12月20-22日,"未來簡史新紀元 ·2016 第十一屆中國IDC產業年度大典" 在國家會議中心隆重舉辦,大會是在中國信息通信研究院、云計算發展與政策論壇、數據中心聯盟的指導下,由中國IDC產業年度大典組委會主辦。北京長亭科技高級研發工程師李昌志受邀參加21日安全運維論壇,發表了題為《論正則防護系統的全自動繞過與下一代防護方案》的演講,對當前Web應用安全防護產品及理念做了專業解讀。
隨著 Web 對外服務在企業中的占比不斷增長,越來越多的敏感數據暴露在互聯網中,作為環境最復雜且直觀的應用層,易被攻擊的面廣,關注其弱點的惡意攻擊者多,從而導致應用層威脅級別相比較其他六層更高。而應用層的安全防護失效,會給企業造成不可估量的損失。近年來,網站應用層失守導致的安全事件時有發生。例如,12月10日國內知名電商網站發生12G用戶數據泄漏,究其原因是2013年Struts 2的安全漏洞問題導致。而Struts 2是基于MVC設計模式的Web應用程序框架。由此說明這是一個典型Web應用層漏洞導致數據外泄的安全事件。12月14日,雅虎再一次發生重大安全事件,泄漏數據涉及10億用戶,根據雅虎首席信息安全官在其官方博客說明,此次事故原因是黑客竊取管理員網絡信息塊導致服務器被入侵。這些因為應用層被攻擊付出的慘痛代價表明,應用層威脅在不斷增長,Web 應用安全防護成為每一位企業安全負責人的必修課。
長亭科技的李昌志分析了當下傳統WAF的優劣勢,同時帶來了下一代創新型WAF的實現思路和最新的安全理念。他在演講中提到當下Web防護體系核心引擎均采用正則表達式集合,通過大量人力不斷維護黑白名單對已知威脅做防護。駐場和無止盡更新規則集帶來的弊端不僅僅表現在浪費人力和時間資源上,更重要的是面對未知攻擊的束手無策。李昌志提出:下一代Web應用安全防御方案必須要提高準確率,召回率和檢測性能。 2016年7月,長亭科技自主研發的WAF雷池正式對外發布。這款產品在核心技術上進行了革命性創新,其漏洞檢測引擎采用語義分析,用機器學習的方式改進了模型,直接使準確率和召回率大幅上升。與此同時,雷池能夠在確保高準確率和召回率的情況下,保證使用站點的自身業務不受影響。在維護成本上,雷池幾乎不需要專門的人員維護,直接解決傳統產品短板,讓Web應用安全防護更高效,更準確。另據信安在線11月資訊顯示,雷池在國家等級評測中被定為增強級,并獲得公安部頒發的《計算機信息系統安全專用產品銷售許可證》。
在網絡數據安全攻防戰中,同真實黑客斗智斗勇,解決企業核心安全的后顧之憂才是網絡安全企業最本質的意義所在。在網絡空間和現實空間的不斷多元融合下,人類書寫的未來簡史中,網絡數據安全的保衛戰和優秀的安全衛士將占據這本簡史中重要的一章。
(新聞稿 2016-12-29)