伴随大量数据泄漏事件的发生,业务安全及应用安全的关注度已经达到前所未有的高度。如何保障业务安全及应用安全,以成为掌握核心数据用户的首要关注点!这就是OWASP 2012中国峰会上,安恒信息总裁范渊先生对于现在国内整体WEB应用安全现状的点评,"现在我们所面临的是一个岌岌可危的网络安全环境,整个网络就好比《皇帝的新装》中的帝王毫无隐私!"
OWASP中国区副主席、安恒信息总裁范渊先生致开幕词
近些年,越来越多的人在关注云计算、物联网、移动互联,但是人们却忽略了一个本质的问题,那就是安全,在没有安全的保障下,一切新技术、新趋势就是一纸空谈,很容易成为新兴攻击方式诞生的温床,从而带来的是无尽的危害。在本届OWASP 2012中国峰会上,安恒信息安全服务部副总监吴卓群从产品及技术的角度,向大家描述了现在国内WEB应用安全所面临的实际情况,坦然的表达了自己的忧虑及看法。吴卓群指出,尽管目前在Web 应用的各个层面,都已经使用不同的技术来确保安全性,但是,由于WEB应用的天然开放性,以及各种WEB软硬件漏洞的不可避免性,加上网络攻击技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据Gartner的调查显示,信息安全攻击有75%都是发生在Web应用而非网络层面上。同时,数据也显示,三分之二的Web站点都相当脆弱。但目前,绝大多数企业将大量的投资花费在网络和服务器的安全上,并没有从真正意义上保证Web应用本身的安全。
安恒信息的信息安全服务部副总监吴卓群
从产品的角度出发,现阶段对于WEB应用方面常常遇到的攻击方式及手法,WAF无疑是最专业防范产品,然而随着技术日新月异,攻击的方式再也不断变化,在这样一个盾与矛的较量中,防卫者还是处于一个被动的地步。针对这样的实际情况,吴卓群指出现在WAF产品实际的现状:
1.WAF是保护WEB应用安全的设备,但缺乏足够的安全测试,目前存在大量手段可完全绕过WAF的防护策略,对保护站点进行攻击
2.针对waf的绕过手段可以通过不完善的策略进行绕过,但风险更大的是利用解析错误彻底绕过保护
3.国内外无论是硬件WAF还是云WAF至少90%以上存在彻底绕过的风险
由此可见,防御需要变被动为主动,安恒信息作为国内最早研发国内第一代WEB应用防火墙的企业,逐渐认识到这点,经过多年的尝试安恒信息已经总结出一套可行的技术方法,有效解决了目前针对WAF的绕过保护问题,杜绝了攻击途径,实实在在使得WAF成为有效抵御WEB攻击的最佳防御方式。
