Web应用程序防火墙(WAF)问题似乎并不似乎是大笔交易,直到我实际开始深入挖掘该领域的正在进行的讨论。似乎卖方似乎正试图说服客户和自己,一切都很顺利,没有问题。
然而,实际上,客户不再购买,而WAF产业在客户质量的角度上不断失败。
使用运行时应用程序自我保护(RASP)技术也引发了危险信号。现在有一种趋势,将缓解/防御方面引入应用程序,并在代码中编译它。人们认为,运行时应用程序的自我保护是保护软件的捷径,而这也与性能问题有关。它似乎是一个绝望的解决方案来取代WAFs,因为没有人真正喜欢在应用程序代码中混合它的“安全设备”,这正是RASP供应商目前提供给他们的客户的。然而,一些供应商正在采用RASP技术。
一般来说,由于缺乏自动化、可伸缩性和对新兴威胁的覆盖,WAF客户端非常失望,这些威胁随着现代僵尸网络变得越来越高效和咄咄逼人而变得至关重要。这些僵尸网络是在“老”物联网(IoT)僵尸网络之上的人工智能(AI)功能制造的,“老”物联网(IoT)僵尸网络正变得越来越多用途,其攻击不同载体的能力越来越强。传统WAF提供的功能已经成为一个令人不满的问题,而下一代WAF,作为人工智能系统诞生的,可能解决这种多维威胁的复杂性,是相当罕见的。
在网络和应用防御的网络防御部分,人工智能/机器学习(AI/ML)解决方案并不多。然而,越来越多的人工智能和ML解决方案开始浮出表面,作为对抗分布式拒绝服务(DDoS)攻击的重大成功,更具体地说,是针对应用DDoS世界的重大成功,L7 Defense的无监督学习方法证明了这一点。这种技术也可能在WAF解决方案中发挥关键作用,如防御相同的多用途僵尸网络。
我们开始看到在云中使用ML的运动。这是今年的事实明显Oracle购买了ZENEDGE.,提供基于云计算、ml驱动的网络安全解决方案。Zenedge(现在动力学自甲骨文收购)提供了WAF,它显示了甲骨文云提供所需的自动化的迹象,尽管它并不足以产生巨大的差异从传统WAF功能,缺乏重大的技术进步在覆盖的基本谱比现有技术的威胁。
人工智能和ML是用于预测分析的工具。毫无疑问,对于基于云的WAF环境的未来和生存来说,它们是必须的。
经典WAF和云的问题
经典WAF具有可扩展性问题。我们可以通过服务器负载平衡和弹性服务进行游戏,但尺度不是最初内置的东西。虽然,您可能会生成实例,事实是它不是设计用于弹性。这实际上意味着经典的WAF没有为云架构而建造。至于,它们被改造,但缩放和自动化仍然是一个问题。它似乎被接受并不是因为它是好的,而是因为没有替代方案。
此外,WAFS永远不会灵活地抵抗高级僵尸网络制造的动态威胁,因为主要是为了保护攻击等简单的“SQL注入”。它们绝对不适合保护诸如凭证填充等攻击。
问题的两个方面都需要人力在任何环境中定制和维护WAF。然而,在云端完全自动化环境中,现在无法埋入内部环境的好处。
WAF和应用层(DDOS)攻击
应用DDoS是WAF的一个主要的私有案例。就在不久前,随着问题变得越来越严重和苛刻,它被克隆为WAF的补充解决方案,而DDoS一直被视为操作问题而不是应用问题。应用层DDoS攻击是攻击者针对第七层OSI (Open Systems Interconnection)进行攻击。
他们寻找特定的网站函数和功能,有意禁用和扰乱它们。The attacks may come in low traffic rate usually less than 1 Gbps blended and mostly undistinguished from normal traffic and therefore are highly challenging being detected by the traditional network defense tools such as the WAF’s, as are usually operates based on known signatures or by detecting bold behavior patterns, none is relevant to this category of attacks.
至于应用层DDoS,我们有相同的多用途AI授权物联网僵尸网络,但在这种情况下,使用特定的、具有破坏性的应用向量,同时使用相同的伪装技术,以误导他们一直在DDoS世界中使用的防御者。因此,下一个逻辑步骤是将WAF连接到DDoS问题是有意义的。
现在,如果您不使用WAF的AI,您必须准备好“未能准备,准备失败”。我们从静态请求开始,然后移动到动态请求。我们从带有循环的脚本迁移到自动化AI的攻击。恶意软件的自动扩展是一个重大转折点,现在我们开始看到完全自动化的DDOS攻击。
有证据表明,可以应用僵尸网络与进化的结合攻击WAF。然而,现在,不是尝试使用DDOS脱机,不良演员正在尝试将数据从系统中取出或以某种方式损坏您的数据。
仍有两个目标,现在已经被收集为互补性。第一个是,操作性地,您的应用程序必须承受DDOS保持延续和运行。其次,没有糟糕的演员应该渗透申请,滥用客户并损坏数据。
AI增强了IOT僵尸网络攻击
去年在网络世界上描述了我的文章中描述的相同原理 - “有个足球雷竞技app人工智能DDoS攻击的兴起“ - 攻击向量本身可能是经典的,如SQL注入或更新,例如凭据人员。标准攻击工具(如W3AF和Grabber)可用于执行这些种类的复杂,多向量攻击,其中,您正在寻找攻击Web域内的特定功能。然而,您对后卫有关零知识的“零知识”以及它会击中的方式。
AI增强的攻击机制是为了效率。应用指向凭证填充到滥用客户帐户的特定向量将发送多个请求与用户名和密码,希望有些东西会捕获一些东西。它遵循了人们在多个地方使用相同的密码。
在AI中,它可以在战场上根据防御者的反应而改变战术,这更加致命。在攻击方面,AI可以优化针对特定目标的攻击,无需人工干预就能自动完成。因此,在物联网僵尸网络、原理和C&C服务器方面的同样进步可以用于WAF应该解决的其他应用攻击。
有些东西可以以与AI DDOS C&C服务器的形式呈现的相同强度动态到来。因此,它具有在任何雷达或阈值下滑动的潜力。AI能够在飞行中优化优化,以便通过防御正在使用的固定模式进行忽视。在这里,防止灵活攻击的静态防御将无法正常工作。
防御方
在防御方面,传统方法正在使用已知漏洞的某些字典或数据库。但是,这不再工作了,因为向量现在可以随机化。它们可以来自多种模式的多个来源。
不会检测到载体,防御方将不足以有效地减轻。如果您正在寻找特定的模式,您将失败并在硬登陆失败。
如何解决这个问题?
我想象在网页和API的分辨率下工作的多个AI机器,名为WAF-AI。这样,您现在拥有一个系统,独立地将每个网站自动保护作为独立的。每个AI机器都保护特定的网页或API。
如果没有高分辨率的机器学习申请基线,则无法有效地防御多向量或人类模拟攻击,或者简单地减少请求率攻击。
WAF应该能够抵抗各种多向量攻击,如SQL注入、远程命令执行、远程文件包含、本地文件包含、PHP注入、LDAP注入、Memcache注入和跨站脚本攻击;一次。我们需要专业知识来识别这些类型的攻击,并从第一次请求开始,以最大的准确性对它们进行分类。客观地说,这是识别“第一个请求”的关键部分。
应限制误报和假否定,这将在网页级别接近零。如果您知道您在寻找什么,并且您是准确的,您不会错过任何一个节拍。记住你在这里在战区。DDOS只是我们在WAF中所看到的一部分。WAF是许多供应商的核心,而DDOS是其他供应商的核心。然而,在过去,DDOS一直是从WAF被搁置的东西。
但是,事实是,WAF与DDOS相连。它们是同一问题的一部分。最终,通过这种思考,我们可以有所作为。
正确的前进方向
我们需要找到一种解决方法,该解决方案是从应用程序DDOS中使用相同的AI概念。我们需要在算法上的可能性上添加特定分类,以便动态地识别飞行的所有类型的攻击。
首先,您需要识别攻击类型,例如,在登录页面上的攻击,然后采取预防措施来停止攻击。如果您的Web界面中存在某种流量聚合,则必须为WAF提供额外的功能,以确认为您的Web界面中的某种流量聚合。
需要什么是能够通过特定字段来识别进入的内容来影响特定的网页。这是最高的分辨率。如果您在此分辨率下工作,则可以控制应用程序的任何内容。这是你实际需要保持守卫的地方。
类似的公司L7Defense从高度卓越的高度卓越挑战施用相同的无监督学习算法,能够从第一个请求中识别任何与WAF相关的攻击。它们保护Web系统的经典威胁(OWASP 10)更复杂的自动威胁(OWASP 20),以及来自API的攻击。从他们的演示中,它似乎捕获了非常复杂的攻击场景,攻击者使用多天的零点模式,同时将错误水平保持在右侧,非常接近零假正负和负。
从他们的在线演示中,似乎F5也在取得一些进步。在我广泛的研究之后,我发现最有可能它不支持多向量功能或智能灵活模式。从他们的DDOS混合后卫在线演示中,它似乎是基于手动设置或全局自适应阈值的经典行为分析。但是,他们没有要求任何机器学习能力,而传统行为分析并没有为WAF制作。