Web業務邊界被繞過事件屢見不鮮����,原因是什么�?
根據 Neustar 國際安全委員會2020年的調查�,49% 的安全專業人員表示����,在過去 12 個月中�,超過四分之一的 Web 應用攻擊都是采用繞過手段并且入侵成功����。其根源在于利用HTTP協議復雜性成功繞過邊界防御�,具體如下:
1、多種攻擊入口:HTTP協議請求結構復雜��,對攻擊者來說意味著存在多個攻擊入口�����。
HTTP協議請求結構
2�����、多種編碼方式:由于業務不可預測的變化性、大量的Web框架和Web服務器,導致編碼類型和編碼順序復雜多樣�����,如果安全設備對編碼類型識別不全�����,或只能對特定編碼順序的數據進行解析�����,則攻擊者可以利用編碼輕松繞過,安全能力大打折扣。
3、多種語句變化:攻擊者會采用業務也經常使用的操作(如轉義�、拼接�、賦值等)來隱藏其惡意���,如果安全設備無法深入理解代碼語義�����,還原攻擊特征���,則無法應對各種繞過攻擊。
基于HTTP解析鏈���,深信服下一代防火墻全程有效防御攻擊
從HTTP解析鏈分析來看,要加強Web防繞過能力需要從協議異常解析能力�、編碼解析能力��,以及語句深度識別能力三方面入手。
首先����,加強協議異常解析能力���。
對HTTP請求協議的每一部分針對性加強解析能力:針對請求行����,對不常見的HTTP請求方法(PUT��、Delete等)設置黑白名單��,達到請求方法的“權限最小化”;針對請求頭����,覆蓋所有頭部字段的攻擊檢測�,如Content-Type隨機大小寫變化、重復頭部字段等問題;針對請求體,加強對Multipart���、 Chunk等格式的數據進行攻擊檢測。
針對協議層面暴露的繞過風險,深信服下一代防火墻深入加強HTTP協議異常解析能力����,全面覆蓋請求行��、請求頭及請求體各個字段的檢測,HTTP協議異常檢測率高達90%以上。
其次��,加強編碼解析能力����。
1)基于編碼特征的數據還原:通過依次循環識別編碼類型�����,走到相應的解碼過程���。無論攻擊者依據什么樣的編碼順序進行編碼���,對于解碼過程都不會有影響���。
基于編碼特征的數據還原
2)提升編碼類型的識別率:不論是常見編碼還是小眾編碼��,是單一編碼或混合編碼,都能成功解析��。
3)提取關鍵字段靶向分析:一方面增大編碼類型識別的準確度�����,另一方面也能進一步降低檢測過程中其他字符的干擾�����。
提取關鍵字段靶向分析
針對過去由于編碼類型覆蓋不全、多層編碼無法解析等原因����,導致傳統邊界安全設備容易被繞過的問題�,深信服下一代防火墻基于以上技術���,實現了更全面����、更精準的編碼解析能力��,整體編碼解析率達99.24%��,包括其他邊界安全設備覆蓋率低的小眾編碼290余種,如utf-7、 utf-16(BE/LE) �、utf-32(BE/LE) 等�����。
另外,加強攻擊語句檢測能力。
目前大多數檢測引擎支持詞法分析��、語法分析和語義分析三件套��,即分析其參數�����、操作、類型等�����,然后判斷符合哪種語法��,最后根據可疑的攻擊特征來進行判黑�。而面對攻擊者有意識地隱藏攻擊特征的行為,需要增加對語句的虛擬執行�����,根據執行后的結果進行判定���,實現高精度的檢出效果�����。
針對攻擊者構造的隱藏惡意代碼,深信服下一代防火墻的WISE智能語義引擎,在已有的詞法+語法+語義解析的基礎上,創新引入了虛擬執行技術,通過自底向上遍歷語法樹�����,執行可疑的操作�,高度還原繞過手法,識別請求的真實意圖。
WISE智能語義引擎解析示例
最后�����,聯動云端蜜罐��,主動誘捕并深度溯源「繞過攻擊」���。
除了從HTTP解析鏈全過程加強防繞過能力���,深信服下一代墻還對繞過攻擊進行主動誘捕和深度溯源��,即聯動云蜜罐。
針對傳統的被動型安全防御面臨的攻擊行為感知不及時、分析過程繁瑣�����、處置效率低等問題�����,深信服下一代防火墻通過部署一些作為誘餌的偽裝業務�,誘捕攻擊行為�,再引流至云端蜜罐,通過云端蜜罐的高仿真虛擬環境及多種分析引擎,實現:
一誘捕攻擊�����,轉移黑客攻擊��,保護真實業務;
二深度溯源攻擊者畫像��,實現監控取證�;
三針對攻擊者唯一指紋進行封鎖,即使更換攻擊IP仍可攔截����。
下一代防火墻主動誘捕及深度溯源功能展示
一個小福利:試用云蜜罐一個月
感興趣的快來試試吧
掃描下方二維碼
體驗主動誘捕及深度溯源能力
聚焦安全效果���,深信服下一代防火墻秉持“提升用戶業務邊界安全效能”的安全理念���,不斷進行技術更新�����,持續增強安全能力,更有效的幫助用戶抵御安全威脅��。截止目前����,深信服下一代防火墻有10萬+臺設備穩定運行,覆蓋全行業���,贏得各級政府單位、教育�����、醫療、大型企業�、金融等眾多用戶的認可,廣泛應用于互聯網出口�、對外業務發布��、分支機構、數據中心�����、物聯網等場景,為更多用戶業務提供持續的安全保護�����!
