伴随着企业数字化转型和“平安云”运动,以及当前疫情带来的网络安全和应用安全焦虑加剧,越来越多的企业开始考虑采购WAF或云WAF产品。然而,在《五渣?四大云WAF实战险些灭》一文中我们了解到,即便是一些大牌云计算厂商的云WAF产品,在测试中也常常表现出惊人的表现。其实不只是云WAF。根据最新的调查报告,WAF产品的有效性和客户满意度表现越来越令人失望。虽然WAF已成为企业应用程序安全策略的主力,但现实情况是大多数企业都在努力充分利用此类产品。60%企业对WAF不满根据Neustar国际网络安全委员会近日发布的调查报告,大量Web应用攻击绕过WAF,企业难以调整,WAF没有很好地融入更广泛的安全功能。这强化了安全分析师和相关研究机构在过去18个月中发出的警告:WAF保护机制仍需进一步发展,不能成为应用程序安全计划的唯一支柱。根据Neustar的报告,40%的安全专家表示,至少有一半的应用层攻击最终绕过了WAF。更令人惊讶的是,10%的用户表示超过90%的攻击都绕过了WAF。同时,三分之一的安全专家报告说,过去12个月中大约50%的Web请求是由WAF错误报告的。研究指出,这是因为WAF配置调优对于相当一部分企业来说难度很大。大约30%的用户表示,他们难以修改WAF策略以抵御新的应用层威胁。此外,40%的企业无法将其WAF与其他应用程序安全技术或更广泛的安全功能完全集成。这些结果与PonemonInstitute2019年的一项研究相呼应,该研究表明60%的企业对其WAF产品不满意。研究发现,65%的受访者表示应用层攻击经常或有时会绕过WAF,只有40%的用户对WAF产品感到满意。PonemonInstitute还发现,平均每家企业雇用2.5名安全管理员,他们每周花费45小时处理WAF警报,另外每周还要花费16小时编写新的WAF规则。不可靠的WAF?多项调查报告反映的WAF可靠性和满意度问题引起了行业分析师的关注,这意味着WAF市场正面临重大调整和变革。ForresterResearch首席分析师SandyCarielli表示:“根据Forrester今年春季对WAF市场的最新研究,许多企业希望WAF供应商提供更多的东西。如果供应商不尽快做出改变,那么WAF市场将离崩溃不远了。Forrester报告显示,企业用户已经在受苦,因为当前的WAF解决方案无法应对更广泛的应用程序攻击,尤其是客户端攻击、基于API的攻击和机器人驱动的攻击。例如,在术语中在API攻击中,服务器端请求伪造(SSRF)攻击针对云架构调用元数据API和Webhook的方式变得越来越猖獗。.许多SaaS公司提供某种形式的网络挂钩产品,代表用户发出http请求,因此不容易与SSRF攻击区分开来,”K2NetworkSecurity的联合创始人兼首席技术官JayantShukla说,他说数据今年早些时候,CapitalOne的漏洞始于一次SSRF攻击,攻击者利用了CapitalOne的WAF产品中的一个漏洞。“这些因素暴露了WAF在防御SSRF攻击方面的严重缺陷。”WAF的定位:只是应用安全的“创可贴”许多专家认为,WAF所面临的困境表明,当今的企业应用安全(AppSe)策略和执行存在着更为严重的差距。许多系统缺陷。例如,Radware去年秋天进行的一项研究指出,WAF与RASP和代码审查工具一样,是一种“意大利面条”式的方法,因为企业打算使用这些产品来解决问题,但发现这些产品也会对企业产生负面影响。企业的软件开发和应用安全管理提出了更高的要求。多年来,越来越多的企业将WAF作为应用安全的运维工具,以风险驱动的优先级为基础,不断提升软件安全。他们对WAF的定位不是作为安全改进的支持工具,而是作为前线防御措施。正如Neustar和Ponemon发现的那样,这让安全团队难以为WAF创建规则以阻止新的攻击技术。企业用户对WAF产品的满意度持续下降,部分原因是企业对WAF的期望过高。只是寄希望于他们。有安全专家指出,WAF的准确定位应该是攻击者的减速带,可以为企业争取更多时间修复代码。WAF算不上“宙斯盾”,顶多算是干扰剂或者近防炮。Veracode产品管理高级总监TimJarrett表示:“如果你打算购买WAF,你首先需要知道的是它不会无限期地保护你的产品免受攻击。”找出应用中的漏洞位置,尽快修复。”【本文为专栏作者“安全牛”原创文章,转载请通过安全牛获取授权(微信♂id:gooann-sectv)转载】点此查看该作者更多好文
