隨著企業(yè)數(shù)字轉(zhuǎn)型和“安全上云”運(yùn)動(dòng)的開(kāi)展，以及當(dāng)下疫情加重的Web安全和應(yīng)用安全焦慮，越來(lái)越多的企業(yè)開(kāi)始考慮購(gòu)買WAF或云WAF產(chǎn)品。但是，在“戰(zhàn)五渣?四大云WAF實(shí)戰(zhàn)測(cè)試險(xiǎn)遭團(tuán)滅”一文中，我們了解到即使是一些大牌云計(jì)算廠商的云WAF產(chǎn)品，在測(cè)試中的表現(xiàn)往往都讓人大跌眼鏡。

其實(shí)不僅僅是云WAF，根據(jù)最新的調(diào)查報(bào)告，WAF產(chǎn)品的有效性和客戶滿意度的表現(xiàn)越來(lái)越令人失望。雖然WAF已經(jīng)成為是企業(yè)應(yīng)用安全策略的主力產(chǎn)品，但事實(shí)是，大多數(shù)企業(yè)都難以充分利用此類產(chǎn)品。

[[337644]]

六成企業(yè)對(duì)WAF不滿意

根據(jù)Neustar國(guó)際網(wǎng)絡(luò)安全委員會(huì)近期發(fā)布的調(diào)查報(bào)告，大量Web應(yīng)用程序攻擊繞過(guò)了WAF，企業(yè)難以對(duì)其進(jìn)行調(diào)整，并且WAF沒(méi)有很好地集成到更廣泛的安全功能中。這佐證了安全分析師和相關(guān)研究機(jī)構(gòu)在過(guò)去18個(gè)月中提出的警告：WAF保護(hù)機(jī)制仍然需要進(jìn)一步發(fā)展，并且不能成為應(yīng)用安全計(jì)劃的唯一支柱。

根據(jù)Neustar的報(bào)告，有四成的安全專家報(bào)告說(shuō)，在應(yīng)用層攻擊，至少有一半的應(yīng)用層攻擊最終繞過(guò)了WAF。更加令人吃驚的是，10%的用戶表示, 超過(guò)90%的攻擊都繞過(guò)了WAF。

同時(shí)，三分之一的安全專家反應(yīng)，過(guò)去12個(gè)月中大約50%的網(wǎng)絡(luò)請(qǐng)求被WAF誤報(bào)。研究指出這是因?yàn)閃AF的配置調(diào)優(yōu)對(duì)于相當(dāng)比例的企業(yè)來(lái)說(shuō)難度很大。大約30%的用戶表示他們很難修改WAF策略以防范新的應(yīng)用層威脅。此外，40%的企業(yè)無(wú)法將其WAF完全集成到其他應(yīng)用安全技術(shù)或更廣泛的安全功能中。

這些結(jié)果與Ponemon Institute于2019年進(jìn)行的一項(xiàng)研究相呼應(yīng)，該研究表明60%的企業(yè)對(duì)其WAF產(chǎn)品不滿意。該研究發(fā)現(xiàn)，65%的受訪者表示應(yīng)用程序?qū)拥墓艚?jīng)?；蛴袝r(shí)會(huì)繞過(guò)WAF，只有40%的用戶對(duì)WAF產(chǎn)品滿意。Ponemon Institute還發(fā)現(xiàn)，平均每家企業(yè)雇用2.5名安全管理員，他們每周花費(fèi)45個(gè)小時(shí)處理WAF警報(bào)，另外每周花費(fèi)16個(gè)小時(shí)編寫WAF新規(guī)則。

WAF靠不住?

多個(gè)調(diào)查報(bào)告反映出的WAF可靠性和滿意度問(wèn)題已經(jīng)引起了業(yè)界分析公司的關(guān)注，這意味著WAF市場(chǎng)正面臨一次重大調(diào)整和變革。

Forrester Research的首席分析師Sandy Carielli表示：“根據(jù)Forrester今年春天對(duì)WAF市場(chǎng)的最新研究，很多企業(yè)希望WAF廠商提供更多的東西，如果廠商不盡快做出改變，那么WAF市場(chǎng)離崩盤就不遠(yuǎn)了。”

Forrester報(bào)告顯示，由于當(dāng)前的WAF方案無(wú)法處理更廣泛的應(yīng)用程序攻擊，特別是客戶端攻擊、基于API的攻擊和由機(jī)器人驅(qū)動(dòng)的攻擊，企業(yè)用戶已經(jīng)苦不堪言。

例如，在API攻擊方面，針對(duì)云體系結(jié)構(gòu)對(duì)元數(shù)據(jù)API和Webhooks的調(diào)用方式，服務(wù)器端請(qǐng)求偽造(SSRF)攻擊已經(jīng)越來(lái)越猖獗。

“WAF不一定必須進(jìn)行內(nèi)聯(lián)部署以監(jiān)視Web應(yīng)用程序的出站HTTP請(qǐng)求。許多SaaS公司都提供某種形式的Web hook產(chǎn)品，該產(chǎn)品可以代表用戶發(fā)出http請(qǐng)求，因此不容易與SSRF攻擊區(qū)分開(kāi)來(lái)，”K2網(wǎng)絡(luò)安全的聯(lián)合創(chuàng)始人兼CTO Jayant Shukla認(rèn)為，今年早些時(shí)候Capital One的數(shù)據(jù)泄露事件就始于SSRF攻擊，攻擊者正是利用了Capital One的WAF產(chǎn)品漏洞。“這些因素暴露了WAF在防御SSRF攻擊時(shí)存在嚴(yán)重缺陷。”

WAF的定位：只是應(yīng)用安全的“創(chuàng)可貼”

許多專家認(rèn)為，WAF面臨的困境表明當(dāng)今企業(yè)的應(yīng)用安全(AppSe)策略和執(zhí)行方面存在更多的系統(tǒng)缺陷。例如，去年秋天Radware進(jìn)行的一項(xiàng)研究指出，WAF與RASP和代碼審查工具類似，屬于“意大利面條式”方法，企業(yè)原本想用這些產(chǎn)品解決問(wèn)題，但發(fā)現(xiàn)這些產(chǎn)品同時(shí)也對(duì)企業(yè)的軟件開(kāi)發(fā)和應(yīng)用安全管理提出了更高的要求。

多年來(lái)，越來(lái)越多的企業(yè)將WAF作為應(yīng)用安全的運(yùn)營(yíng)工具，基于風(fēng)險(xiǎn)驅(qū)動(dòng)的優(yōu)先級(jí)來(lái)不斷改善軟件的安全性。他們對(duì)WAF的定位不是安全改進(jìn)的支持工具，而是將其作為前線防御措施。正如Neustar和Ponemon的調(diào)查結(jié)果，這導(dǎo)致安全團(tuán)隊(duì)疲于為WAF制定規(guī)則來(lái)挫敗新的攻擊技術(shù)。

企業(yè)用戶對(duì)WAF產(chǎn)品的滿意度持續(xù)下滑，還有一部分原因是企業(yè)對(duì)WAF的期望過(guò)高。只是將太多的希望寄托在他們身上。一些安全專家指出，WAF的準(zhǔn)確定位應(yīng)該是攻擊者的減速帶，為企業(yè)贏得更多修復(fù)代碼的時(shí)間， WAF不是“宙斯盾”，頂多算是干擾劑或近防炮而已。

Veracode產(chǎn)品管理高級(jí)總監(jiān)Tim Jarrett 表示：“如果您打算購(gòu)買使用WAF，首先要清楚這玩意不會(huì)無(wú)限期保護(hù)您的產(chǎn)品不受攻擊。”“因此，請(qǐng)抓緊WAF為你爭(zhēng)取的修復(fù)時(shí)間窗口，找出漏洞在應(yīng)用程序中的位置并盡快加以修復(fù)。”

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文