在應用程式安全方面,基於web應用程式防火牆(waf)的保護已經成為抵禦web攻擊的第一道防線。web應用程式防火牆部署在web應用程式的前面,旨在攔截來往web伺服器的通訊,以識別惡意請求並阻止它們。
據中國知名網路黑客安全專家,東方聯盟創始人郭盛華透露:「waf並不是一種新技術,已經存在了一段時間,許多組織已經在其中部署了某種形式的waf。但是不幸的是,waf的有效性仍然是乙個問題。資料洩露的成本不斷增加,以及成功進行web攻擊的次數表明,傳統形式的waf並未發揮有效的作用。「
最近進行的一項獨立研究進一步證實了這一說法。在接受調查的組織中,有65%的組織表示他們不確定waf的有效性,
其中43%的人僅在日誌/監控模式下使用waf,他們中的86%經歷了繞過waf的應用程式層攻擊。
相反:waf上的年度支出逐年增加,
機構平均每年總共花費620k,
waf產品為420k,員工每週花費45個小時微調規則和管理waf,每年為200k。
很明顯,waf的傳統形式不起作用,這是因為:
傳統waf中的靜態waf規則無法提**用程式漏洞的可見性,也無法在不斷變化的威脅形勢下提供全面的保護。
應用程式在不斷變化,並且waf很難以塊模式進行部署,因為它需要不斷的監視和規則的微調。
waf的管理需要專業知識,並且並非所有組織都具有正確部署所需的技能。
傳統的waf部署在本地(客戶基礎架構)中,這意味著管理基礎架構已成為客戶的工作。這導致額外的資本支出和運營支出。通過複雜的攻擊,尤其是在ddos攻擊中,本地部署幾乎無法擴充套件以阻止此類攻擊。
由於組織中的複雜異構環境具有不同的部署模型以及所使用的語言和體系結構,因此幾乎不可能有乙個可以對waf進行微調以保護這種多樣化環境的內建團隊。
因此,需要一種更好的防禦方式:
利用雲網路的強大功能和可擴充套件性,可以隨您的業務擴充套件規模。
動態更改保護配置檔案,以適應不斷變化的應用程式和威脅形勢。
不需要建立一支擁有安全專業知識的內部資源軍隊。
作為完全託管的waf,這些規則由網路安全公司的安全專家進行了調整,這些專家具有多年在數千個站點處理waf安全性方面的經驗,因此他們知道自己在做什麼。(歡迎**分享)
企業防禦APT攻擊應掌握四大關鍵點
隨著it基礎架構的不斷公升級變化,傳統的安全防禦措施開始顯得捉襟見肘。而在面對未知威脅和高階持續威脅 apt 的挑戰時,筆者不禁想到富蘭克林的著名格言 一分預防勝似十分 聽起來是很明智的建議 然而,很多企業的作法卻是新增了越來越多的安全工具到其安全資源池來保護企業的資料,包括在雲中 內部系統以及移動...
顧問應深入企業
我從乙個顧問變成了企業裡面的資訊部主管。這讓我感受頗深。很多顧問到客戶公司裡夸夸其談,滿口標準化 規範化的語言。其實說了半天效果也不明顯。說到底這還是因為溝通的問題。為什麼顧問和企業的溝通出問題了呢?最主要的是這個顧問並沒有真正地深入到企業,了解企業實際的情況,換句話說,他並沒有了解企業管理者真正想...
為何企業的IT系統「短命」
為何企業的it系統 短命 說明 本篇文章版權由ecf 和hp所有。一直有報道在說,中國的建築物是全球最 短命 的建築物,往往在使用了30年左右就被推倒重建,這個事情導致的結果就是中國的gdp在不斷攀公升,可是民眾的生活質量卻是一降再降。當然這個事情的原因是什麼呢?原因是國內的城市規劃太短命了,往往城...