摘要: 未知攻,焉知防。 在Web攻防对抗的战场上, 0day作为一类不为人知的秘密武器, 可以说是进攻方的王牌杀手锏! 那么,什么是0day? 又应如何防范呢? 未知威胁——0day 0day漏洞,又称“零日漏洞”(zero-day),是已经被发现但尚未被公开,...
未知攻,焉知防。
在Web攻防对抗的战场上,
0day作为一类不为人知的秘密武器,
可以说是进攻方的王牌杀手锏!
那么,什么是0day?
又应如何防范呢?
未知威胁——0day
通俗地讲就是,除了漏洞发现者,没有其他的人知道这个漏洞的存在,并且这个漏洞可以有效地加以利用,发起的攻击往往具有很大的突发性与破坏性,防不胜防!
在实践中,已被广泛应用的Web系统,由于其开放性,互联网内任意用户都可以对其进行访问或攻击,来自未知的潜在威胁更加严重。那么,我们应该如何防护呢?
(图|该排名为硬件WAF及云WAF的总体市场排名)
安恒信息新一代智能WAF采用的语义分析+机器学习安全引擎相结合的方式可实现对未知威胁的有效防护,兼具时效性与检出率!
作为OWASP TOP 10中排名靠前的攻击方式,SQL注入、XSS等命令型攻击由于具备极强的灵活性,是Web攻防对抗中是最常被用到的攻击手段之一。传统的基于静态签名特征的防护方式极易被绕过造成未知威胁攻击,下图以SQL注入防护为例简要分析此过程:
一个为黑客进行的恶意攻击,一个正常用户提交的带有敏感字段的正常报文。
上图中的真实访问内容解码后为:
|
传统基于静态签名规则的WAF应对这种情况就存在两难的问题:要么严格限制,这样就会导致正常用户请求误拦截;要么宽松限制,这样则会导致攻击请求被放过,难以两全。
安恒新一代智能WAF提供业界领先的智能语义分析引擎,结合词法/语法分析,基于理解语言规范基础上,结合上下文进行关联分析,解析异变的web攻击,还原攻击威胁。在保证极低误报率的基础上,同时有效识别传统WAF无法检测的变种绕过的未知攻击行为。
以2019年12月公布的Apache Struts2 代码问题高危漏洞(CNNVD编号:CNNVD-201912-256)为例,攻击者可借助畸形的XSLT文件利用该漏洞上传并执行任意文件。针对此类Struts2漏洞,安恒新一代WAF通过内置OGNL语法检测模块,已获得Struts2漏洞攻击的先天免疫能力。已部署使用安恒新一代智能WAF的客户惊喜地发现,无须任何升级就已具备防范利用此漏洞进行攻击的能力!
同样的,在近期大规模的攻防对抗时期,应用广泛的Web攻击工具冰蝎3.0版本发布,其最重要的变化就是“去除动态密钥协商机制,采用预共享密钥,全程无明文交互”,这给基于签名特征库匹配的带来了新的挑战,新一轮的特征库紧急升级又开始了。而安恒新一代智能WAF语义分析引擎不仅支持基于OGNL的语义分析,同样支持对JSP、PHP、ASP的WebShell识别检测,可有效阻断WebShell上传,因此无须升级即可获得针对冰蝎3.0的免疫防护能力!
■ 机器学习
与传统WAF自学习功能不同,机器学习属于无监督过程,安全模型自动学习、自动更新、自动进入异常检测,无需人工介入!
学习阶段:建立模型的流量全部为经过安全检测的白流量,机器学习针对业务系统建立“量身定做”的安全访问模型。
- 访问流量与安全模型无偏离度或者偏离度较小则属于白流量,无需经过安全引擎将流量直接放行
- 访问流量与安全模型的偏离度属于中间范围则属于灰流量,机器学习无法判断则会将流量发给安全引擎继续检测
- 访问流量和安全模型的偏离度较大则属于黑流量,机器学习主动进行拦截
机器学习完成进入检测模式后,依据“量身定做”的安全模型识别黑、灰、白三种不同流量,进而针对安全性的不同采取不同的处理策略,在高效保障正常业务访问的同时,可以有效识别并阻断0day等未知威胁访问,为用户的Web安全保驾护航!
通过以上分析可以看出,安恒信息新一代智能WAF语义分析+机器学习引擎的组合,不仅能有效防止0day等未知威胁,同时还能大大缩短威胁检测的路径,流量安全检测冗长的规则库逐项检测不再是必选项,从而大大提高了检测效率,提高了防护效率。