目前資訊安全攻擊事件幾乎已經全部轉往網頁攻擊,主要的驅動力就是駭客集團竊取資料牟利,F5 Network資深業務經理張岳博表示,現在Web 2.0網頁越做越生動豐富,為了吸引使用者的注意,在網頁中插入許多元件,連接後方回應應用程式的網頁伺服器,在所有網路服務都透過HTTP的情況下,安全風險倍增,也讓WAF成為必要的防護機制。
 |
| ▲F5 Network資深業務經理張岳博表示,WAF服務供應商不應該只是單單賣產品,需要跟企業客戶做良好的溝通,清楚告知組織內部應用程式與網頁面臨的安全威脅與漏洞。 |
不過身為供應商,張岳博卻強調,協助企業了解其資安處境並給予正確的改善建議,比起銷售產品更為重要。「許多原廠並不會指出企業客戶實際上應該面對的應用程式漏洞的事實,而只是一味想要賣產品,這是不對的。」他認為,透過深入溝通,讓企業客戶了解自身面臨的威脅,才是解決網頁資安問題最重要的第一步。「在不景氣的時候,提供資訊安全解決方案的供應商與企業客戶之間,處於服務提供與資安需求的關係,更需要達成互相信任。」
網頁應用程式的安全風險,不外乎來自應用程式設計上的錯誤、邏輯錯誤、驗證錯誤或是資料傳輸過程中資料加密不確實等,造成資訊安全漏洞。追本溯源探究其原因,癥結還是在於當初設計程式的人員與撰寫方式。每個企業開發應用程式的方式可能都不同,無論委外或者由內部人員自行撰寫,但在他與許多台灣企業溝通內部應用程式環境時,常發現原有的開發人員已經不在的狀況,「這就會造成企業無法確實掌握現有內部應用程式的詳情細節,進而讓潛藏漏洞遭受威脅的機率升高。」
面對不景氣的環境,很多企業認為反正內部應用程式環境已經開發得差不多,後續便只交給成本較低的人力來維護,但是卻沒有顧慮到應用程式開發人員和維護人員不一樣所帶來的潛在風險。張岳博指出,在這種情況下,WAF就會是一個無可取代的即時解決方案,畢竟企業的資訊安全不能打折扣,在檢測修補程式原始碼的同時,可以先針對惡意攻擊進行阻擋。
由於WAF可以幫助企業解決程式人力素質不穩定以及修補漏洞效率的問題,因此在各公司紛紛縮減人事成本的情況下,反而是維持資訊安全性的絕佳選擇。張岳博認為,只要應用開發者仍有可能寫出不安全的程式邏輯,只要新的漏洞還有可能被發現,只要網站應用程式原始碼的漏洞仍然無法立刻被修補完成,那麼WAF就有其存在的高度價值,也不會只是一種過渡期的產品。