Web 2.0時代各種網頁服務及網站應用程式的普及,讓一般使用者及企業內外部人員得以透過最簡便的方式存取豐富的應用服務及資料庫,然而卻也成為資訊安全的隱憂,網頁程式及系統環境的漏洞往往為駭客大開方便之門,恣意植入惡意程式、竊取資料庫內容甚至入侵企業內部系統。<br>透過網頁應用防火牆(WAF)可以深度分析網站存取的要求與回應,即時攔截阻擋針對網站系統或應用程式漏洞的攻擊行為,第一時間解除網頁應用程式的安全問題,更有新型態的設備甚至可針對後端的資料庫進行防護。
軟體WAF彈性部署 小預算解決大危機配合源碼檢測、資安監控 網站防護更具效益
 |
| ▲總部位於加州矽谷Santa Clara的阿碼科技,是少數在台灣設置研發團隊的網站安全業者,提供企業客戶專業的軟體資安解決方案及服務。左起阿碼科技資安顧問陶靖霖、阿碼科技創辦人兼執行長黃耀文。 |
目前Web攻擊手法排行中,最普遍的不外乎Cross-Site-Scripting(XSS)及SQL injection等,不但網站遭受感染植入惡意程式碼,後方資料庫也被入侵竊取,甚至伺服器管理者權限都被攻陷,許多危及企業商譽及利益的資安事件都由此而來。
阿碼科技(Armorize)創辦人兼執行長黃耀文指出,當前歸納主要網頁型攻擊的手法超過25種,此後應該也不會超出這個範圍太多。以SQL injection為例,1998年時第一次在資安界被提出,直到如今經過了11年,猖獗的SQL injection手法並未改變,頂多變種成Mass SQL injection等同樣類型的方式,同樣十年間新增的攻擊方法其實不多,攻擊類型的本質雷同,因此才會歸納成幾個比較有名的攻擊方法,防範的技術也就相去不遠。
一般企業都會在網路架構中架設防火牆甚至UTM,來保護系統的安全,但是網站只要上線,仍會發現安全漏洞百出,但這又是不可能關閉的服務,等於企業面對網際網路的門戶洞開。網路型防火牆只能阻擋網路層及傳輸層的攻擊,針對網頁應用程式的防護,需要更複雜的Layer 7防禦架構。因此WAF(網頁應用防火牆)便順勢而起,扮演著快速將企業防護城牆從實體網路架構延伸到網站的角色。
軟體式WAF 漸進部署有彈性
WAF通常設置在網頁伺服器或其前端,用來過濾Layer 7訊息內容以攔截違反應用程式安全規則的存取行為,以保護網站伺服器免於遭受攻擊。具有雙向阻擋功能的WAF,可以防禦來自外部與內部使用者的攻擊,且具有部分DLP的效果,相當程度上可以保護機密資料不會異常曝光,防止機密資料外洩。
阿碼科技的SmartWAF是以軟體應用程式防火牆的方式部署,阿碼科技資安顧問陶靖霖表示,最基本的部署方式是直接安裝在每一個網頁伺服器上,還可以比照硬體式Network-Based的WAF,部署成反向代理伺服器,甚至可以將SmartWAF以模組化的方式掛載於網路防火牆最前端,直接部署在實體防火牆端,部署的方式相當彈性,一般常見的網頁伺服器環境及作業系統都能支援。
國內企業常因預算上的考量,導致IT部門採購建置新的資安解決方案時受到限制,黃耀文表示,SmartWAF由於採用軟體部署於網頁伺服器的方式,企業就能依據個別網頁伺服器風險程度的高低,安排部署的優先順序,或是只針對較為重要的網頁伺服器進行部署,不用因為單一硬體式WAF價格過高而望之卻步,當有任何更新時,也可採中央派送一次更新所有安裝在網頁伺服器上的SmartWAF。
去年阿碼科技開始提供將其廣受採用的源碼檢測工具CodeSecure與SmartWAF相整合,以CodeSecure進行前置的自動化源碼檢測分析,匯出成XML檔案進到SmartWAF中,「此種做法是接近於白名單的做法,可以彌補黑箱工具掃描造成誤擋的情形,也強化WAF設定阻擋規則的精確性。」陶靖霖表示。
仍在起飛階段 正符台灣網站規模
「根據Forrester的報告顯示,去年全球WAF市場規模僅只有一億八千萬美元,但相較之下,單是一家領先的防毒軟體廠商去年營收就有十億美元,」黃耀文指出,目前在資訊安全市場上,WAF還無法與一些安裝設定較容易的資安產品相比。
「企業部署WAF初期,要是沒有反應出任何漏洞,表示WAF根本沒有發揮作用,但設定阻擋規則要是沒有配合企業政策,往往又很容易造成誤擋。」黃耀文說,由於WAF有其先天上的限制,因此許多國外企業在建置WAF時不會直接進行線上部署(Inline Mode),而會採取從旁部署的方式進行測試和監控,不敢真的阻擋。
他指出,美國市場推行WAF現況仍是雷聲大雨點小,雖然需求很迫切,但真正成功的還是比較少,原因在於流量的因素,「超大流量的網站基本上很難部署WAF,甚至連網路防火牆幾乎都沒有。」黃耀文說,原因在於WAF和防火牆無法應付無時無刻龐大的流量通過,在美國所謂的大型企業的網站,基本上根本不可能部署WAF,除非效能的問題可以獲得充分的解決。
不過對台灣市場而言,WAF反而是相當適合的解決方案。比起美國的企業規模,台灣所謂的大型企業還只能算是中小型,剛好符合現階段WAF的效能規格訴求,以台灣較為大型的線上購物網站而言,現有的使用者流量以及大約一、兩百台的網頁伺服器的數量,部署WAF可以充分做到個資保護。
趨向簡化設定 加強內建過濾規則
現階段WAF技術上最大的難處在於政策制定和設定複雜,以及白名單學習困難。陶靖霖指出,WAF是針對應用程式做的專門保護,如果不懂應用程式,不容易充分發揮功效,另一方面,若沒有設定白名單,就很難全部防護,但是純粹只用白名單的做法,目前各家WAF原廠還沒有辦法開發出最有效的解決方案,「如果一個網站變動很頻繁,應用程式、編碼不斷再改變,白名單永遠學不完。」 因此國外在評比WAF時,資安服務代理商的專業能力以及原廠提供服務都很重要,企業在部署WAF前應該考量日後所能享受的資安服務。黃耀文說,2000年時各家廠商就已經開始研究開發WAF,但是事實上,全球在網頁資安方面的專業人才其實相當不好找,這也是目前全世界在網頁資安方面的一大瓶頸,即使要服務客戶,也需要在當地有專業人力才行。
「未來WAF的發展趨勢,在設定的部份將會更為精簡,且會強化原有黑名單的部分,不斷累積更多的規則,」黃耀文表示,「就像網路防火牆一樣,發展經過了十幾二十年後,還是不會從市場消失,因為WAF可以幫助企業爭取修改網頁應用程式漏洞的時間,日後如果有新增應用程式或頁面時,就成為一個安全的基準,扮演一個『Security baseline』的角色,未來也可能像網路防火牆一樣,走向普及化。」