F5 Networks資深技術顧問許力仁表示,除了傳統的WAF功能外,新版WAF更主打四大防護新功能,包括了Bot偵測和防護、防止帳密濫用的憑證填充攻擊(credential stuffing)、更智慧化的應用層DDoS攻擊偵測防禦,以及API保護。

F5 Networks近日在臺推出新一代網站應用程式防火牆(WAF),有別於傳統WAF,更著重於新興網路應用攻擊威脅的防禦,不只強化了Bot(機器人程式)偵測能力,還新增加API保護,甚至在防禦應用層DDoS攻擊上,更首次結合機器學習,協助企業找出未知的網路攻擊活動,及早一步防範。

對於網路安全來說,WAF是常見的網站應用程式防護設備,它的功用很簡單,就是要防止Web應用程式的攻擊,但是最近幾年,網路威脅層出不窮,攻擊手法更是日新月異,迫使這些傳統防禦的手段,也得要不斷的改良、精進才行,特別是Web網頁應用,早已成為企業資料外洩的重要管道,越來越多針對HTTP層發動的網頁應用攻擊相繼發生,企業光只靠傳統的WAF已難以抵檔得住,而必須有新的作法,補足傳統WAF防禦能力上的不足。不只要將傳統的WAF升級到新型WAF,甚至還要發展出新世代WAF防禦能力,才能阻擋更多外在威脅。

而F5 Networks日前也在他們新推出的一款進階版WAF產品F5 Advanced WAF中,以新世代WAF防禦為號召,除了傳統的WAF功能外,更主打四大防護新功能,包括了Bot偵測和防護、防止帳密濫用的憑證填充攻擊(credential stuffing)、更智慧化的應用層DDoS攻擊偵測防禦,以及API保護。

在Bot攻擊的緩解上,F5 Neworks資深技術顧問許力仁表示,Bot機器人程式,並非都是不好的應用程式,只是近年來遭到惡意濫用,甚至變成駭客的小小偵查兵,被派到各個企業網站進行偵查活動,導致大量Bot攻擊事件頻傳,包括了網路搶貨、搜瓜資訊、憑證填充攻擊、密碼破解、甚至是用來阻斷服務等等。他指出,自去年12版WAF就已開始提供Bot防護功能,新版本更加強Bot偵測機制,加入更多機器人行為規則的邏輯判斷,可以透過動態或靜態分析比對,更準確判斷網站上發生的行為是不是機器人程式所為,將它排除在外。

不只能偵測機器人活動,許力仁還進一步說,即使是像偷用別人的瀏覽器來挖擴,這類的挖礦綁架行為,也都能透過WAF偵測得到。他表示,雖然他們的客戶至今還沒有反應這類問題,但作法上,還是可以利用在進出WAF的Web網頁上,事先放置一個JavaScript的偵測程式,在使用者以瀏覽器開啟客戶網站時,可以用來偵測有沒有挖擴程式正在偷用他的CPU資源來挖擴。其實這個作法,過去也被他們用來保護用戶帳密上,將WAF的偵測機制,延伸到用戶端的瀏覽器,以防止所謂的瀏覽器中間人攻擊,避免用戶帳密遭竊。

針對應用層DDoS攻擊防禦,許力仁更表示,在新版WAF中也首度結合機器學習,能從日常網頁行為活動中,找出潛藏的DDoS攻擊的前兆,他們透過分析DDoS攻擊流量、大量log資料,持續不斷訓練、學習以建立預測模型,至今已經可以根據網路活動和行為來判斷,更快的找到攻擊源頭,將損害減到最輕。他也表示,目前是將機器學習,先應用在DDoS流量分析,之後也將用來偵測殭屍網路(Botnet),以及防範帳號密碼遭到濫用。

另外,新版WAF這次也首次增加API保護。許力仁表示,傳統WAF只能看懂HTTP的攻擊活動,但對於API攻擊則是毫無防備能力,因為這些API呼叫技術,如JSON、XML,REST API等,傳輸資料封包採用的通訊格式,均與傳統HTTP不同,因此,WAF無法正確判讀,也帶來新的網路應用安全威脅。

他也舉例,現在很多網站設計,都採用單頁面應用程式(Single Page Applications)設計網站,因為省下換頁的成本,不需要重新載入網頁,操作反應更即時,但這些網站背後使用了許多的API,也讓駭客有機可乘,像是只要把惡意JSON語法插入到資料欄位,就能夠順利通過WAF保護,進到後端的AP伺服器,將裡面的資料全部竊取。因此,他說,在新版的WAP中,開始具備防禦新的API攻擊的能力,以補足傳統WAF防禦能力上的不足。

除了發表新型WAF以外,F5 Networks另外還打造了3個雲端線上即時更新的資料庫,來增強WAF的防禦能力,讓它可以不斷學習成長,以因應新的攻擊手法。這3個資料庫分別為憑證填充資料庫(credential stuffing)、關聯式威脅資料庫(threat campaigns),以及裝置特徵資料庫(device identification)。


Advertisement

更多 iThome相關內容