商用WAF-impreva SecureSphere分析

分析过开源WAF产品modsecurity,naxsi,现在来分析商用的WAF产品——impreva SecureSphere(被业内评为最好的WAF产品)。

一款WAF产品,我们会主要从功能、易用性、性能三方面来进行评测。

首先,我们知道waf产品从用户定位来看,有以下两种:

目标用户:站长   提供的服务:防住攻击就好,例如云WAF产品 收费点:增值服务

目标用户:互联网商家 提供的服务:不仅仅是防住攻击,还有风控、审计、监控,SIEM,取证等要求,例如SecureSphere 收费点:产品ALL-in-One

接下来,我们按第二种WAF产品的要求,来看SecureSphere的优势在哪里?

一、功能

    1. 防御攻击的能力

我们知道传统WAF(包括其他安全产品)的技术核心是模式匹配,静态规则库很明显的缺陷有以下几点

a. 已知攻击的绕过
1)HTTP协议解析漏洞 :WAF进行模式匹配的时候都是对HTTP协议变量进行匹配,攻击者构造异常的HTTP数据包导致不能正常提取变量,都不能进入到模式匹配阶段,自然而然就绕过了
2)模式匹配的先天不良:字符串匹配,无论是简单的正则匹配或者会配合一定的逻辑的匹配(比如对不同关键字进行加权操作,前后依赖关系判断)反正都逃不开模式两个字,而模式是固定的,就导致了各种侧漏。

b. 未知攻击不可感知与响应滞后
当然,传统WAF也未这些缺陷,做出了弥补方案

1)  静态白规则的应用——基本都死在了误报上
如何自动生成白规则? 如何感知防御内容变化动态生成白规则?是解决误报的难点,而SecureSphere找到了解决方案,这个也是它最大的卖点。

2) 事后运维
手段1:日志漏报分析——死在了日志分析能力上,如何保证及评测准确率,召回率
手段2:外界反馈(用户,安全圈)——死在了不可说的原因下

这两种手段的共同缺点是滞后,滞后的安全不是健康预防,甚至不是医生急救,而是法医验尸

我们来看看SecureSphere的解决方案
1)、动态行为建模——最大卖点

“adaptive normal behavior profile NBP architecture 动态生成应用正常行为特征模型 (白名单)”

1

 impreva SecureSphere分析 – 碳基体 – 碳基体

从上图我们可以考到,模型包括三个方面

(1)web特征模型

核心:理解应用,用户点击一个url的过程,发生了什么?

请求方法?请求path?查询字符串?post数据?表单如何解析?JS如何处理?请求通过web server传入后端后,交给了谁?是DB?还是OS的文件系统?怎么处理?最后是读取、写、还是执行操作。

2

(2)DB特征模型

web特征(server级别,app级别);DB特征(server,app); web-DB关联特征; 以用户会话为单位的请求关联分析,对后续的攻击事件取证也有很大帮助。 更优秀的分析方法吸取了白名单的优点-漏报小,改善白名单的缺点-误报大。

3

 

 2)策略细化

解决问题有两种方法,一是破——创建全新的方案(最大卖点,前面提到了),二是补——将已有方案优化到极致。

WAF最核心的组件——安全策略(比较low的叫法是规则),测量有五要素

    策略类型 e.g. 防御SQLi
    匹配条件 e.g. 参数名/参数值有注入语句
    应用对象 e.g. 查询字符串,POST正文,请求头
    动作 e.g. 拦截本次请求
    例外 e.g. SQL管理后台例外

而SecureSphere从以下方面来化腐朽为神奇

    1. 策略类型全,我们强调了发现未知的神奇处,也不能忽略了已知(已经获得的安全知识)的优势,他们比未知更为有效(成本低,性能高)
    2. 策略多样性,不仅仅是正则特征码,还包括调用第三方工具接口(e.g. 扫描器接口,欺诈检测接口); 不仅仅有防攻击策略,还有主动防御策略

4

     3.策略动作的多样性,不仅仅是记录与拦截

5

    4. 策略的配置粒度——合适的粒度,不要一刀切,例如所有的get参数,用同一个正则匹配
    5. 应用防御中心ADC的有力 支撑:每个做安全产品的背后都有一个或多个攻防实验室在补充知识库,无论是自己的还是别人的
    6.  ThreatRadar——外界安全情报系统的支撑:攻击源(IP,url)信誉库来阻挡大面积自动化攻击,区分自动化攻击,细化人工攻击

6
      
    2. 不仅仅是防御攻击

    传统WAF到这里就结束了。而SecureSphere做得更多

    它集成了以下模块:
    (1) 风险管理: 集成了扫描器(DB,web漏洞)——风控团队可以用
    (2) 审计管理——审计团队可以用
    风控与审计,对金融(电商,支付,银行)类目标用户,是标配
    (3) 监测IDS系统——SIEM(监测,取证)团队可以用

   3. 缺失或存在质疑的安全功能

缺失:

  1.  社工?社工库?钓鱼?
  2.  逻辑漏洞-针对业务流程的攻击   非常规访问流程
    明确WAF不能做的,可替代的方案,单独成反欺诈产品,提供接口调用其检测结果
  3.  被攻陷后(接入安全产品前或安全产品未能防住的攻击)隐藏的后门,造成的破坏是否能被发现

质疑:是否有宣传的,对未知攻击的捕获、识别、评估有那么牛

      1.  捕获异常的能力:模型的准确率、召回率

      2. 识别异常的能力:是哪种0-day/未公开漏洞

      3. 评估异常的能力:影响了多少个系统?造成多大的危害

   4. 泛安全功能(不是传统意义的攻击,但是危害用户的行为)

      1.  网站内容保护——反恶意抓取、垃圾信息注入

      2.  精准洪泛攻击——对API接口的海量调用、例如短信接口、验证码接口
二、易用性

    1. 产品部署
    接入方式是否容易? SecureSphere支持透明桥部署;代理部署;旁路监听部署

    2. 产品使用

    差评:除了部分策略需要本土化,这是最需要本土化的地方

    优化程度:理想状态——不需要培训; 可接受状态:用户手册不超过20页
    3. 产品运维
    疑问:
    (1)新接入站点的训练时间? 站点内容与训练时间的对应关系
    (2)站点变更的发现与训练?
    (3)错误的训练数据的影响?
三、性能

见官方数据

    流量: multi-gigabit
    延迟: sub-milliseconds
四、总结

从优秀的产品学习如何改善自己的产品

优点(卖点):

   1. WAF本职:

创新点:动态建模(dynamic application and database profile ; user access monitoring; behavior modeling、web-DB 联动分析 (web user session to Dtabase query mapping)  +  

优化点:策略细化——更快(发现快,响应快)、更准(拦截准,定位准)、更全(发现攻击,识别攻击,评估攻击)
impreva SecureSphere分析 – 碳基体 – 碳基体

   2. 不仅仅是WAF,更是风控、审计、监测、取证

   3. 泛安全,不局限于安全,考虑用户需要的

缺点:

    操作本土化、简化
    策略本土化(这个其实不算缺点)

山寨这款产品的方法就是有选择的继承卖点+本土化

[via@碳基体]