首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2020 > 正文

Web攻防對(duì)抗｜防御零日漏洞，安恒新一代WAF穩(wěn)坐釣魚臺(tái)

閱讀量：次

未知攻，焉知防。

在Web攻防對(duì)抗的戰(zhàn)場(chǎng)上，

0day作為一類不為人知的秘密武器，

可以說是進(jìn)攻方的王牌殺手锏！

那么，什么是0day？

又應(yīng)如何防范呢？

未知威脅——0day

0day漏洞，又稱“零日漏洞”(zero-day)，是已經(jīng)被發(fā)現(xiàn)但尚未被公開，官方還沒有相關(guān)補(bǔ)丁或無有效應(yīng)對(duì)手段的漏洞。

通俗地講就是，除了漏洞發(fā)現(xiàn)者，沒有其他的人知道這個(gè)漏洞的存在，并且這個(gè)漏洞可以有效地加以利用，發(fā)起的攻擊往往具有很大的突發(fā)性與破壞性，防不勝防！

從理論上講，每一個(gè)稍具規(guī)模的應(yīng)用軟件都會(huì)存在漏洞，0day也必然存在，區(qū)別只是尚未發(fā)現(xiàn)而已。

在實(shí)踐中，已被廣泛應(yīng)用的Web系統(tǒng)，由于其開放性，互聯(lián)網(wǎng)內(nèi)任意用戶都可以對(duì)其進(jìn)行訪問或攻擊，來自未知的潛在威脅更加嚴(yán)重。那么，我們應(yīng)該如何防護(hù)呢？

傳統(tǒng)Web 0day防護(hù)手段

針對(duì)Web攻擊防護(hù)主要以Web應(yīng)用防火墻（簡(jiǎn)稱WAF）為主。傳統(tǒng)的防護(hù)手段分為基于已有規(guī)則防護(hù)與事后升級(jí)規(guī)則庫(kù)應(yīng)對(duì)兩種方式。

1、基于已有規(guī)則防護(hù)

針對(duì)新爆發(fā)的0day漏洞，通過 WAF已有規(guī)則對(duì)攻擊進(jìn)行檢測(cè)識(shí)別。此種方式有效識(shí)別的關(guān)鍵在于，新的0day漏洞利用攻擊的攻擊特征與規(guī)則庫(kù)中已有特征吻合，進(jìn)而能夠有效識(shí)別。然而，由于0day的突發(fā)與未知性，已有規(guī)則庫(kù)能夠有效檢出的概率較低，其0day檢出率一般在9%左右，故此種方式針對(duì)性不強(qiáng)，時(shí)效性相對(duì)較強(qiáng)。

2、事后升級(jí)規(guī)則庫(kù)

針對(duì)新爆發(fā)的0day漏洞，WAF廠家通過攻擊行為分析提取相關(guān)特征并升級(jí)特征庫(kù)，進(jìn)而獲得0day漏洞的防御能力，此方式的針對(duì)性強(qiáng)，在官方系統(tǒng)補(bǔ)丁更新前，能夠有效防止已爆發(fā)過的0day攻擊，針對(duì)性較強(qiáng)但時(shí)效性較差，漏洞暴露時(shí)間受限于WAF規(guī)則庫(kù)升級(jí)時(shí)間。

新一代WAF?0day防護(hù)升級(jí)

傳統(tǒng)的0day漏洞防護(hù)方案要么時(shí)效性差檢出率高，要么時(shí)效性強(qiáng)檢出率低，那么是否有技術(shù)手段可以實(shí)現(xiàn)時(shí)效性、檢出率、針對(duì)性兼具呢？

答案是【有】！

前幾日，安恒信息新一代智能WAF斬獲了Frost&Sullivan 2019年大中華區(qū)（包括但不限于中國(guó)大陸+港澳臺(tái)）Web應(yīng)用防火墻整體市場(chǎng)份額排名第一的殊榮。

（圖｜該排名為硬件WAF及云WAF的總體市場(chǎng)排名）

此前，國(guó)內(nèi)數(shù)字化領(lǐng)域第三方調(diào)研機(jī)構(gòu)數(shù)世咨詢推出了《中國(guó)網(wǎng)絡(luò)安全能力圖譜》，展示了細(xì)分產(chǎn)品的代表供應(yīng)商。其中，在Web應(yīng)用防護(hù)領(lǐng)域里，安恒信息成為WAF產(chǎn)品的代表者。

那究竟它有什么神奇之處呢？

安恒信息新一代智能WAF采用的語義分析+機(jī)器學(xué)習(xí)安全引擎相結(jié)合的方式可實(shí)現(xiàn)對(duì)未知威脅的有效防護(hù)，兼具時(shí)效性與檢出率！

■ 語義分析

作為OWASP TOP 10中排名靠前的攻擊方式，SQL注入、XSS等命令型攻擊由于具備極強(qiáng)的靈活性，是Web攻防對(duì)抗中是最常被用到的攻擊手段之一。傳統(tǒng)的基于靜態(tài)簽名特征的防護(hù)方式極易被繞過造成未知威脅攻擊，下圖以SQL注入防護(hù)為例簡(jiǎn)要分析此過程：

一個(gè)為黑客進(jìn)行的惡意攻擊，一個(gè)正常用戶提交的帶有敏感字段的正常報(bào)文。

上圖中的真實(shí)訪問內(nèi)容解碼后為：

攻擊報(bào)文：http://x.x.x.x/list.asp?tp=1 union select from user where 1=1
正常報(bào)文：http://x.x.x.x/list.asp?tp=student union representative should be those best students that you can select from this class

傳統(tǒng)基于靜態(tài)簽名規(guī)則的WAF應(yīng)對(duì)這種情況就存在兩難的問題：要么嚴(yán)格限制，這樣就會(huì)導(dǎo)致正常用戶請(qǐng)求誤攔截；要么寬松限制，這樣則會(huì)導(dǎo)致攻擊請(qǐng)求被放過，難以兩全。

安恒新一代智能WAF提供業(yè)界領(lǐng)先的智能語義分析引擎，結(jié)合詞法/語法分析，基于理解語言規(guī)范基礎(chǔ)上，結(jié)合上下文進(jìn)行關(guān)聯(lián)分析，解析異變的web攻擊，還原攻擊威脅。在保證極低誤報(bào)率的基礎(chǔ)上，同時(shí)有效識(shí)別傳統(tǒng)WAF無法檢測(cè)的變種繞過的未知攻擊行為。

以2019年12月公布的Apache Struts2 代碼問題高危漏洞（CNNVD編號(hào)：CNNVD-201912-256）為例，攻擊者可借助畸形的XSLT文件利用該漏洞上傳并執(zhí)行任意文件。針對(duì)此類Struts2漏洞，安恒新一代WAF通過內(nèi)置OGNL語法檢測(cè)模塊，已獲得Struts2漏洞攻擊的先天免疫能力。已部署使用安恒新一代智能WAF的客戶驚喜地發(fā)現(xiàn)，無須任何升級(jí)就已具備防范利用此漏洞進(jìn)行攻擊的能力！

同樣的，在近期大規(guī)模的攻防對(duì)抗時(shí)期，應(yīng)用廣泛的Web攻擊工具冰蝎3.0版本發(fā)布，其最重要的變化就是“去除動(dòng)態(tài)密鑰協(xié)商機(jī)制，采用預(yù)共享密鑰，全程無明文交互”，這給基于簽名特征庫(kù)匹配的帶來了新的挑戰(zhàn)，新一輪的特征庫(kù)緊急升級(jí)又開始了。而安恒新一代智能WAF語義分析引擎不僅支持基于OGNL的語義分析，同樣支持對(duì)JSP、PHP、ASP的WebShell識(shí)別檢測(cè)，可有效阻斷WebShell上傳，因此無須升級(jí)即可獲得針對(duì)冰蝎3.0的免疫防護(hù)能力！

■?機(jī)器學(xué)習(xí)

與傳統(tǒng)WAF自學(xué)習(xí)功能不同，機(jī)器學(xué)習(xí)屬于無監(jiān)督過程，安全模型自動(dòng)學(xué)習(xí)、自動(dòng)更新、自動(dòng)進(jìn)入異常檢測(cè)，無需人工介入！

學(xué)習(xí)階段：建立模型的流量全部為經(jīng)過安全檢測(cè)的白流量，機(jī)器學(xué)習(xí)針對(duì)業(yè)務(wù)系統(tǒng)建立“量身定做”的安全訪問模型。

檢測(cè)階段：學(xué)習(xí)結(jié)束后自動(dòng)進(jìn)入檢測(cè)階段，Web流量首先經(jīng)過安全訪問模型的檢測(cè)，機(jī)器學(xué)習(xí)通過將訪問流量與安全模型的偏離度進(jìn)行比較。

訪問流量與安全模型無偏離度或者偏離度較小則屬于白流量，無需經(jīng)過安全引擎將流量直接放行

訪問流量與安全模型的偏離度屬于中間范圍則屬于灰流量，機(jī)器學(xué)習(xí)無法判斷則會(huì)將流量發(fā)給安全引擎繼續(xù)檢測(cè)

訪問流量和安全模型的偏離度較大則屬于黑流量，機(jī)器學(xué)習(xí)主動(dòng)進(jìn)行攔截

機(jī)器學(xué)習(xí)完成進(jìn)入檢測(cè)模式后，依據(jù)“量身定做”的安全模型識(shí)別黑、灰、白三種不同流量，進(jìn)而針對(duì)安全性的不同采取不同的處理策略，在高效保障正常業(yè)務(wù)訪問的同時(shí)，可以有效識(shí)別并阻斷0day等未知威脅訪問，為用戶的Web安全保駕護(hù)航！

通過以上分析可以看出，安恒信息新一代智能WAF語義分析+機(jī)器學(xué)習(xí)引擎的組合，不僅能有效防止0day等未知威脅，同時(shí)還能大大縮短威脅檢測(cè)的路徑，流量安全檢測(cè)冗長(zhǎng)的規(guī)則庫(kù)逐項(xiàng)檢測(cè)不再是必選項(xiàng)，從而大大提高了檢測(cè)效率，提高了防護(hù)效率。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢(shì)感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場(chǎng)>

工業(yè)互聯(lián)網(wǎng)安全>