中学习,不断寻找新的区域来寻找漏洞并区分机器人和人类流量通过使用其学习来允许、阻止、标记或质疑请求。, 6. 是否可扩展?,您的业务一定会增长,您的客户也会增加,或者您的 Web 应用程序将获得更大的流量,或者您的应用程序本身可能会增长,或者由于促销/活动可能会出现突然的流量高峰。无论哪种情况,WAF都必须能够保护您的应用程序,而与流量无关。因此,流量峰值的可扩展性、多租户和带宽成本是重要的考虑因素。这些将影响 Web 应用程序的速度、性能和可用性。,, 7. 记录和报告如何工作?,评估安全性和流量日志审计跟踪和报告的深度、易于访问性和全面性。此外,检查报告是否可定制、是否可以按需生成并按计划生成、报告格式、可视化和演示的用户友好性以及分发方法。这些因素会影响安全事件调查的有效性和质量。, 8. 是否易于部署?,您最不希望的事情是在部署 Web 应用程序防火墙时应用程序变得不可用或崩溃。Cloud WAF易于部署、灵活且无忧,在入职期间可实现零停机和崩溃。,选择 Web 应用防火墙时要问的另外两个问题是:,选择合适的 WAF 来加强 Web 安全并为企业节省数百万美元。, ,Web 应用程序防火墙 (WAF) 就像一个力场,只允许合法请求和良好流量访问您的网站/Web 应用程序,过滤并阻止不良请求和僵尸网络。几种WAF 替代品充斥着市场,但并非所有 WAF 都是平等的,而且它们绝对不能提供相同级别的安全性。在本文中,我们为您提供了一组 8 个问题,您必须在做出决定之前询问 WAF 提供商。, 2. 使用了哪些检测技术?,
如果您去过机场,您就会知道机场安检是如何运作的。您必须进行彻底检查,并通过金属探测器、步入式人体扫描仪和其他机器扫描您的物品,以确保您没有携带任何危险/违禁物品在您自己或您的物品中,并且允许您安全地放你进入机场。如有必要,您可能会被叫到一边进行彻底的拍打/搜身,并且您的财物可能会由保安人员检查。如果检测到任何安全威胁,安全人员将按照协议行事。这些措施始终有助于保持机场安全。Web 应用程序防火墙(WAF) 的工作方式与保护网站/Web 应用程序的方式类似。,,Web 应用程序防火墙是 Web 应用程序/网站/Web 服务器与试图访问 Web 服务器/网站的 Web 流量之间的保护屏障和第一道防线。每个请求都会根据提供给 WAF 的一组规则进行扫描和监控,以过滤和阻止不良请求,并保护应用程序免受恶意行为者、僵尸网络和不良流量的侵害。他们定期扫描网站以识别漏洞、漏洞和漏洞,并立即对其进行修补,以确保网站安全,同时开发人员修复漏洞/漏洞/弱点。(请注意,即使是严重漏洞也需要 100 天才能修复)。,请务必注意,并非所有 Web 应用程序防火墙都能有效保护网站。他们需要具备某些功能,使 WAF 能够有效地确保安全和安保。让我们来看看这些功能。, 1.云端部署,WAF 作为硬件或软件安装在本地部署或通过云部署。在这些方式中,云 WAF 被认为是提升 Web 安全性的最有效方式,特别是对于 SaaS 企业和其他严重依赖网站/Web 应用程序来提供服务/解决方案(如电子商务、娱乐等)的企业。云 WAF很容易并且部署和维护相对有效,更新是自动的,更新不会干扰工作或影响网站速度,并为具有多个移动部分的敏捷和动态网站提供 Web 安全所需的敏捷性。,, 2. 自定义规则/政策,Web App Firewalls 基于现有规则(称为策略)工作。使用这些策略,他们可以识别漏洞、监控威胁流量、阻止恶意请求、修补漏洞并采取任何其他必要措施。这些策略需要根据网站/Web 应用程序的上下文、风险概况和整体安全状况进行定制。,一刀切的方法是行不通的。虽然识别和阻止已知漏洞(如跨站点脚本、SQL 注入等)的策略对于大多数网站来说都是相似的,但需要调整这些策略以使 WAF 能够识别僵尸网络和其他恶意行为者,防止 DDoS 攻击等. 例如,如果业务不在/不针对某些国家/地理位置,则可以调整 WAF 策略以阻止来自这些国家的用户的访问,从而减少攻击面。同样,还需要自定义规则来防止业务逻辑漏洞,如果这些策略不是以手术准确性定制的,则这些漏洞可能会作为合法请求冒充。, 3. 主动性、智慧和直觉,像WAF这样的智能、主动和直观的 WAF会持续监控流量,即时行动,并可以决定是否需要允许、阻止、挑战或标记请求。WAF 还拥有全球威胁情报数据库,以确保 WAF 从全球的攻击模式中学习,并紧急采取行动维护网站/Web 应用程序的安全态势。, 4. 由经过认证的安全专家管理,在网络安全方面,机器有其局限性。为了提高网络安全性,无论是了解和缓解业务逻辑缺陷,还是分析流量模式/实时安全数据以防止 DDoS 攻击或快速阻止零日攻击,认证安全专业人员的智慧和创造性解决问题的能力都是必不可少的威胁。专家们基于对业务环境和风险敞口的深刻理解,以外科手术般的准确性定制规则。,,如果您选择提供的托管、智能、全面和主动的 Web 应用程序防火墙,您可以确保您的网站/Web 应用程序的最高安全标准,并专注于您的核心业务。, ,如果您去过机场,您就会知道机场安检是如何运作的。您必须进行彻底检查,并通过金属探测器、步入式人体扫描仪和其他机器扫描您的物品,以确保您没有携带任何危险/违禁物品在您自己或您的物品中,并且允许您安全地放你进入机场。如有必要,您可能会被叫到一边进行彻底的拍打/搜身,并且您的财物可能会由保安人员检查。如果检测到任何安全威胁,安全人员将按照协议行事。这些措施始终有助于保持机场安全。Web 应用程序防火墙(WAF) 的工作方式与保护网站/Web 应用程序的方式类似。,WAF 作为硬件或软件安装在本地部署或通过云部署。在这些方式中,云 WAF 被认为是提升 Web 安全性的最有效方式,特别是对于 SaaS 企业和其他严重依赖网站/Web 应用程序来提供服务/解决方案(如电子商务、娱乐等)的企业。云 WAF很容易并且部署和维护相对有效,更新是自动的,更新不会干扰工作或影响网站速度,并为具有多个移动部分的敏捷和动态网站提供 Web 安全所需的敏捷性。,
WAF 或 Web 应用程序防火墙是一种重要的安全工具/产品,可让您主动保护您的网站/Web 应用程序免受恶意攻击,并保持对不良行为者/流量的强大防御。Web App Firewalls 可防御已知威胁,例如SQL 注入、DDoS 攻击、跨站点伪造、跨站点脚本 (XSS)、文件包含和点击劫持等。,,在当今的现代 IT 环境中构建和部署 WAF,具有多个移动部件和第三方组件的日益复杂的应用程序是一个关键而艰难的过程。这是帮助您浏览此过程的指南。, WAF 是如何工作的?,Web应用防火墙是应用前面的透明反向代理,保证所有流量都通过它,并分别将过滤后的流量发送给应用,隐藏应用服务的IP地址。它本质上是在所有请求到达您的 Web 服务器/应用程序之前根据规则(称为策略)监视和解析所有请求。这些策略使 Web App Firewall 能够确保恶意请求和负载不会降级、破坏或将您的应用程序暴露给 DDoS 或其他威胁,或导致数据泄露。如果发现漏洞或错误配置,这些策略会告诉防火墙需要做什么。, 基础工作:了解应用程序/网站以及 WAF 上下文与它的关系,规划是构建防火墙的关键第一步。了解和分析与应用程序相关的工程问题、您的独特上下文以及 Web 应用程序安全性的特殊需求。请记住,鉴于当今世界的复杂性和活力不断增加,传统/传统的 Web 安全方法和万能的开源 Web App Firewall 无法胜任。因此,了解您的目标是什么、WAF 在您的安全解决方案中的位置以及相应地定制安全性至关重要。,根据您的需求、环境和预算限制,您必须决定如何部署您的防火墙——作为硬件、软件或云 WAF。这些部署模式中的每一种都有其独特的优点和缺点。然而,云 WAF 因其成本效益、易于部署、可扩展性和敏捷性而受到组织和安全专家的广泛青睐。,另一个重要的决定是您是想自己构建 WAF 还是将其加载到 AppTrana 提供的全面智能解决方案上。无论哪种情况,您都必须完成以下步骤。,,Web App Firewall 遵循 3 种安全模型 –, 黑名单/负面模型允许所有流量,同时监控和防止/阻止所有已知威胁和恶意请求。它要求 WAF 不断地从事行为学习,否则,该模型将变得无效。, 白名单/正模型,其中所有预期的预先批准的请求/流量都被阻止。它可能导致高误报(合法请求被拒绝),这是有害的,因此,定期和持续的调整和配置对于该模型的有效性是必不可少的。, 混合安全模型结合了正面和负面模型,以最大限度地减少两者的缺点并提高 Web 应用程序的安全性。,您必须为您的环境和需求选择正确的模型。WAF 提供的模型只是部署的起点,并且考虑到 Web 应用程序的动态特性,混合安全模型是/应该是任何严肃的事务性 Web 应用程序的起点,并且在部署后如何配置它是当您开始获得来自 WAF 的真正价值。, 创建和配置 WAF 策略,在下一步中,您需要制定所有必要的策略,首先从基本策略开始——分析流量、了解 OWASP 的模式和 MO 以及其他已知漏洞、发现漏洞的操作等。如果您正在加入服务, Web App Firewall 将已有默认策略。,制定基本策略后,您必须配置和调整这些策略,并根据您在规划阶段确定的上下文和需求创建自定义策略。例如,如果您不在特定国家或大洲提供服务,您可以阻止这些地区访问您的应用程序/网站。同样,业务逻辑/策略更改可能会产生缺陷。因此,需要不断调整 WAF 策略。,您还必须在 WAF 中启用日志记录和安全分析,以便安全专家可以密切监控和管理安全。这是至关重要的,因为存在机器无法注意到的缺陷,只有人类专家才能发现和纠正。,最重要的是尝试保持 WAF 策略的更新,以防御现有的应用程序安全风险,您可能会通过 Web 应用程序安全评估发现这些风险,并以这些策略和攻击为基础,作为在您的 WAF 上创建未来特定于应用程序的更新的基础。,, 用 AI-ML 让 WAF 变得智能,通过根据您在应用程序中从安全测试提要中发现的现有风险以及对您网站上发生的攻击的了解不断尝试 WAF 策略更新,您可以使Web App Firewall更加有效。它将不断从过去的攻击历史和全球威胁情报中学习,并将其映射到您现有的应用程序安全风险中,这将使您能够更准确地降低风险。AppTrana 的 WAF,通过集成应用程序安全风险评估和管理自定义规则/更新到您的 WAF 策略,提供特定于应用程序上下文的更新。, 让自己了解安全方面的最新信息,您的 Web 应用程序防火墙仅与您选择的规则和模型一样有效。了解安全方面的最新动态和最佳实践将使您能够更好地调整您的 WAF 和您的安全解决方案。, ,WAF 或 Web 应用程序防火墙是一种重要的安全工具/产品,可让您主动保护您的网站/Web 应用程序免受恶意攻击,并保持对不良行为者/流量的强大防御。Web App Firewalls 可防御已知威胁,例如SQL 注入、DDoS 攻击、跨站点伪造、跨站点脚本 (XSS)、文件包含和点击劫持等。, 基础工作:了解应用程序/网站以及 WAF 上下文与它的关系,