AppTrana管理的云WAF如何应对不断发展的攻击技术

Web应用程序遭受不断演变的攻击，其中Web应用程序防火墙（WAF）是第一道防线，也是组织网络安全战略的必要组成部分。

WAFs一直在变得越来越复杂，但其核心保护从高效的模式匹配开始，通常使用正则表达式，并对恶意流量进行分类以阻止网络攻击。

回避模式匹配

然而，不幸的是，这种技术并不是对付意志坚定的攻击者的灵丹妙药。一旦知道启用了保护层，恶意参与者就会想方设法绕过它，大多数情况下，他们甚至成功了。

通常，当WAF阻止的相同攻击有效载荷被伪装，使其对模式匹配机制“不可见”，从而规避安全性时，就可以实现这一点。

特定于上下文的模糊处理

网络使用了许多技术，对于语法中的有效语法，它们都有不同的规则，例如，浏览器本身（至少）有3种不同的语法–；HTML、CSS和JavaScript。

根据攻击目标的上下文，使用大小写、空格和注释混合的有效载荷与原始有效载荷的工作方式相同。

编码

有许多方法可以对发送的请求进行编码，包括URL、十六进制、Base64、字符编码等标准编码。参数/有效载荷可以通过任何编码组合进行多次编码，从而允许编码的攻击有效载荷通过。

一些逃避的味道

这些规避并不是假设性的，也有一些已知的商业WAF被Unicode编码之类的东西绕过的情况。

AppTrana如何处理回避

现实世界中的攻击通常包括多个步骤，包括侦察和攻击组合，因此行为分析、异常评分提供了自动缓解，而像Indusface安全研究团队这样的安全专家可以快速确定攻击是新的还是独特的，并采取适当的行动。

下面列出了使用的一些反规避技术。

转型

在运行检查/模式匹配阶段之前，AppTrana使用转换函数和数据规范化处理上述混淆和编码等规避。应用转换的顺序非常重要，并且可能因上下文而异。

异常评分和行为描述

有些模式太小或太常见，无法做出完整的安全决策。AppTrana的规则将某些事件视为指标，并使用评分机制做出自信的决策。

在用户会话期间跟踪包括指标在内的数据，并计算该会话的风险分数。e、 例如，在一个旅游网站上，如果用户以异常快的速度进行预订，很可能是一个机器人，并且可能会抛出验证码。

习惯规则

AppTrana开箱即用保护可阻止一系列广泛的攻击，并可处理大多数规避行为。AppTrana WAF附带的Indusface托管服务通过在详细了解特定客户应用程序后开发的定制保护来增强这一点。

利用可能被滥用的应用程序行为/功能/怪癖的攻击只能以这种方式处理。

如何评估WAF

任何安全解决方案都应该定期评估拦截攻击、FPs和性能。评估WAF的一个不太好的方法是尝试各种无效请求，包括琐碎的有效负载，并查看WAF是否会阻止所有请求。这过于简单，因为它忽略了现实世界攻击的动机和应用程序的漏洞。

此外，对不再使用的技术或版本也存在旧的或模糊的攻击，因此阻止或允许此类攻击并不能提供有关WAF能力的太多信息。

Indusface如何评估AppTrana的功效

随着攻击和应用环境的变化，Indusface安全研究团队不断评估其保护，以增强覆盖范围并提高性能。它包括快速应对新的0天攻击、处理DDOS等攻击，以及任何新的攻击技术。

作为AppTrana WAF服务的一部分，包括尖端的自动扫描仪和按需手动渗透测试服务。专家手动笔测试团队评估了数千个真实世界的站点，并始终更新以应对最新的威胁、工具和技术。他们还将这些信息提供给扫描仪和AppTrana WAF。

WAF+PT+自动扫描器是一种独特而强大的组合，可帮助该公司使用与攻击者相同的工具和技术，从现实世界的角度评估AppTrana WAF。

Indusface经常全面评估AppTrana WAF，包括测试是否存在规避行为。与扫描器的集成将保护调整到安全平衡安全性、可用性和性能的漏洞。

使用Indusface的AppTrana管理的WAF可以让客户相信，专家正在根据攻击者的实际技术和工具对保护进行测试、评估和更新。