分析过开源WAF产品modsecurity,naxsi,现在来分析商用的WAF产品——impreva SecureSphere(被业内评为最好的WAF产品)。
一款WAF产品,我们会主要从功能、易用性、性能三方面来进行评测。
首先,我们知道waf产品从用户定位来看,有以下两种:
目标用户:站长 提供的服务:防住攻击就好,例如云WAF产品 收费点:增值服务
目标用户:互联网商家 提供的服务:不仅仅是防住攻击,还有风控、审计、监控,SIEM,取证等要求,例如SecureSphere 收费点:产品ALL-in-One
接下来,我们按第二种WAF产品的要求,来看SecureSphere的优势在哪里?
一、功能
1. 防御攻击的能力
我们知道传统WAF(包括其他安全产品)的技术核心是模式匹配,静态规则库很明显的缺陷有以下几点
a. 已知攻击的绕过
1)HTTP协议解析漏洞 :WAF进行模式匹配的时候都是对HTTP协议变量进行匹配,攻击者构造异常的HTTP数据包导致不能正常提取变量,都不能进入到模式匹配阶段,自然而然就绕过了
2)模式匹配的先天不良:字符串匹配,无论是简单的正则匹配或者会配合一定的逻辑的匹配(比如对不同关键字进行加权操作,前后依赖关系判断)反正都逃不开模式两个字,而模式是固定的,就导致了各种侧漏。
b. 未知攻击不可感知与响应滞后
当然,传统WAF也未这些缺陷,做出了弥补方案
1) 静态白规则的应用——基本都死在了误报上
如何自动生成白规则? 如何感知防御内容变化动态生成白规则?是解决误报的难点,而SecureSphere找到了解决方案,这个也是它最大的卖点。
2) 事后运维
手段1:日志漏报分析——死在了日志分析能力上,如何保证及评测准确率,召回率
手段2:外界反馈(用户,安全圈)——死在了不可说的原因下
这两种手段的共同缺点是滞后,滞后的安全不是健康预防,甚至不是医生急救,而是法医验尸
我们来看看SecureSphere的解决方案
1)、动态行为建模——最大卖点
“adaptive normal behavior profile NBP architecture 动态生成应用正常行为特征模型 (白名单)”
impreva SecureSphere分析 – 碳基体 – 碳基体
从上图我们可以考到,模型包括三个方面
(1)web特征模型
核心:理解应用,用户点击一个url的过程,发生了什么?
请求方法?请求path?查询字符串?post数据?表单如何解析?JS如何处理?请求通过web server传入后端后,交给了谁?是DB?还是OS的文件系统?怎么处理?最后是读取、写、还是执行操作。
(2)DB特征模型
web特征(server级别,app级别);DB特征(server,app); web-DB关联特征; 以用户会话为单位的请求关联分析,对后续的攻击事件取证也有很大帮助。 更优秀的分析方法吸取了白名单的优点-漏报小,改善白名单的缺点-误报大。
2)策略细化
解决问题有两种方法,一是破——创建全新的方案(最大卖点,前面提到了),二是补——将已有方案优化到极致。
WAF最核心的组件——安全策略(比较low的叫法是规则),测量有五要素
策略类型 e.g. 防御SQLi
匹配条件 e.g. 参数名/参数值有注入语句
应用对象 e.g. 查询字符串,POST正文,请求头
动作 e.g. 拦截本次请求
例外 e.g. SQL管理后台例外
而SecureSphere从以下方面来化腐朽为神奇
1. 策略类型全,我们强调了发现未知的神奇处,也不能忽略了已知(已经获得的安全知识)的优势,他们比未知更为有效(成本低,性能高)
2. 策略多样性,不仅仅是正则特征码,还包括调用第三方工具接口(e.g. 扫描器接口,欺诈检测接口); 不仅仅有防攻击策略,还有主动防御策略
3.策略动作的多样性,不仅仅是记录与拦截
4. 策略的配置粒度——合适的粒度,不要一刀切,例如所有的get参数,用同一个正则匹配
5. 应用防御中心ADC的有力 支撑:每个做安全产品的背后都有一个或多个攻防实验室在补充知识库,无论是自己的还是别人的
6. ThreatRadar——外界安全情报系统的支撑:攻击源(IP,url)信誉库来阻挡大面积自动化攻击,区分自动化攻击,细化人工攻击
2. 不仅仅是防御攻击
传统WAF到这里就结束了。而SecureSphere做得更多
它集成了以下模块:
(1) 风险管理: 集成了扫描器(DB,web漏洞)——风控团队可以用
(2) 审计管理——审计团队可以用
风控与审计,对金融(电商,支付,银行)类目标用户,是标配
(3) 监测IDS系统——SIEM(监测,取证)团队可以用
3. 缺失或存在质疑的安全功能
缺失:
质疑:是否有宣传的,对未知攻击的捕获、识别、评估有那么牛
1. 捕获异常的能力:模型的准确率、召回率
2. 识别异常的能力:是哪种0-day/未公开漏洞
3. 评估异常的能力:影响了多少个系统?造成多大的危害
4. 泛安全功能(不是传统意义的攻击,但是危害用户的行为)
1. 网站内容保护——反恶意抓取、垃圾信息注入
2. 精准洪泛攻击——对API接口的海量调用、例如短信接口、验证码接口
二、易用性
1. 产品部署
接入方式是否容易? SecureSphere支持透明桥部署;代理部署;旁路监听部署
2. 产品使用
差评:除了部分策略需要本土化,这是最需要本土化的地方
优化程度:理想状态——不需要培训; 可接受状态:用户手册不超过20页
3. 产品运维
疑问:
(1)新接入站点的训练时间? 站点内容与训练时间的对应关系
(2)站点变更的发现与训练?
(3)错误的训练数据的影响?
三、性能
见官方数据
流量: multi-gigabit
延迟: sub-milliseconds
四、总结
从优秀的产品学习如何改善自己的产品
优点(卖点):
1. WAF本职:
创新点:动态建模(dynamic application and database profile ; user access monitoring; behavior modeling、web-DB 联动分析 (web user session to Dtabase query mapping) +
优化点:策略细化——更快(发现快,响应快)、更准(拦截准,定位准)、更全(发现攻击,识别攻击,评估攻击)
impreva SecureSphere分析 – 碳基体 – 碳基体
2. 不仅仅是WAF,更是风控、审计、监测、取证
3. 泛安全,不局限于安全,考虑用户需要的
缺点:
操作本土化、简化
策略本土化(这个其实不算缺点)
山寨这款产品的方法就是有选择的继承卖点+本土化
[via@碳基体]
Copyright © hongdaChiaki. All Rights Reserved. 鸿大千秋 版权所有
联系方式:
地址: 深圳市南山区招商街道沿山社区沿山路43号创业壹号大楼A栋107室
邮箱:service@hongdaqianqiu.com
备案号:粤ICP备15078875号