今年4月,以應用程式派送控制器著稱的F5 Networks,發表了新一代網站應用程式防火牆平臺,稱為Advanced Web Application Firewall(Advanced WAF),因應不斷演進的資安威脅之餘,他們也提供整合與獨立的解決方案,專門針對應用程式安全性的部分,來進行強化。

在Advanced WAF推出之前,F5原本就有網站應用程式防火牆的產品線,例如,BIG-IP Application Security Manager(ASM)的整合應用設備或是虛擬軟體版本,以及Silverline Web Application Firewall的代管服務、自助式服務。

那麼,最新推出的Advanced WAF與既有產品之間的差異何在?F5 Networks資深技術顧問許力仁表示,Advanced WAF是ASM的下一代產品,兩者的技術核心相同,不過,ASM面對的部分,主要是傳統的網站應用程式防火牆需求,而Advanced WAF著重在新攻擊威脅的因應。ASM的銷售與技術支援仍將繼續提供,未來,他們會推出升級使用Advanced WAF的授權方案,協助企業用戶提升防禦能力。

F5 Advanced WAF包含了多種安全機制,例如,網站應用程式保護、身分資料加密與DDoS防護等,能夠防禦的面向更為寬廣,像是機器人程式的自動化攻擊、API層級的攻擊、帳號密碼竊取、行動App安全強化,而在部署形式上,也支援資料中心、混合雲(Interconnect)、雲端服務(公有雲或私有雲)。

針對6種網站應用程式安全威脅,像是弱點與濫用、自動化攻擊、身分與資料竊取、低流量與緩慢型DDoS攻擊、API弱點(左側的部分),F5 Advanced WAF都提供對應的防禦機制(右側的部分),同時,在帳號填充、威脅活動掌握、裝置識別等三個層面,均整合了網路威脅情報服務,可保持更新,未來將以訂閱服務的形式提供。

圖中是F5現階段規畫的應用程式防護框架,當中包含了4大解決方案,分別是DDoS Hybrid Defender、SSL Orchestrator、Advanced WAF、Access Management,而後兩者是著重在網站應用程式攻擊的防護。

可偵測與防禦機器人程式的網路存取、帳號登入暴力破解,以及應用層DDoS攻擊、API攻擊

相較於其他同類型產品,F5 Advanced WAF的最大特色在於,能夠防護身分、帳密資料的竊取與濫用,並可針對網頁與行動環境下的殭屍程式,提供更完善的威脅減緩機制;在應用層DDoS攻擊行為的偵測上,它也能夠運用機器學習與行為分析,來達到高精準判斷;若要調整WAF的使用規模,它也提供相當強大的擴展能力。

這套解決方案的推出,讓F5在網站應用程式防火牆的雲端服務版本上,能夠與企業內部環境部署的版本一致,具備進階安全機制,例如:OWASP網站應用程式十大漏洞的防護、機器人程式的偵測與阻擋,以及透過按鍵加密來杜絕鍵盤側錄行為;還能結合機器學習與行為分析,提供延伸的應用層DDoS攻擊行為的發現,以及對於所有應用系統的矯正。

針對目前網路充斥著各式各樣的機器人程式活動,對於網站應用系統的系統的影響越來越大,OWASP組織也在今年2月公布20大自動化威脅(OWASP Automated Threat,OATs),包括了服務阻斷攻擊(DoS)、網頁內容擷取,以及帳密破解、帳密填充(Credential stuffing,俗稱撞庫),而F5 Advanced WAF目前的作法,則是透過Proactive Bot Defense(PBD)的功能來因應,當中運用了指紋辨識與挑戰/反應的互動機制,搭配其他的行為分析技術,能從網路連線的層級來偵測與阻擋,強化辨識與減緩這類異常活動的能力,降低對應用系統的影響。

        

面對惡意機器人程式的網頁存取行為,F5 Advanced WAF內建Proactive Bot Defense(PBD)的防禦功能,能阻擋可疑的瀏覽器存取請求,以及針對跨站存取請求來允許或拒絕,並且搭配網址白名單,如下圖左。而這項機制也會搭配機器人程式特徵碼(Bot signature),如下圖右,管理者可針對惡意與合法的機器人程式,設定阻擋與對應處理機制。特徵碼資料庫會隨著ASM攻擊特徵一起更新。有了這些資料,瀏覽器就可以產生分數,並且自動採取接下來的動作,像是轉交給網站伺服器、提示CAPTCHA的驗證碼來確認對方是否為真人,或是阻擋。

網站資料外洩事件頻傳,再加上許多人都習於在不同網站使用相同的帳號、密碼,有心想要冒用使用者身分的人士,往往會透過這些外洩的資料來嘗試網站登入,而在因應這種攻擊行為的做法上,F5 Advanced WAF提供了Credential Stuffing Mitigation的機制,運用比對身分資料庫的方式,防護這種由多個來源發起的分散式暴力破解帳密手法。
在相關的防護設定上,管理者可在F5 Advanced WAF的網頁管理介面當中,根據三種暴力破解帳密的情境來調整組態(一般、固定來源、分散來源)。

 

為了提升行動應用程式對於自動化攻擊的防護能力,F5 Advanced WAF也提供Anti-Bot Mobile SDK的整合,並且可透過應用程式白名單、行為分析、安全cookie驗證,以及App強化等多種方式來施行。

而F5 Advanced WAF之所以能提供這樣的功能,主要是搭配了Appdome提供的行動整合平臺Appdome for F5 Anti-Bot Mobile,即可在無需撰寫、修改任何程式碼的狀況下,完成相關設定,進而快速保護行動應用程式,使其免於受到機器人程式和其他自動化攻擊的侵襲。

目前Appdome for F5 Anti-Bot Mobile支援的主要功能,包含行動機器人程式的偵測、破解裝置的偵測、憑證綁定、中間人攻擊的偵測,同時,也提供應用程式的各種融合處理,像是模糊(Obfuscation)、竄改防護、總和檢查碼(checksum)驗證、應用程式完整性掃描。

F5 Advanced WAF整合的Anti-Bot Mobile SDK,是特別針對行動App的機器人程式防護機制,是ASM和Advanced WAF的選購功能。而這套SDK運用了白名單的管控方式,基於嵌入式的軟體封裝(內含App程式碼)來建立信任,並且回應Advanced WAF的網頁cookie檢查。
不過,有別於一般的SDK的使用,需仰賴開發者將SDK和用戶本身的程式碼結合起來,F5在這裡是和Appdome合作,透過他們的雲端平臺來執行混合(fuse)的作業,無需手動整合程式碼,而且僅需幾分鐘內即可完成設定,如上圖。

    

在設定Anti-Bot Mobile SDK之前,管理者需至F5 Advanced WAF管理介面上,從應用程式安全的行動應用項目啟用保護,如圖左。
接著到Appdome的雲端平臺上,將這套SDK設定到行動App當中,企業僅需上傳該應用軟體的IPA檔或APK檔(不需原始程式碼),然後在身分服務當中,選定F5 Anti Bot,填入所要保護的主機URL網址、綁定的憑證雜湊值,如圖右。若需要額外的保護功能,這裡也可以啟用防除錯、防竄改、總和位元檢查碼驗證。接著,則是進行數位簽章簽署的設定、完成App的混合。

 

內建應用程式層級的欄位加密技術,可以在網頁存取過程當中,保護使用者所提交的密碼

在使用者身分的保護上,F5 Advanced WAF提供了一套名為DataSafe的特色,能夠運用應用程式層級的欄位加密技術,企業即可在不需修改網站應用程式的狀況下,獲得動態加密網頁內容的能力,藉此保護敏感資料,例如使用者在瀏覽器輸入的密碼,並且預防惡意軟體發動的瀏覽器中介攻擊(man-in-the-browser attacks),以及針對用戶端環境的攻擊與擷取行為,例如,鍵盤側錄程式。

針對採用瀏覽器中間人攻擊手法(Man-in-the-Browser)的惡意軟體,F5 Advanced WAF提供了應用程式層級的加密機制來因應,稱為DataSafe。這項技術會在用戶端置入資料模糊化的JavaScript,使他人無法直接讀取內容,而且這種防護無需安裝應用軟體,即可處理表單擷取的攻擊方式。
基本上,DataSafe提供了應用程式欄位層級的加密,能夠防護帳號、密碼,以及各種資料,使用者在瀏覽器輸入的資料會被自動加密,並且維持加密狀態,直到由DataSafe解密、安全傳送到應用程式為止,比起現有SSL/TLS傳輸加密的作法更深入,可對抗用戶端的這類擅自存取的攻擊。

 

在F5 Advanced WAF的設定當中,DataSafe隸屬於資料保護之下,從這裡我們可以看到,管理者可以啟用應用層加密,以及各種進階保護功能,像是Ajax全程加密、HTML欄位內容混淆、防鍵盤側錄、失竊帳密識別,考量的層面相當周到。

提供行為式的服務阻斷攻擊防禦機制

若要防禦應用層的阻斷攻擊行為,F5 Advanced WAF也有這類型功能,稱為Behavioral DoS(BADoS),系統會針對網站伺服器端的狀態、負載,進行持續監控,並且採用機器學習和資料分析的方式,動態描繪異常流量(效能降低或是流量暴增尖峰狀態)的樣態、建立對應的特徵碼,再以此實施精準的偵測與阻擋。

針對應用層的服務阻斷行為,F5提供了基於行為的分析機制,使Advanced WAF能夠透過資料呈現的行為特徵,自動防護與減換異常的HTTP流量。系統會運用機器學習與資料分析來剖析流量,並且持續監控伺服器的狀態與負載、異常,以便精準偵測與減緩攻擊行為。

支援多種雲端平臺

對於私有雲、公有雲等平臺的支援,也是F5 Advanced WAF一大特色,透過可移植到不同環境的應用程式安全方案,企業能在微服務與容器的場景當中運用。

而且,企業可充分運用這裡提供的自動化安全政策,在AWS、Azure和Google Cloud Platform等雲端服務環境當中,藉由易於使用的雲端樣板,縮短部署新應用系統的時間,同時能基於業務優先順序來擴充內部與雲端基礎架構,毋須根據不同環境或雲端平臺,來建立個別的部署模式。

在採購形式上,F5 Advanced WAF提供多種使用授權模式,除了永久、訂閱、按使用量計費等,還可基於每支應用程式來支付,以便適用於雲端服務與資料中心的環境。

就公有雲服務環境而言,許力仁表示,F5提供的網頁應用程式防火牆有多種選擇。

首先是租用ASM或是Advanced WAF的虛擬應用設備,企業也可以在上面租用虛擬機器,搭配自行準備的ASM或是Advanced WAF虛擬版本授權。此外,在AWS的市集當中,還有兩種特別的解決方,其中之一是F5 WAF Solution,結合了ASM和BIG-IP Local Traffic Manager(LTM),是由F5和AWS研究推出的產品項目,而另一種則是F5 Rules for AWS WAF,是以AWS本身的網站應用程式防火牆服務為基礎,而由F5提供規則的雲端服務產品,有別於F5自家的ASM和Advanced WAF。

不過,從上述三家與F5合作的公有雲服務的市集來看,目前(2018年5月中)尚未提供F5 Advanced WAF的服務租用選項,許力仁說,未來,用戶本身若是若具備ASM或是Advanced WAF,即可在雲端服務租用的虛擬機器上,使用新功能(但F5 BIG-IP系統平臺需為13.1.0.5以後的版本),不需受限於雲端服務廠商與F5的合作進度。

F5 Advanced WAF支援多種採購模式,可因應不同用量(永久、訂閱、根據每套應用系統的虛擬版本(Per-App Virtual Edition)、企業大量授權,以及兩大雲端服務)與場景,而在管理模式上,也支援多種選擇,像是用戶自行管理、自助式服務,以及由F5來代管。對於技術支援與服務的部份,該公司也提供了安全突發事件應變小組(SIRT),以及WAF服務等兩種選擇。

產品資訊

F5 Advanced Web Application Firewall
●原廠:F5(02)8712-6828
●建議售價:廠商未提供
●部署形式:硬體設備(BIG-IP i系列)、軟體(虛擬版本)、代管服務(Silverline Web Application Firewall)、公有雲服務(AWS、Azure、GCP)
●功能:進階應用程式防護、機器人程式主動防禦、身分防護、行為分析、API協定安全
●可保護的API類型:Rest API、JSON、SOAP、Ajax、XML、WSDL parsing

 

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容