碳基体

奋斗在产品安全第一线的安全妹子

商用WAF-impreva SecureSphere分析

分析过开源WAF产品modsecurity,naxsi,现在来分析商用的WAF产品——impreva SecureSphere(被业内评为最好的WAF产品)。


一款WAF产品,我们会主要从功能、易用性、性能三方面来进行评测。

首先,我们知道waf产品从用户定位来看,有以下两种:

目标用户:站长   提供的服务:防住攻击就好,例如云WAF产品 收费点:增值服务 

目标用户:互联网商家 提供的服务:不仅仅是防住攻击,还有风控、审计、监控,SIEM,取证等要求,例如SecureSphere 收费点:产品ALL-in-One

接下来,我们按第二种WAF产品的要求,来看SecureSphere的优势在哪里?

 

一、功能
  1. 1. 防御攻击的能力

我们知道传统WAF(包括其他安全产品)的技术核心是模式匹配,静态规则库很明显的缺陷有以下几点

a. 已知攻击的绕过

1)HTTP协议解析漏洞 :WAF进行模式匹配的时候都是对HTTP协议变量进行匹配,攻击者构造异常的HTTP数据包导致不能正常提取变量,都不能进入到模式匹配阶段,自然而然就绕过了


2)模式匹配的先天不良:字符串匹配,无论是简单的正则匹配或者会配合一定的逻辑的匹配(比如对不同关键字进行加权操作,前后依赖关系判断)反正都逃不开模式两个字,而模式是固定的,就导致了各种侧漏。 

 

b. 未知攻击不可感知与响应滞后

 

当然,传统WAF也未这些缺陷,做出了弥补方案

1)  静态白规则的应用——基本都死在了误报上

如何自动生成白规则? 如何感知防御内容变化动态生成白规则?是解决误报的难点,而SecureSphere找到了解决方案,这个也是它最大的卖点。

2) 事后运维

手段1:日志漏报分析——死在了日志分析能力上,如何保证及评测准确率,召回率

手段2:外界反馈(用户,安全圈)——死在了不可说的原因下

这两种手段的共同缺点是滞后,滞后的安全不是健康预防,甚至不是医生急救,而是法医验尸

 

我们来看看SecureSphere的解决方案

1)、动态行为建模——最大卖点

“adaptive normal behavior profile NBP architecture 动态生成应用正常行为特征模型 (白名单)”

 

从上图我们可以考到,模型包括三个方面

(1)web特征模型

核心:理解应用,用户点击一个url的过程,发生了什么?

请求方法?请求path?查询字符串?post数据?表单如何解析?JS如何处理?请求通过web server传入后端后,交给了谁?是DB?还是OS的文件系统?怎么处理?最后是读取、写、还是执行操作。

 

(2)DB特征模型

web特征(server级别,app级别);DB特征(server,app); web-DB关联特征; 以用户会话为单位的请求关联分析,对后续的攻击事件取证也有很大帮助。 更优秀的分析方法吸取了白名单的优点-漏报小,改善白名单的缺点-误报大。


 


 2)策略细化

解决问题有两种方法,一是破——创建全新的方案(最大卖点,前面提到了),二是补——将已有方案优化到极致。

WAF最核心的组件——安全策略(比较low的叫法是规则),测量有五要素

  • 策略类型 e.g. 防御SQLi

  • 匹配条件 e.g. 参数名/参数值有注入语句

  • 应用对象 e.g. 查询字符串,POST正文,请求头

  • 动作 e.g. 拦截本次请求

  • 例外 e.g. SQL管理后台例外

 

而SecureSphere从以下方面来化腐朽为神奇


  1. 1. 策略类型全,我们强调了发现未知的神奇处,也不能忽略了已知(已经获得的安全知识)的优势,他们比未知更为有效(成本低,性能高)

  2. 2. 策略多样性,不仅仅是正则特征码,还包括调用第三方工具接口(e.g. 扫描器接口,欺诈检测接口); 不仅仅有防攻击策略,还有主动防御策略

  3.  3.策略动作的多样性,不仅仅是记录与拦截

  4.  

  5. 4. 策略的配置粒度——合适的粒度,不要一刀切,例如所有的get参数,用同一个正则匹配

  6. 5. 应用防御中心ADC的有力 支撑:每个做安全产品的背后都有一个或多个攻防实验室在补充知识库,无论是自己的还是别人的6.  ThreatRadar——外界安全情报系统的支撑:攻击源(IP,url)信誉库来阻挡大面积自动化攻击,区分自动化攻击,细化人工攻击 
     

  7. 2. 不仅仅是防御攻击

    传统WAF到这里就结束了。而SecureSphere做得更多

    它集成了以下模块:

    1) 风险管理: 集成了扫描器(DB,web漏洞)——风控团队可以用 

    (2) 审计管理——审计团队可以用

    风控与审计,对金融(电商,支付,银行)类目标用户,是标配

    (3) 监测IDS系统——SIEM(监测,取证)团队可以用


3. 缺失或存在质疑的安全功能

缺失:

  1. 1. 社工?
    社工库?
    钓鱼?

  2. 2. 逻辑漏洞-针对业务流程的攻击
    非常规访问流程
    明确WAF不能做的,可替代的方案,单独成反欺诈产品,提供接口调用其检测结果

3.  被攻陷后(接入安全产品前或安全产品未能防住的攻击)隐藏的后门,造成的破坏是否能被发现

         

质疑:是否有宣传的,对未知攻击的捕获、识别、评估有那么牛

      1.  捕获异常的能力:模型的准确率、召回率

      2. 识别异常的能力:是哪种0-day/未公开漏洞

      3. 评估异常的能力:影响了多少个系统?造成多大的危害

 

   

4. 泛安全功能(不是传统意义的攻击,但是危害用户的行为)

      1.  网站内容保护——反恶意抓取、垃圾信息注入

      2.  精准洪泛攻击——对API接口的海量调用、例如短信接口、验证码接口

 

二、易用性

 

 

  1. 1. 产品部署
    接入方式是否容易? SecureSphere支持透明桥部署;代理部署;旁路监听部署

  2. 2. 产品使用

    差评:除了部分策略需要本土化,这是最需要本土化的地方

    优化程度:理想状态——不需要培训; 可接受状态:用户手册不超过20页

  3. 3. 产品运维

    疑问:

    (1)新接入站点的训练时间? 站点内容与训练时间的对应关系

    (2)站点变更的发现与训练?

    (3)错误的训练数据的影响?

 

 

三、性能

见官方数据

  1. 流量: multi-gigabit

  2. 延迟: sub-milliseconds

 

 

四、总结

从优秀的产品学习如何改善自己的产品

优点(卖点):

   1. WAF本职:

创新点:动态建模(dynamic application and database profile ; user access monitoring; behavior modeling、web-DB 联动分析 (web user session to Dtabase query mapping)  +  

优化点:策略细化——更快(发现快,响应快)、更准(拦截准,定位准)、更全(发现攻击,识别攻击,评估攻击)

 

   2. 不仅仅是WAF,更是风控、审计、监测、取证

   3. 泛安全,不局限于安全,考虑用户需要的

 

缺点:

  1. 操作本土化、简化

  2. 策略本土化(这个其实不算缺点)

 

山寨这款产品的方法就是有选择的继承卖点+本土化

来源:碳基体

评论

热度(3)

  1. 子布文龙碳基体 转载了此文字