隨著網絡技術的不斷發展升級，越來越多服務于企業的應用都架設在 Web 平臺上，這也讓網路攻擊者有機可乘，他們通過 SQL 注入攻擊、XSS 攻擊以及各種新型攻擊手段控制 Web 服務器，給企業用戶帶來巨大的損失，因此，Web 應用安全的防護越來越受到大家的關注。自動化技術發展是把雙刃劍，它在為網絡安全防護帶來更多可能的同時，也讓攻擊手段不斷升級，這讓傳統的 Web 防護技術開始失效，身份盜用、敏感信息被竊取等問題層出不窮，企業用戶應該采取怎樣的防護手段才能抵御層出不窮的自動化攻擊類型？如何在滿足 Web 安全合規要求的同時，保證企業業務關鍵數據的安全、確保業務可以高效、安全、可靠的運營呢？帶著這些問題，本次牛人訪談我們邀請到了通付盾的創始人汪德嘉，以 Web 應用防火墻的智能化發展為切入點，就 Web 應用安全防護的突破、挑戰、發展以及未來展望展開討論。

　　01

　　Web應用安全防護一直都是企業組織網絡安全管理中的重要組成部分，WAF產品在其中發揮的重要作用更是不言而喻，在網絡攻擊威脅加劇和行業迅速發展的今天，新一代WAF產品產生了哪些新變化？滿足了哪些新的市場需求？

　　汪德嘉：

　　據相關報告數據顯示，在邊界防護類設備中，87.7%的受訪者都部署了WAF產品，Web應用防火墻當仁不讓地位居第一位。而未來5年，WAF的市場將以10%-16%的速度持續增長?？偟膩碚f，WAF市場的增長潛力仍在，從Gartner對當前Web應用安全狀況的調查來看，WAF仍然是用于保護Web應用的最佳產品。但是，目前市場上很多WEB防火墻產品都是基于規則庫的攻擊檢測，應用防護更新不及時，對非OWASP TOP10攻擊防護的響應較慢。而且對于未知攻擊行為、違法業務邏輯操作、自動化交易欺詐等，針對模擬合法操作的攻擊行為，無法建立規則，也就無法起到任何防護作用。

　　目前市場反饋最希望WAF增強的功能方面，頁面混淆、動態防御和通過掃描器驗證Web攻擊數據的有效性是幾大迫切的需求點，因此Web應用防火墻的智能化發展是一個很好的應對方案，智能化技術如動態防御技術、風險決策功能等，能夠有效阻止未知攻擊、防護自動化攻擊、防范業務欺詐風險和防止數據泄露風險等，同時將智能化技術引入Web應用防火墻中可以解決傳統安全產品依賴于靜態防御和被動防御下的安全能力不足，缺少主動防御機制等問題，因此智能Web應用化防火墻產品市場發展前景較好。

　　02

　　據我了解，您上述的動態防御和風險智能決策能力需要依賴于大量的樣本學習和強大的算力，智能化技術是如何與Web應用防火墻相結合來實現這一功能的？又是如何實現對未知攻擊、防護自動化攻擊等安全威脅的響應處置的，請詳述。

　　汪德嘉：

　　新一代WAF的動態防御其實是通過動態防護引擎實現的，動態防護引擎具有動態加密、動態混淆和動態變換的能力。即通過對服務器執行腳本代碼的動態變化，讓攻擊者無法讀取服務器的相關代碼，達到防護目的。舉個例子，當攻擊者想要進行網站訪問時，首先要發起訪問請求，然后才能掃描到網站上可能存在的漏洞，而動態防御技術則是在訪問之初就會對源代碼進行混淆防護，降低可識別性，攻擊者更換不同設備，或使用同一設備在不同時間訪問時，頁面所采取的加密算法都是不同的，從而使攻擊者無法獲得真正準確的代碼。

　　這種防護手段對自動化攻擊的防范效果是非常顯著的，當然，智能化加密手段的引入，對WAF產品的性能要求更高，用戶可根據具體需求對關鍵頁面進行加密動態防御。

　　我們目前所說的智能化決策能力，是指將Web應用防火墻與特征庫相連，通過智能化學習技術，基于大數據庫中的攻擊模型進行學習和識別，讓Web應用防火墻產品能夠對出現的可疑風險進行行為特征分析，并與特征庫中已有的攻擊模型進行對比，當然這個數據庫是根據用戶需求和行業發展而動態更新的。

　　03

　　安全牛：“攻防對抗”這場拉鋸戰發展至今，攻防的關注重點已經從“防得住”轉到“響應快”上來了，Web應用防火墻是如何通過智能化發展實現快速響應的？

　　汪德嘉：

　　目前市場上很多Web應用防火墻都是基于規則來對Web進行安全防護的。其防護原理是每一次HTTP請求訪問都會通過Web應用防火墻進行一系列的安全規則檢測，每次安全檢測都由一個或多個規則組成，如果安全檢測沒通過，訪問就會被認為是非法不安全的并被拒絕，因此基于規則的Web應用防火墻就必須要由一個強大的規則庫來支撐這一系列的安全檢測。安全運維人員和廠商人員都需要投入大量的時間精力維護和升級規則庫，以盡可能的包含更多和最新的規則特征庫。

　　而0 DAY漏洞正好鉆了傳統Web應用防火墻的空子。由于0 DAY漏洞是沒有已知特征的，企業的WEB安全問題只能寄希望于傳統Web應用防火墻廠商的響應處置能力。然而修復一個0 DAY漏洞，通常需要數天的時間；即使在Web應用防火墻上配置新的防護規則，可能也要在零日漏洞曝出后的1-2天才能完成。從而形成了空窗期，對0 DAY漏洞威脅下的企業意味著什么，不言而喻。

　　智能化技術的引入，改變了傳統Web應用防火墻對抗0 DAY漏洞的方式。它通過上述的動態防護引擎，采用主動式防護技術，并結合智能決策引擎和爬蟲防護引擎等，通過多引擎并行處理技術，在不依賴規則的情況下對0 DAY漏洞攻擊進行有效阻斷，實現快速響應，防范于未然，實現“無規則、無空窗期、無需大量運維”的需求。

　　04

　　智能化Web應用類防火墻產品和市場上眾多廠商所提的下一代WAF防火墻有何區別？請您結合實際經驗詳述。

　　汪德嘉：

　　對比智能化Web應用防火墻產品與傳統的WAF產品的區別，主要可以從產品技術和運維投入兩個維度來進行分析：

　　產品技術：智能化Web應用類防火墻產品，其“智能”具體體現在動態防御能力上，一般都具備動態加密、動態混淆、動態變換等技術；其次是通過智能化技術手段，它能夠連通開發者的動態多維度情報庫，同時基于欺詐及攻擊風險威脅特征庫、大數據異常監測模型，通過智能決策引擎技術，進行快速的全域站點流量實時監測分析和預警，及時阻斷風險訪問；最后，自動識別、生命周期管理、攻擊防護、動態防護、名單管理等智能化技術的引入，能夠幫助Web應用產品實現對API接口的風險感知和攻擊阻斷能力，進一步保障Web站點的安全。

　　運維投入：安全維護人員在部署傳統WAF的時候往往是“先愛后恨”，因為傳統WAF在剛投入使用時，運維人員為了達到較好的防護效果，投入了大量的精力對傳統WAF進行規則配置和策略調優，但隨著時間的推移，Web應用不斷變化和攻擊手段的不斷增加，傳統WAF防護的效果會變得越來越差。如果想繼續提升防護效果，運維人員就必須再協調廠商人員針對特定攻擊進行分析并制定相應規則，依然會花費大量時間精力。但引入決策智能技術之后，Web應用防火墻通過上述的動態防御引擎等防護功能，即可對不斷增加和變化的新型Web攻擊進行有效防護、攔截和阻斷，同時大大降低人員運維成本。

　　05

　　智能化Web應用類防火墻產品的實際應用場景有哪些？在不同場景下，有哪些不同的能力表現？

　　汪德嘉：

　　智能化技術可以幫助Web應用防護類產品支持更多場景，如自動化攻擊、WEB應用數據安全防護、0 DAY攻擊、防業務風險等等。0 DAY上述已經提及，不再贅述。這里以自動化攻擊和WEB應用數據安全防護舉例說明。

　　自動化攻擊：自動化攻擊是指利用自動化腳本或工具模擬正常人的行為來實現網絡攻擊的一種方式。Forrester報告顯示，由于當前市面上的WAF方案無法處理更廣泛的應用程序攻擊，特別是由機器人驅動的自動化攻擊，已經讓企業用戶苦不堪言。智能化技術的引入能夠幫助Web應用產品精準定位和發現這種自動化攻擊行為，同時還可以確保威脅判斷更加全面，風險阻斷更加智能。

　　WEB應用數據安全防護：黑客經常會對網站發起攻擊或滲透，對網站所包含的非公開數據進行非授權訪問或非法操作，由此可能引發數據被竊取、仿冒和篡改等安全事件，給網站運營者、公眾用戶造成經濟損失和名譽損失。隨著《數據安全法》的出臺，數據安全已被客戶重新定義，可以說，沒有數據安全就沒有業務安全，所以數據安全防護也變得更為重要。動態防護引擎和爬蟲防護引擎等智能化技術，可以實現對網站的動態加密、動態混淆和防惡意爬蟲等安全防護能力，有效防止網站數據被竊取、篡改和仿冒等安全事件的發生，大大減少網站數據泄露的安全風險。同時一些智能化Web應用產品的反調試保護技術，能夠有效防止網站內容被隨意復制、剪切和代碼調試，抑制了任意轉載、摘抄和引用，維護了網站信息內容的權威性以及商業價值。

　　06

　　您認為未來Web應用防火墻的智能化發展還有哪些技術瓶頸需要突破？發展趨勢如何？

　　汪德嘉：

　　Web應用防火墻的智能化發展需要突破的是高性能的AI人工智能算法。

　　當前市場上的智能Web應用防火墻，雖然部分已經集成了AI智能業務反欺詐引擎，實現了智能業務反欺詐能力。但AI算法對算力要求較高。引擎工作時，會消耗大量計算資源，導致防火墻整體的業務處理性能出現下降。與此同時黑客們的攻擊手段也越來越緊跟時代潮流，他們也開始使用AI工具進行滲透動作編排，企圖繞過防火墻的安全防護功能。

　　基于AI的攻擊與基于AI的防攻擊始終處于此消彼長的交替演進中。魔高一尺道高一丈，所以我認為Web應用防火墻的智能化發展，未來主要還是集中在不斷提升AI算法的效率、準確度以及提升硬件算力兩大方向上。希望隨著各安全廠商的研發投入和行業技術發展，未來Web應用防火墻的智能化水平能夠得到大幅度提升，為企業的Web應用提供更穩定的防護效果。

　　安全牛評

　　近年來隨著各類網站數量的大幅度增長，網站的安全問題愈發嚴峻，而大多數網站程序開發者、網站維護人員對網站攻防技術的了解甚少，網站管理者需要合理可行的技術措施，提高網站的安全性，防范各種惡意攻擊。動態防護引擎等智能化技術與WAF產品相結合，大大增加了攻擊者發現代碼漏洞的難度，引入AI算法進行進行智能決策，增加了威脅判斷的精確性。