著眼於企業應用上雲腳步加快、外部攻擊活動又逐年攀升,Radware基於網頁應用程式防火牆(WAF)發展經驗,近年來持續擴展研發雲端安全防禦服務,運用Cloud WAF與DDoS緩解,更增添加值型Bot Manager、API防護服務,為當前混合雲環境提供完整網頁應用程式與API防護(WAAP)。
Radware亞太區雲端架構師詹凱富指出,企業採用WAAP服務方案的因素,除了外部攻擊威脅加劇,須持續地強化安全等級,亦可藉此補強IT與資安人力缺口。畢竟過去管理地端網頁應用程式防火牆,進入門檻較高,IT人員可能不具備資安專業知識,須仰仗技術專家服務,協助調校整體運行環境的參數配置,才能確保安全防護措施不至於影響應用系統正常運行。
WAF奠基整合加值服務保障雲安全
Radware擅長的WAF技術,已具備完整OWASP十大威脅防護、避免遭受零時差攻擊。如今藉由Radware在資安領域累積專業知識所發展的Cloud WAF服務,則可協助企業防範外部先進的攻擊手法,避免惡意程式利用漏洞執行滲透,自主研發主動正向學習模型,為合法使用者的活動行為建立安全性原則,進而持續監控以阻止偏離的行為發生。
隨著產業數位化腳步加快、應用場景愈來愈多元,API防護機制開始受到企業重視,可說是WAAP服務中最關鍵的環節。詹凱富說明,Radware以Cloud WAF服務為基礎,為API安全提供完整的保護,可避免遭受惡意注入、竄改Script或參數等攻擊。搭配Radware於2019年收購ShieldSquare取得的Bot Manager技術,可辨識存取請求發起者,有助於降低應用服務對外頻寬不斷增長的費用壓力。至於DDoS緩解,本就是由Radware Cloud WAF服務預設提供,讓企業無須仰仗線路局端或流量清洗中心來處理DDoS癱瘓式攻擊,年初時Radware DDoS緩解機制協助烏克蘭抵禦俄羅斯的網路攻擊即為最佳範例。
詹凱富說明,在烏俄戰爭開打前,也就是在今年(2022)1月,俄羅斯在烏克蘭境內就已開始散播新型惡意刪除軟體WhisperGate,目的在於破壞感染用戶的電腦系統,並非為了勒索牟利。此後,俄羅斯以惡意刪除病毒癱瘓烏克蘭重要金融、國防、航空資訊系統,同時發動DDoS攻擊癱瘓當地對外網路頻寬,儘管SpaceX星鏈系統網路服務可幫忙維持不斷訊,但頻寬僅有136Mbps。於是烏克蘭副總理商請以色列資安廠商進行境外DDoS流量清洗,Radware除了協助烏克蘭政府緩解高達100Gbps攻擊量的DDoS,亦協助同時也是自家客戶的SpaceX星鏈系統抵禦DDoS攻擊,讓烏克蘭當地民眾對外通訊保持暢通。
「為提升台灣產業資安防護能力,Radware整合自家技術組成WAAP服務,今年(2022)已在台灣落地,也就是日前Radware宣布在台灣設立的第16座雲端安全中心,以全球整合超過10Tbps以上的攻擊緩解容量,提升區域性的網路防禦能力,既符合法規規範資料不得出境要求,同時可避免網路延遲影響用戶體驗。」詹凱富說。
應用遭多重攻擊威脅驅動防護再演進
企業之所以認同WAAP服務,主要是能讓雲端應用服務抵禦多重攻擊手法的威脅。詹凱富指出,應用程式首要必須針對OWASP Top 10攻擊手法建立有效地偵測與攔阻,以及避免資料暴露、網頁爬取、Layer 7 DDoS等事件影響營運。再加上類似Apache Log4j的重大漏洞頻傳,不論地端或雲端的網頁應用程式,皆必須有能力辨識與攔阻漏洞攻擊,避免機敏資料外洩。
其次是API應用場景日漸增多,開始引發安全性疑慮。詹凱富引述Radware於2021年發布的Application Security Report指出,61%企業擔心API造成危害,55%受訪者將加強保護應用程式與API基礎架構,尤其是近幾年電子商務、金融業為了跟進消費行為的改變,開放增添B2B存取模式亦即透過API實作,更須有效控管與防禦才可保障商業營運正常運轉。
第三個受關注的議題是自動化機器人攻擊,例如日前多家證券商的複委託下單系統遭受「撞庫攻擊」事件,以及API誤用、網站爬蟲、垃圾表單填寫、信用卡詐欺、購物棄單等手法,皆屬於此類別。以電子商務網站常見購物棄單為例,當消費者點選訂購商品,庫存隨即保留等待結帳後出貨,保障購買權益。攻擊者即可利用訂購流程的弱點,發動殭屍機器人大量訂購商品,使電商庫存顯示已售罄,讓真實的顧客無法訂購。若未能有抵禦的機制,恐將嚴重影響營收。
Radware亞太區雲端架構師詹凱富指出,多數企業內部缺乏資安專才,即使導入部署解決方案也難以發揮效益,若改採代管模式,委由廠商的技術團隊負責維運,則可補強人才缺口,提升數位應用場景防護力。
詹凱富認為,雲端安全防護需求主要為網站應用程式防禦、API安全、抗惡意機器人、應用層DDoS緩解,這些正是WAAP服務的核心技術。另一方面,多數企業內部缺乏資安專才,即使導入部署解決方案也難以發揮效益,對此,採以代管模式補強技能與人才缺口,便能把棘手的資安問題交由廠商的技術團隊負責維運,運用技術平台的自動學習演算模型調配偵測與回應處理高風險行為。
全代管式服務補強資安人才缺口
Radware WAAP服務方案的關鍵能力包括保護網頁應用程式免受駭客攻擊、完整的OWASP十大保護、正向學習模型自動阻止惡意流量、靈活部署選項等,可提供完全託管的雲端安全服務。詹凱富說明,WAAP服務方案獨特之處在於具備Radware自主研發的主動與被動安全模式抵禦攻擊。被動安全模式為借助WAF技術基於靜態特徵碼偵測攻擊活動,主動安全模式是學習並定義合法的執行程序,其餘未經授權的行為一律禁止,可有效防範零時差與未知型惡意程式滲透。
企業可選用Radware Cloud WAF加值服務增添API防護,把已知的API介接格式清單,透過瀏覽器操作介面的匯入功能完成配置。後續再增加的API,則可藉由自動發現機制來學習API溝通行為,再基於OpenAPI格式規範匯入端點、參數等資料。他強調,Radware運用機器學習演算法建立自動優化控管政策,針對正向表列、風險數值偏高的環節,負責維運的Radware立即回饋專家(ERT)可提供建議調整的方法,讓IT或資安管理者在操作介面上選擇套用即可修改完成。
此外,Radware為跨雲應用防護而設計的SecurePath,可整合雲端原生整合AWS Cloudfront、NGINX Plugin,讓流量得以導向進行檢測。或者是地端部署Alteon設備整合Cloud WAF服務,當終端用戶發起存取請求、呼叫API運行時,流量可複製一份到Cloud WAF,檢測無風險疑慮後再放行,提高雲端與地端數位應用場景安全等級。