去年韓國最大的線上購物網站Auction.com爆發一千八百萬筆個人資料外洩的事件,中國駭客使用XSS的攻擊方式,進而取得大量的客戶資料,網站隨即也接到勒索天價贖金的電話。戲劇性的情節直追擄人勒贖的刑事案件,沒想到在資訊安全的世界中,類似這樣的事件逐漸變成普遍的威脅,韓國也因為這次資安事件加速立法,個人資料保護法將在近期上線執行。
 |
| ▲Imperva亞太區副總裁呂夢熊指出,網路層IPS和防火牆的保護和WAF涉及的技術完全不同,Imperva強調後方資料庫和前方網頁及網頁伺服器,不但需要WAF還要有資料庫監控的解決方案來防護。 |
「92%網頁應用程式是有漏洞的,網站遭到SQL injection攻擊的案例,在過去十年間增加了十倍,舉凡美國各大企業網站如AT&T、AOL、Nikon等,都曾發生過SQL injection攻擊造成信用卡資料外洩的案例,」Imperva亞太區副總裁呂夢熊指出,諸如Amazon、Facebook、Myspace、NetScape等擁有超大量客戶資料的大型網站,都有XSS攻擊紀錄,美國研究機構統計,企業平均要花上200美金的成本來處理一筆外洩的資料,目前攻擊更為頻繁的亞洲地區,企業所面臨的威脅相對也越來越大。
「在美國,信用卡組織PCI規範強迫性的稽核,也促使WAF的市場在近幾年擴增,目前雖然在亞洲還處於宣導的階段,但在台灣也有銀行開始執行PCI的稽核規定,預期今年會反映出更大的市場動力,」呂夢熊表示,「在美國大大小小的PCI稽核案例,可望成為資訊安全參考的基準,企業界已經感受到資訊安全的重要,如果在亞洲也全面推動PCI稽核,對個人資料保護的資訊安全市場,將會是一股正面的力量。」
此外,很多IPS廠商宣稱能做到防SQL injection,主要以黑名單的作法進行Pattern比對,事實上是可以做到阻擋一小部份的SQL injection,但是並不完全,呂夢熊表示,「網路安全和網頁安全是完全不同層面的資訊安全,不會因為WAF的流行而改變現有安全解決方案的市場生態,企業還是需要IPS以及防火牆來保護網路與終端設備。但是應用程式層面的資訊安全技術相當複雜,有些廠商嘗試將WAF整合入IPS設備,但是要以IPS的技術來開發WAF基本上不太可能可以做到深入,所以才有IPS廠商以OEM的方式來跟WAF原廠合作。」
以WAF結合資料庫(Database)保護也會是企業客戶可以考量的資安方案,「因為網頁型態的攻擊可以透過好幾種路徑,最終目的都是為了竊取資料庫的資料,Imperva強調End-to-end保護,結合WAF以及資料庫監控閘道器,幫助企業建立完整的資安防線。」呂夢熊表示。