互联网时代,HTTP协议基本统治了整个互联网,web应用成为当下主流。随着企业数字化转型地不断深入,越来越多的企业业务应用系统被部署到互联网平台上。
Web应用程序成为企业信息系统中最常见的应用程序之一,同时,也是最容易受到攻击的应用程序之一。
据Gartner调查统计,2022年全球Web攻击数量增加58%,达到318亿次,其中常见的攻击类型包括恶意爬虫、结构化查询语言SQL注入和跨站脚本XSS攻击。
据统计,Web攻击所利用的常规安全漏洞平均成本为330万美元,而高危安全漏洞成本可能高达千万美元。而这样的攻击在互联网的发展与企业数字化转型深入推进过程中,还在不断增加。
01
传统WAF无法全方位防御Web安全漏洞
为应对Web攻击,企业往往会采用WAF进行流量检测,阻止针对Web应用程序的特定攻击,如SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)、文件包含攻击等。
WAF通过分析HTTP/HTTPS流量中的恶意模式和行为,为企业提供一层额外的安全防护,防止恶意流量到达Web服务器。
然而,在实际攻防应对过程中,我们会发现,仅仅对流量进行监测往往是不够的。不法分子可以通过特定技术绕过WAF流量检测,直接到达暴露的企业Web业务应用系统,从而攻破WAF防御。
这也就是为什么在OWASP组织最近一次发布的 Web 应用“十大安全漏洞列表”,总结出当下Web应用程序最可能、最常见、最危险的十大漏洞中,
除了常见的SQL注入、跨站脚本(XSS)等,还包括“失效的访问控制(Broken Access Control )”和“失效的认证(Broken Authorization)”等安全威胁。
02
数字化加剧Web应用程序安全漏洞威胁
除此之外,企业数字化让越来越多的Web应用加速建设应用。新旧系统还在不断地连接打通;系统越来越多,供应商越来越多,但供应商的服务能力却参差不齐......
许多早期Web应用程序的安全性未引起开发人员的足够重视。在设计和实现Web应用程序时忽略了诸多关键的安全验证措施,如输入验证、访问控制、数据加密等,导致 Web 应用程序中存在大量潜在的高危漏洞。
这些都让企业业务系统安全暴露面变得越来越大,Web应用程序安全漏洞日益凸显,让不法分子有了更多可乘之机。因此,企业在加强Web流量监测的同时,更要兼顾Web应用程序的安全漏洞问题,强化业务应用系统的身份验证与细粒度授权问题等。
03
如何全面有效应对Web应用程序攻击?
派拉软件最新发布的Web应用安全网关(Paraview Application Security Gateway,PASG)是一款基础身份安全网关产品。
它将多种安全功能集成到一个平台中,除了提供WAF的基本防护外,还集成了身份验证和授权功能,实现身份级别的流量访问控制能力。同时,强化“人”的细粒度的策略控制,谁何时访问了什么都可以清晰的记录,并做到事中阻断和事后追溯。
这意味着派拉软件PASG不仅能够过滤恶意流量,还能验证尝试访问业务应用的用户身份,确保只有经过验证的用户才能访问受保护的业务应用资源。
其基本安全防护原理可以简单理解为:通过网关,将企业Web应用与互联网分隔开,收敛安全暴露面;采用身份认证技术,利用MFA多因素认证与UEBA技术,强化身份认证能力;结合网关补齐各系统应用漏洞,并利用网关强大的流量编辑能力,实现更多企业WAF无法防护的复杂安全漏洞补丁修复。
换句话说,派拉软件PASG可以检查、控制、监控互联网流量以及访问的用户,通过对所有进出企业网络的Web流量和用户进行检查和过滤,并结合多种技术防止恶意请求入侵和数据泄露,确保网络安全和合规性。
04
6大特色能力强化企业安全防守
在企业实际攻防过程中,派拉软件PASG产品更是通过提供以下7大特色场景功能,帮助企业多方位强化安全防守能力,有效应对Web攻击:
1
暴露面收敛
在攻防应对过程中,企业网络架构多较为复杂,涉及众多服务和应用。派拉软件PASG产品通过集中处理内外网的数据交换,可以显著减少直接暴露给外部的网络接口数量,即“攻击面”。这样,安全团队可以将重点防御措施集中部署在网关上,而非每个单独的服务或系统,简化管理并提升整体防御效率。
2
身份认证与访问控制强化
派拉软件PASG执行严格的访问控制策略,确保只有经过身份验证和授权的用户或系统才能访问内部网络资源。这包括验证用户凭证、检查来源IP、实施访问规则(ACL)等。
在攻防过程中,这种机制能够有效阻止未授权的渗透尝试,并检验认证体系的强度。
此外,结合多因素认证能力与UEBA技术能力,强化身份认证与访问控制,做到更极致、灵活的细粒度访问控制,间接解决企业多业务系统身份认证与访问控制管控不足的问题。
3
虚拟补丁修复
面对新出现的安全威胁,尤其是针对已知漏洞的攻击,快速部署补丁至关重要。然而,实际操作中,全面部署物理补丁可能耗时且复杂。
派拉软件PASG可以通过配置规则来临时阻止利用特定漏洞的流量,直到系统可以进行彻底修复。
这种方式被称为“虚拟补丁”,能在攻防期间迅速响应新威胁,减少被攻击的风险,同时也检验了组织在面对紧急安全事件时的响应速度和灵活性。
4
深度安全防御
Web应用安全网关作为深度防御策略的一部分,位于网络边界,专门负责检查进出的应用层流量。它能深入分析HTTP/HTTPS等协议的内容,识别并阻止恶意请求,如SQL注入、跨站脚本(XSS)、命令注入等常见应用层攻击,从而加固企业防守方的网络边疆。
5
流量安全全审计
派拉软件PASG可以生成详细的审计日志,记录所有进出的流量及安全事件,为事后分析提供完整详细的依据。这些数据对于评估安全策略的有效性、识别潜在漏洞以及优化未来的防御措施至关重要。
6
实时监控告警
告警系统基于预设的规则,对流量数据进行实时监控,一旦检测到潜在的安全威胁或不符合安全策略的行为,立即触发告警通知安全团队。这有助于快速响应,减少攻击造成的影响。在攻防应对中,高效的告警机制可以即时反馈提醒攻击,检验应急响应流程的时效性。
通过上述6大特色能力,派拉软件PASG可以帮助企业实现以下7大价值:
截至目前,派拉软件PASG产品已经在多家客户安全场景中成功应用。实际上,该产品正是在客户项目实践过程中不断打磨形成的。在客户强需求与高标准下,派拉软件才得以成功研发并发布全新一代的Web应用安全网关。