传统WAF使用率降低的原因有哪些
传统WAF使用率降低的原因有以下这些:
防护能力不足以应对黑产:传统WAF主要依赖规则,一方面是吃一堑长一智,针对已知攻击形式有一定防御,针对未知攻击无防护能力,另外一方面,即使是已知攻击行为,由于正则表达式固有的局限性以及shell、PHP等语言的灵活多变的语法,因此理论上是可以绕过的,事实上也是可以绕过的。
缺乏有效的基础业务安全防护能力:WAF是否需要承担业务安全或者说业务风控的职责,其实厂商和用户一直没有达成一致,多数厂商认为这不是WAF的职责,撞库、刷短信接口、薅羊毛等,确实是专业风控产品的职责;从用户角度讲,以前被人撞库、刷短信接口、薅羊毛等,分析日志加Nginx封IP能解决一部分问题,结果上WAF却搞不定了,还非要忽悠我买昂贵的风控。我认为WAF还是要有基础的业务安全防护能力,无论是自动还是由用户配置。
审计能力不足:闲时看PV,出事能取证,出现安全事件时可以很方便地查询原始流量,这个对于应急响应的同学很重要。令人遗憾的是,多数WAF即使可以保存访问日志,但也只能保存请求头、基础的URL,对于攻击定位至关重要的post body,应答内容记录的却很少,当然我们也能理解,这是由于存储空间问题、性能问题造成的。
缺乏扩展性:Web应用标准不断发展变化,提高了对WAF必要功能的要求。公司企业对网络扩展的需求加剧了成本、耗时和复杂性等挑战。设备集群的部署和维护变得非常复杂,而传统的WAF不能应对因为网络扩展而增加的风险,还只能防御原有的网络环境,对扩展的环境毫无防护能力。
阻塞合法流量:大多数WAF用户的另一个不满之处,是传统WAF会无意阻塞有效流量,也就是所谓的误报。尽管从安全角度考虑,这似乎相对无害,但对公司企业而言却可能是灾难性的。误报可能会阻止访客获取应用功能、上传媒体或购买产品。解决这个问题的一个潜在方法是只应用最低限度的模式,但这可能会让网络更加脆弱。大多数WAF解决方案都难以平衡这一操作。除非投入专用资源加以管理,否则很难充分发挥传统WAF的效用。这就是传统WAF无法满足预期的最大缺陷。