web应用程序防火墙(WAF)的问题在我看来并不是什么大问题,直到我真正开始深入这个领域正在进行的讨论。一般来说,供应商似乎在试图说服客户和他们自己,一切都很顺利,没有问题。
然而,在现实中,客户不再购买它,WAF行业承受着巨大的压力,因为在客户质量方面不断失败。
使用运行时应用程序自我保护(RASP)技术也引发了危险信号。现在有一种趋势,将缓解/防御方面引入应用程序,并在代码中编译它。人们认为,运行时应用程序的自我保护是保护软件的捷径,而这也与性能问题有关。它似乎是一个绝望的解决方案来取代WAFs,因为没有人真正喜欢在应用程序代码中混合它的“安全设备”,这正是RASP供应商目前提供给他们的客户的。然而,一些供应商正在采用RASP技术。
一般来说,由于缺乏自动化、可伸缩性和对新兴威胁的覆盖,WAF客户端非常失望,这些威胁随着现代僵尸网络变得越来越高效和咄咄逼人而变得至关重要。这些僵尸网络是在“老”物联网(IoT)僵尸网络之上的人工智能(AI)功能制造的,“老”物联网(IoT)僵尸网络正变得越来越多用途,其攻击不同载体的能力越来越强。传统WAF提供的功能已经成为一个令人不满的问题,而下一代WAF,作为人工智能系统诞生的,可能解决这种多维威胁的复杂性,是相当罕见的。
在网络和应用防御的网络防御部分,人工智能/机器学习(AI/ML)解决方案并不多。然而,越来越多的人工智能和ML解决方案开始浮出表面,作为对抗分布式拒绝服务(DDoS)攻击的重大成功,更具体地说,是针对应用DDoS世界的重大成功,L7 Defense的无监督学习方法证明了这一点。这种技术也可能在WAF解决方案中发挥关键作用,如防御相同的多用途僵尸网络。
我们开始看到在云中的WAF中使用ML的趋势。这一点很明显,因为今年甲骨文购买Zenedge,提供基于云计算、ml驱动的网络安全解决方案。Zenedge(现在动力学自甲骨文收购)提供了WAF,它显示了甲骨文云提供所需的自动化的迹象,尽管它并不足以产生巨大的差异从传统WAF功能,缺乏重大的技术进步在覆盖的基本谱比现有技术的威胁。
人工智能和ML是用于预测分析的工具。毫无疑问,对于基于云的WAF环境的未来和生存来说,它们是必须的。
经典WAF和云的问题
经典的WAF存在可伸缩性问题。我们可以尝试服务器负载平衡和弹性服务,但规模不是WAF最初内置的东西。尽管您可以生成实例,但事实是它不是为弹性而设计的。这实际上意味着经典的WAF不是为云架构而构建的。至于这一点,他们进行了改造,但缩放和自动化仍然是一个问题。人们接受它似乎不是因为它好,而是因为没有其他选择。
此外,WAFs对高级僵尸网络的动态威胁从来都不灵活,因为它们大多是用来保护简单的“SQL注入”攻击的。对于防止诸如凭证填充之类的攻击,它们肯定是不好的。
这两个方面的问题都需要人力在任何环境中定制和维护WAF。然而,对于内部环境来说足够好的东西现在还不能在完全自动化的云环境中被埋没。
WAF和DDoS (application layer)攻击
应用DDoS是WAF的一个主要的私有案例。就在不久前,随着问题变得越来越严重和苛刻,它被克隆为WAF的补充解决方案,而DDoS一直被视为操作问题而不是应用问题。应用层DDoS攻击是攻击者针对第七层OSI (Open Systems Interconnection)进行攻击。
他们寻找特定的网站功能和特点,意图禁用和破坏它们。袭击可能会在低流量率通常小于1 Gbps混合和大多数平庸的正常交通,因此非常具有挑战性的被检测到的传统的网络防御工具如WAF的,通常是基于已知签名或通过检测大胆的行为模式,没有一个与这类攻击相关。
至于应用层DDoS,我们有相同的多用途AI授权物联网僵尸网络,但在这种情况下,使用特定的、具有破坏性的应用向量,同时使用相同的伪装技术,以误导他们一直在DDoS世界中使用的防御者。因此,下一个逻辑步骤是将WAF连接到DDoS问题是有意义的。
现在,如果你不使用人工智能和WAF,你必须做好“准备失败,准备失败”的准备。我们从静态请求开始,然后转移到动态请求。我们从带有循环的脚本迁移到基于自动ai的攻击。恶意软件的自动传播是一个主要的转折点,现在我们开始看到完全自动化的DDoS攻击。
有证据表明,僵尸网络结合进化可以用来攻击WAF。然而现在,不是试图用DDoS使系统脱机,而是试图从系统中取出数据或以某种方式破坏数据。
现在仍有两个目标,它们已被收集起来作为补充。首先,在操作上,您的应用程序必须经得起DDoS的攻击才能保持运行。其次,不应该有不良参与者渗透应用程序,滥用您的客户和损坏数据。
AI增强了物联网僵尸网络攻击
使用我去年在《网络世界》上的文章中描述的相同原则——足球竞猜app软件人工智能DDoS攻击的兴起——攻击的载体本身可能是经典的,比如SQL注入,或者更更新的,比如证书人员。标准攻击工具,如w3af和Grabber,可以用于执行复杂的、多矢量攻击,其中,您正在寻找攻击web域内的特定功能。然而,你对防守者和进攻方式一无所知。
AI增强的攻击机制是为了提高效率。应用特定的向量(从凭证填充到滥用客户账户),将发送多个带有用户名和密码的请求,希望某些东西能捕捉到某些东西。它遵循了人们在多个地方使用相同密码的信念。
在AI中,它可以在战场上根据防御者的反应而改变战术,这更加致命。在攻击方面,AI可以优化针对特定目标的攻击,无需人工干预就能自动完成。因此,在物联网僵尸网络、原理和C&C服务器方面的同样进步可以用于WAF应该解决的其他应用攻击。
有一些东西正以与AI DDoS C&C服务器相同的强度动态地向你走来。因此,它有可能滑过任何雷达或阈值。AI有能力在飞行中优化,以便不被防御所使用的固定模式所注意。在这里,针对灵活攻击的静态防御不起作用。
防御方
在防御方面,传统的方法是使用一些已知漏洞的字典或数据库。然而,这不再有效,因为向量现在可以随机化了。它们可以来自多个来源和多个模式。
带菌者不会被发现,防御方也不会有足够的动力来有效地缓解。如果你正在寻找特定的模式,你将会遭遇硬着陆。
如何解决这个问题?
我想象有多个人工智能机器以网页和API的分辨率工作,命名为wafi -AI。这样,你现在就有了一个系统,可以独立地自动保护你的每个网站。每台人工智能机器都有一个特定的网页或API。
如果没有对应用基线的高分辨率机器学习,就不可能有效地防御多向量或人类模仿攻击,也不可能简单地最小化请求率攻击。
WAF应该能够抵抗各种多向量攻击,如SQL注入、远程命令执行、远程文件包含、本地文件包含、PHP注入、LDAP注入、Memcache注入和跨站脚本攻击;一次。我们需要专业知识来识别这些类型的攻击,并从第一次请求开始,以最大的准确性对它们进行分类。客观地说,这是识别“第一个请求”的关键部分。
假阳性和假阴性应该被限制,这将在网页级别接近零。如果你知道你在寻找什么,你是准确的,你不会错过一个节拍。记住,你现在身处战区。DDoS只是我们将在WAF中看到的一部分。WAF是许多厂商的核心,而DDoS则是其他厂商的核心。然而,在过去,DDoS一直被WAF搁置一边。
但事实是,WAF与DDoS连接良好。它们是同一个问题的一部分。最终,有了这种想法,我们可以有所作为。
正确的前进方向
我们需要找到一个解决方案,它使用了与Applicative DDoS相同的人工智能概念。我们需要在算法动态识别所有类型攻击的可能性之上添加特定的分类。
首先需要识别攻击的类型,例如登录页面攻击,并采取相应的防范措施,阻止攻击的发生。必须给WAF额外的能力,以便它精确地计算出在你的web界面中是否有某种流量聚集向你靠近。
我们需要的是识别哪些内容通过特定领域进入特定网页的能力。这是可能的最高分辨率。如果使用这个分辨率,就可以控制应用程序中的任何内容。为了保持警惕,这才是你真正需要待的地方。
这样的公司L7Defense应用了与Applicative DDoS挑战相同的无监督学习算法,具有从第一个请求识别任何与wafa相关的攻击的能力。它们可以防止web系统上的经典威胁(OWASP 10)和更复杂的自动化威胁(OWASP 20),以及对api的攻击。从他们的演示中,它似乎捕获了非常复杂的攻击场景,攻击者使用了多个零日模式,同时将错误级别保持在右侧,非常接近于零假阳性和阴性。
从他们的在线演示来看,F5似乎也取得了一些进展。经过我的广泛研究,我发现它很可能不支持多向量功能或智能灵活模式。从他们的DDoS Hybrid Defender在线演示来看,这似乎是基于手动设置或全局自适应阈值的经典行为分析。然而,他们没有声称有任何机器学习能力,而传统的行为分析并不适用于WAF。