随着企业数字转型和“安全上云”运动的开展,以及当下疫情加重的Web安全和应用安全焦虑,越来越多的企业开始考虑购买WAF或云WAF产品。但是,在“战五渣?四大云WAF实战测试险遭团灭”一文中,我们了解到即使是一些大牌云计算厂商的云WAF产品,在测试中的表现往往都让人大跌眼镜。
其实不仅仅是云WAF,根据最新的调查报告,WAF产品的有效性和客户满意度的表现越来越令人失望。虽然WAF已经成为是企业应用安全策略的主力产品,但事实是,大多数企业都难以充分利用此类产品。
六成企业对WAF不满意
根据Neustar国际网络安全委员会近期发布的调查报告,大量Web应用程序攻击绕过了WAF,企业难以对其进行调整,并且WAF没有很好地集成到更广泛的安全功能中。这佐证了安全分析师和相关研究机构在过去18个月中提出的警告:WAF保护机制仍然需要进一步发展,并且不能成为应用安全计划的唯一支柱。
根据Neustar的报告,有四成的安全专家报告说,在应用层攻击,至少有一半的应用层攻击最终绕过了WAF。更加令人吃惊的是,10%的用户表示, 超过90%的攻击都绕过了WAF。
同时,三分之一的安全专家反应,过去12个月中大约50%的网络请求被WAF误报。研究指出这是因为WAF的配置调优对于相当比例的企业来说难度很大。大约30%的用户表示他们很难修改WAF策略以防范新的应用层威胁。此外,40%的企业无法将其WAF完全集成到其他应用安全技术或更广泛的安全功能中。
这些结果与Ponemon Institute于2019年进行的一项研究相呼应,该研究表明60%的企业对其WAF产品不满意。该研究发现,65%的受访者表示应用程序层的攻击经常或有时会绕过WAF,只有40%的用户对WAF产品满意。Ponemon Institute还发现,平均每家企业雇用2.5名安全管理员,他们每周花费45个小时处理WAF警报,另外每周花费16个小时编写WAF新规则。
WAF靠不住?
多个调查报告反映出的WAF可靠性和满意度问题已经引起了业界分析公司的关注,这意味着WAF市场正面临一次重大调整和变革。
Forrester Research的首席分析师Sandy Carielli表示:“根据Forrester今年春天对WAF市场的最新研究,很多企业希望WAF厂商提供更多的东西,如果厂商不尽快做出改变,那么WAF市场离崩盘就不远了。”
Forrester报告显示,由于当前的WAF方案无法处理更广泛的应用程序攻击,特别是客户端攻击、基于API的攻击和由机器人驱动的攻击,企业用户已经苦不堪言。
例如,在API攻击方面,针对云体系结构对元数据API和Webhooks的调用方式,服务器端请求伪造(SSRF)攻击已经越来越猖獗。
“WAF不一定必须进行内联部署以监视Web应用程序的出站HTTP请求。许多SaaS公司都提供某种形式的Web hook产品,该产品可以代表用户发出http请求,因此不容易与SSRF攻击区分开来,”K2网络安全的联合创始人兼CTO Jayant Shukla认为,今年早些时候Capital One的数据泄露事件就始于SSRF攻击,攻击者正是利用了Capital One的WAF产品漏洞。“这些因素暴露了WAF在防御SSRF攻击时存在严重缺陷。”
WAF的定位:只是应用安全的“创可贴”
许多专家认为,WAF面临的困境表明当今企业的应用安全(AppSe)策略和执行方面存在更多的系统缺陷。例如,去年秋天Radware进行的一项研究指出,WAF与RASP和代码审查工具类似,属于“意大利面条式”方法,企业原本想用这些产品解决问题,但发现这些产品同时也对企业的软件开发和应用安全管理提出了更高的要求。
多年来,越来越多的企业将WAF作为应用安全的运营工具,基于风险驱动的优先级来不断改善软件的安全性。他们对WAF的定位不是安全改进的支持工具,而是将其作为前线防御措施。正如Neustar和Ponemon的调查结果,这导致安全团队疲于为WAF制定规则来挫败新的攻击技术。
企业用户对WAF产品的满意度持续下滑,还有一部分原因是企业对WAF的期望过高。只是将太多的希望寄托在他们身上。一些安全专家指出,WAF的准确定位应该是攻击者的减速带,为企业赢得更多修复代码的时间, WAF不是“宙斯盾”,顶多算是干扰剂或近防炮而已。
Veracode产品管理高级总监Tim Jarrett 表示:
如果您打算购买使用WAF,首先要清楚这玩意不会无限期保护您的产品不受攻击。因此,请抓紧WAF为你争取的修复时间窗口,找出漏洞在应用程序中的位置并尽快加以修复。