瑞数信息马蔚彦:突破传统WAF瓶颈 平台化将是未来发展的必然趋势

近几个月来，Spring、Log4j2等基础组件相继爆出严重的高危漏洞，层出不穷的“核弹级”0Day漏洞事件不断破圈，让整个泛IT行业都难堪其扰，疲于应对。安全419注意到，有业内资深甲方专家对这一现象发起讨论：部署了多台WAF，我们在0Day面前为什么仍然不堪一击，距离真正有效的安全防护还有多远？

带着一系列相关的问题，我们找到了业内一家代表性应用安全厂商——瑞数信息,邀请其CTO马蔚彦结合瑞数信息在动态安全技术与WAAP平台相关的实践经验，围绕上述话题展开探讨——传统WAF面临什么样的困局？未来WAF又会走向哪些跨越式的发展？

瑞数信息的动态安全技术能否真正帮助用户防御0Day漏洞？

安全419了解到，在Spring框架被曝出高危0Day漏洞的第一时间，瑞数信息官方也对外发布信息，其动态安全技术能够在无需规则防护升级的情况下对0day漏洞探测利用进行有效阻断，保障补丁空窗期应用的安全。这也引起了我们的好奇，瑞数信息是如何成功帮助用户防御0Day漏洞攻击的呢？

马蔚彦表示，“得益于动态安全技术，瑞数信息能够在0day漏洞披露之前就实现对于0day漏洞攻击的防御。”

她提到，瑞数信息的动态安全技术较传统WAF技术领先之处在于，传统WAF在0Day漏洞面前几乎无力抵抗，只有等到0Day漏洞的攻击特征被公布出来之后，才能尽快升级规则，组织防御战线。但瑞数信息提出的动态安全技术，其原理是识别工具行为，并非是去看流量和数据包中的特征，因此可以摆脱对规则的依赖。

当前在全球范围内，自动化扫描型、探测型的攻击数量早已经超过了完全人工的攻击行为数量，据Imperva统计，全球范围内90%的安全事件是由恶意Bots引起。只有极个别情况下，才会发生点对点的针对性高级攻击。

“在掌握一个0Day漏洞后，攻击者往往第一时间就会利用自动化工具在全网进行扫描探测，试图寻找突破和潜伏的机会。但在瑞数信息眼中，哪怕是一个只有三五行代码的自动化脚本，也会被认定为工具性的扫描行为，而凡是工具性行为，瑞数动态安全技术都会迅速实现拦截、阻断。所以我们只判断这一点就足够了。”

“之前的0Day漏洞事件爆发后，我们拿暴露出来的poc代码的特征回到日志里去比对，发现这个攻击行为已经被瑞数动态安全技术识别和防护住了。所以我们经常开玩笑说自己‘后知后觉’，因为最先知道0Day漏洞的人并不是我们，而是能够防御住利用未知漏洞发起自动化攻击行为的瑞数动态安全技术”。

据马蔚彦介绍，除了动态安全技术，瑞数信息WAAP平台也同时融合了业内主流的语义分析、智能威胁分析、流量自学习、人工智能行为分析等技术，不仅能够针对自动化工具行为进行精准识别，还能够对已知漏洞、0day漏洞探测和利用进行精准识别，建立起更立体的防御工事，帮助用户开启更加主动的威胁防护。

传统WAF弊端和局限性凸显 WAF安全厂商集体向上看

马蔚彦表示，移动互联网的飞速发展，让包括APP、H5、小程序等多种应用形式不断涌现，应用开发架构和开发模式也随之改变。应用程序数据的开放性允许越来越多的API接口被调用，复杂的应用场景和API调用行为则带来了更加难以管控的风险敞口，同时也催生出了更加复杂的网络攻击手段，这些都让传统WAF愈发难以适应，也愈发无力应对。

传统WAF的工作模式通常基于正则表达式，基于规则和特征来构建安全策略，这一工作原理一方面造成了传统WAF让用户诟病的误报率居高不下，带来了极高的运维成本；另一方面，规则的更新往往滞后于攻击事件，往往只能在0Day漏洞披露之后，尽快地依据漏洞特征更新防护规则，“这又让传统的WAF显得很没有用，招来了用户的一些吐槽”。

在马蔚彦看来，作为一种基于规则的安全防护技术，从某种角度上看WAF技术的优势在于规则能够写得很具体，能够对风险特征和行为进行精准的防护，具备较强的匹配性，但写得很具体对于略加变形的攻击特征就无法识别，从而形成漏报；但若规则写得宽泛，又不可避免地会出现高误报。因此，传统WAF技术既具备鲜明的优势，同时也具备鲜明的缺陷。

“从技术的发展来讲，包括瑞数信息在内，任何一家做WAF的厂商都在尝试完善和迭代WAF技术，不断将新兴技术手段融入其中，比如说刚刚提到的语义分析技术、智能威胁分析、流量自学习、人工智能行为分析等，希望利用这些更先进的技术和能力弥补WAF技术的一些缺陷。”

瑞数WAAP平台 全面管控应用安全风险

“在过去几年里，我们谈下一代WAF时更多谈的只是技术点。但相比国内外的厂商，在下一代WAF的发展方向上，瑞数信息则不仅如此。”

据研究机构Gartner预测，到2023年，30%以上的面向公众的Web应用程序和API将受到云Web应用程序和API保护（WAAP）服务的保护，这种服务结合了分布式拒绝服务（DDoS）保护、机器人程序缓解（Bot Mitigation）、API保护和Web应用防火墙（WAF）。

在马蔚彦看来，Gartner提出的WAAP理念并没有阐明和限定下一代WAF的具体技术，但它却明晰了应该防御的对象和防御能力，即：既要能够缓解Bots自动化攻击，也要能够解决传统WAF被动响应式安全防护的困局，同时还要能够解决APP和API方面的安全问题，具备对多应用的支持能力。事实上，这正与瑞数信息的WAAP平台化防护思路不谋而合。

瑞数信息提出了以WAAP平台化的方式来管控数字化时代下企业的应用安全风险。结合瑞数信息自身钻研多年的“动态安全引擎”+“智能威胁检测引擎”+“规则引擎”三大引擎协同工作，在提供传统Web安全防御能力的同时，能够有效助力用户应对新兴和快速变化的Bots攻击、0day攻击、应用DDoS攻击和API安全防护。

她提到，平台化将是未来WAF的必然趋势。对于中大型企业而言，平台化的WAF产品能够将目前已有的Web类、App类、小程序，以及API全部纳入管控范围内，通过全访问记录和多维度关联分析，将各业务接入渠道的数据进行融合，实现用户访问数据追踪和透视，达成Web安全一体化的统一管理。这既能够降低各个独立安全产品各自为战的协作问题，同时也能降低企业安全运维方面的压力。

而对于中小规模的企业用户，平台型WAF产品也同样具备灵活性、可扩展性等方面的优势，能够更好地适应企业快速变化的应用场景，以模块化的方式迅速响应在相应场景下的安全需求。

未来WAF将会走向何方？

针对未来WAF发展趋势的问题，马蔚彦表示，传统WAF解决的主要是应用层漏洞，尤其是已知漏洞的安全问题，但对于未来WAF来讲，早已不仅局限于漏洞本身了。企业界对WAF产品的要求，也已经从防护已知漏洞辐射到未知威胁。

除此之外，更值得关注的是当前应用层的攻防对抗已经表现出了向业务上辐射的趋势。以企业用户广泛存在的业务逻辑漏洞举例，它实际上是没有明显恶意特征的，比如在一个普通的用户登录的页面下，尽管这里不存在漏洞，也没有注入攻击的漏洞，但一旦入侵者利用撞库的方式进行模拟登录，有可能会拿到一些用户凭证。这样类似的攻击行为在薅羊毛的场景下已经很常见。

马蔚彦补充道：“对于每一家WAF厂商而言，都希望在突破传统WAF瓶颈的同时，覆盖用户更多更广泛的安全需求。然而我们能清晰地看到，在数字化转型过程中企业越来越需要以Web、App和API等多种形态建构现代应用，来满足和支持业务的快速迭代和不同场景需求。未来的应用安全趋势是Gartner提出的WAAP应用安全超融合平台的方向，WAF将只是其中的一个组件功能，利用App、API应用特点的攻击方法、形形色色的自动化攻击手段已经在超越传统Web攻击成为主流，企业的防御也必将从由客户自己集成单点的应用安全产品走向融合和平台化。”