从 WAF 到 WAAP

目录 前言04 WAF的传统定义05 传统WAF面临的挑战06 设计原则——从WAF到WAAP07 Akamai的WAAP策略10 摆脱传统规则10超越速率限制，打造现代化的应用层DDoS攻击防御措施10利用单一解决方案提供全面保护11 Adaptive Security Engine12 自适应威胁检测13自动更新13测试框架以确保准确性14自动自主调整15配置和自动化灵活性15在现实世界中验证16集成现代化保护措施16 应用程序安全防护与DDoS防御18 Behavioral DDoS Engine：工作原理19应用程序安全防护的准确性21Client Reputation评分22 恶意软件防护23 应用程序安全分析24 API发现和分析25 爬虫程序监测和抵御 27 App & API Protector固有的爬虫程序监测和抵御功能27主要的爬虫程序功能28 超越WAF：Akamai解决方案带给您更多优势29 Akamai平台情报30威胁研究和事件响应31威胁研究31事件响应31快速威胁检测31CVE保护32 全球化分布式边缘平台33 可靠性和恢复能力33覆盖全球35性能35边缘平台助力安全防护36托管攻击支持37安全运营指挥中心(SOCC)37 结语38 前言 当下，企业的攻击面日益扩大且呈现多样化的趋势，运营摩擦和成本不断攀升，并且面临持续演变的多维度威胁。在这种形势下，安全团队亟需超越传统Web应用程序防火墙(WAF)的监测能力。具体而言，他们需要更多自动化工具来提高效率，并在应用程序和应用程序编程接口(API)生态系统中提供更深层次的保护措施。对于这些保护措施来说，更现代的术语是Web应用程序和API保护(WAAP)。独具慧眼的企业会将其业务安全和客户安全放在首位，他们需要在其整个数字资产中针对多种威胁提供全面防护。除了保护应用程序免受已知、未知和零日攻击的影响之外，这些保护措施还包括： •自适应威胁检测•自动策略更新•强大的DDoS攻击防御措施•API发现和保护•爬虫程序监测和抵御•在开发生命周期内轻松集成 本白皮书探讨了传统WAF技术、从WAF向WAAP的转变，以及推动WAAP解决方案不断发展的持续市场需求。作为安全领域的佼佼者，Akamai专注于安全技术创新方法，以支持并保护最终用户的网络生活。 WAF的传统定义 传统的WAF位于最终用户与Web应用程序之间的流量路径上。WAF会检查流过它的未加密或加密HTTP流量，以确定是否存在一系列规则所定义的任何攻击。 大多数WAF依赖于预定义的一系列规则来识别混杂在合法HTTP流量中的恶意HTTP请求，以防范数以千计的潜在已知漏洞。此外，新的攻击媒介或现有攻击媒介的其他排列组合不断发展，并被攻击者所利用。在这种情况下，传统的WAF需要不断更新其规则并根据合法流量特征进行调整，这些特征会因应用程序而异并随时间推移而变化。 随着最终用户在保护和性能方面的要求越来越高，WAF的范围也不断扩大，以纳入相关的安全技术和服务，如分布式拒绝服务(DDoS)攻击抵御、API安全和爬虫程序抵御功能。这种持续的发展变化需要新的定义和新的术语。 传统WAF面临的挑战 使用WAF的企业经常声称，WAF在有效性、易管理性以及对受保护应用程序和API的影响方面无法满足最初的期望。由于检查数十亿的Web和API请求是否存在恶意代码经常会造成Web性能问题，因此WAF往往成为了企业内部摩擦、性能降级以及因安全协议导致的部署障碍的根源。 传统WAF所面临的一些最严峻的部署挑战源自于以下方面： •检测不准确和高误报率会导致告警疲劳和其他风险•WAF依赖于人工审查、调整和维护•缺乏精细控制会导致过于严厉的拒绝政策，从而中断最终用户体验和业务流程•过时的威胁情报会导致漏洞增加•由于存在限制和缺乏灵活性，出现性能下降和覆盖范围减小•限制太多，无法保护数字扩展 传统WAF是一种功能强大的安全工具。但是，它们往往会给企业带来运营痛点和无法缓解的风险，本白皮书将对这些问题进行探讨。 寻求通过WAAP解决方案来更新其WAF技术的企业应确保该解决方案既能提供商业价值，又能提供强大的安全防护。从WAF转向WAAP可以将这种强大的防护能力与功能、效率和易用性相结合，以满足企业对安全团队和其他团队的需求。 设计原则——从WAF到WAAP 由于传统WAF产品专注于最终用户规则创建，因此任何供应商都可以构建一个WAF解决方案，并相对轻松地将其推向市场，围绕开源开放全球应用程序安全项目ModSecurity核心规则集(OWASP CRS)构建的商业产品的普及就证明了这一点。 但是，提供商难以设计出一个具备以下特性的全面WAAP解决方案： •可进行内联部署，以便在新漏洞出现时保护应用程序和API•能够紧跟现代应用程序开发实践•提供同样强大的DDoS攻击防御、爬虫程序抵御、API保护和客户端Web应用程序保护层 在着手设计WAAP解决方案时，Akamai认为它应该远超“足够好”的范畴。App & APIProtector的设计初衷是解决安全风险，同时让我们的客户企业专注于主要业务目标。作为我们的设计蓝图，我们认为理想的WAAP解决方案应该提供： 有效的安全防护 应用程序在业务的方方面面都发挥着重要作用。保护应用程序免受恶意攻击是企业安全团队的基本目标。安全团队面临的挑战是找到一个能够提供最佳检测功能的WAAP解决方案。理想的安全工具会将检测功效放在首位，因为它是WAAP解决方案中最重要的方面，并且在零日、漏洞利用以及常见漏洞和风险(CVE)防御方面具有出色的记录，以及令人印象深刻的可用性历史记录。 准确性 安全团队需要在抵御风险与促进业务快速发展之间取得平衡。理想的解决方案将具备自主调整机制，可帮助减少误报，同时不影响最终用户体验和业务流程。 现代保护措施 各企业必须不断（并且常常需要手动）将保护措施更新为最新规则，以解决发现的新漏洞。为此，他们需要两项关键能力：获取攻击媒介的最新情报，以及能够调整防御策略以应对可修改攻击的专业安全资源。理想的解决方案将成为威胁情报社区中的佼佼者，并提供用于在整个资产保护范围内简化安全运营的功能。 适应性 威胁形势在不断快速发展变化。随着依托AI技术的攻击即将出现，安全团队需要比以往更加高效地开展安全运营。理想的WAAP解决方案会将高级自动化、机器学习和深度全球情报相结合，以自动提供更新并提供能够一键实施的自定义规则修改建议。 监测能力 传统的WAF解决方案通常会源源不断地发出告警，并依靠安全从业人员仔细分析每个告警，从而导致内部资源消耗殆尽。更有效的WAAP解决方案可通过告知企业攻击发生的时间、位置和方式来提供多解决方案监测能力以及主动提供攻击的背景信息，从而减轻资源负担。 可扩展性 如果一个解决方案没有足够的规模来处理传入流量，那么它很容易就会遇到瓶颈，不仅会导致网络延迟增加，而且可能会在负载加重时崩溃。有效的WAAP策略能够自动进行无缝扩展以应对随时间变化的流量需求和攻击，并且可以在不中断或降低性能的情况下提供持续防护。 合作 有效的安全解决方案需要能够与您当前的产品组合集成、可编程、简单易用，并且能够提供流畅的使用体验。理想的解决方案可以促进安全团队与开发团队之间的沟通和协作。 支持 在发生严重的安全事件时，企业往往会因技能和资源储备不足而难以迅速采取有效措施。理想的解决方案将提供常规的托管服务方案以及按需服务方案，这些方案可提供用于常见场景（包括主动攻击、服务问题、人员流动、内部技能组合差距等）的专业知识和抵御措施。 考虑到这些设计原则，我们从核心技术开始，了解Akamai如何着手构建我们出色的WAAP解决方案App & API Protector。我们的解决方案将多款安全产品合而为一，以全面解决保护应用程序、抵御容量耗尽型DDoS攻击、保护整个资产中的API以及控制爬虫程序流量方面的挑战。 Akamai的WAAP策略 摆脱传统规则 随着市场从传统WAF设计原则转向有效的现代WAAP安全解决方案，有效检测和抵御技术仍然是重点。 Akamai于2009年首次推出了我们的WAF，也是全球首款基于边缘的WAF。当时的安全供应商都在提供基于静态规则集的WAF作为其检测基础。而Akamai通过构建基于规则的专有引擎（称为Kona规则集）实现了差异化，该引擎采用了少量灵活规则（而非静态规则），并结合异常评分模型来更好地解决攻击的准确性和监测能力问题。 随后在2017年，Akamai推出了自动攻击组。借助Akamai托管的保护措施，各企业无需持续配置和更新规则。自动攻击组的出现带来了一场变革，它迅速在数以千计的Akamai客户主动WAF策略中得以启用，使客户能够利用这一全新方法。 Akamai继续发展我们的应用程序安全方法，优先考虑组合的应用程序和API保护（包括爬虫程序防御功能），并于2021年推出了App & API Protector，此WAAP解决方案旨在取代Kona Site Defender，为企业和不断发展的全球业务提供保护。App & API Protector将Kona规则集技术升级改造为Adaptive Security Engine，改变了Akamai实现安全运营的方式。 超越速率限制，打造现代化的应用层DDoS攻击防御措施 就DDoS攻击而言，速率限制是一个经过验证的有效工具。但是，复杂的第7层DDoS攻击、多媒介攻击以及API利用的兴起，使传统的DDoS攻击防御措施变得力不从心。依赖于固定阈值和预定义特征的静态防御措施是被动的，容易出现误报，尤其是当攻击者越来越多地将恶意流量与合法请求混在一起时。而这正是Akamai改变了DDoS防御方法并推出了URL保护和Behavioral DDoS Engine等全新创新技术的高明之处。 Behavioral DDoS Engine是Akamai App & API Protector的一项先进附加功能，与AdaptiveSecurity Engine一起成为该产品的核心技术之一。这些引擎共同提供针对现代威胁的出色防护能力，使Akamai成为WAAP领域的佼佼者。此双引擎方法可以提供自动更新、自主调整功能和情景感知检测来实现无需人为干预的体验，从而让Akamai在市场中脱颖而出。 利用单一解决方案提供全面保护 如今，随着无服务器边缘计算、基于微服务的架构、单页应用程序以及塑造应用程序安全性的SaaS/IaaS/PaaS/FaaS方法的应用，现代开发实践在不断变化，应用程序安全也在不断被重新定义。 为了保护复杂IT环境中的现代应用程序和API，Akamai采用适应性更强、更灵活且更全面的方法重新构建了我们的应用程序安全技术。随着Akamai的WAAP解决方案从WebApplication Protector和Kona Site Defender迁移到App & API Protector，更多的安全功能和特色工具集被纳入其中。 App & API Protector现在提供了很多额外的安全增强功能，所有这些功能都可以通过单一界面进行查看和控制。Akamai的WAAP解决方案融合了以下功能： 1.Adaptive Security Engine2.可实施精细控制的应用程序安全3.DDoS攻击防御措施，包括高级第7层DDoS攻击防护措施4.API保护措施，包括发现和PII保护功能5.爬虫程序监测和抵御功能6.一个遍布全球、提供威胁情报并具备恢复能力的平台 Adaptive Security Engine Adaptive Security Engine融合了机器学习(ML)、实时安全情报、网络安全专家的见解以及高级自动化技术，提供下一代安全防护。作为Akamai的核心检测和防御技术，Adaptive Security Engine无需人工干预，即可确保所有Web应用程序和API资产的