互聯(lián)網(wǎng)時代��,HTTP協(xié)議基本統(tǒng)治了整個互聯(lián)網(wǎng)����,web應用成為當下主流��。隨著企業(yè)數(shù)字化轉型地不斷深入�,越來越多的企業(yè)業(yè)務應用系統(tǒng)被部署到互聯(lián)網(wǎng)平臺上�����。
Web應用程序成為企業(yè)信息系統(tǒng)中最常見的應用程序之一���,同時�,也是最容易受到攻擊的應用程序之一����。
據(jù)Gartner調(diào)查統(tǒng)計,2022年全球Web攻擊數(shù)量增加58%��,達到318億次��,其中常見的攻擊類型包括惡意爬蟲���、結構化查詢語言SQL注入和跨站腳本XSS攻擊���。
據(jù)統(tǒng)計��,Web攻擊所利用的常規(guī)安全漏洞平均成本為330萬美元��,而高危安全漏洞成本可能高達千萬美元��。而這樣的攻擊在互聯(lián)網(wǎng)的發(fā)展與企業(yè)數(shù)字化轉型深入推進過程中����,還在不斷增加��。
傳統(tǒng)WAF無法全方位防御Web安全漏洞
為應對Web攻擊���,企業(yè)往往會采用WAF進行流量檢測�����,阻止針對Web應用程序的特定攻擊,如SQL注入�、跨站腳本(XSS)、跨站請求偽造(CSRF)���、文件包含攻擊等�����。
WAF通過分析HTTP/HTTPS流量中的惡意模式和行為�����,為企業(yè)提供一層額外的安全防護�����,防止惡意流量到達Web服務器���。
然而����,在實際攻防應對過程中�����,我們會發(fā)現(xiàn)����,僅僅對流量進行監(jiān)測往往是不夠的。不法分子可以通過特定技術繞過WAF流量檢測��,直接到達暴露的企業(yè)Web業(yè)務應用系統(tǒng),從而攻破WAF防御����。
這也就是為什么在OWASP組織最近一次發(fā)布的 Web 應用“十大安全漏洞列表”,總結出當下Web應用程序最可能���、最常見��、最危險的十大漏洞中�,
除了常見的SQL注入����、跨站腳本(XSS)等,還包括“失效的訪問控制(Broken Access Control )”和“失效的認證(Broken Authorization)”等安全威脅�����。
除此之外����,企業(yè)數(shù)字化讓越來越多的Web應用加速建設應用�����。新舊系統(tǒng)還在不斷地連接打通;系統(tǒng)越來越多����,供應商越來越多,但供應商的服務能力卻參差不齊......
許多早期Web應用程序的安全性未引起開發(fā)人員的足夠重視���。在設計和實現(xiàn)Web應用程序時忽略了諸多關鍵的安全驗證措施�,如輸入驗證�、訪問控制、數(shù)據(jù)加密等���,導致 Web 應用程序中存在大量潛在的高危漏洞��。
這些都讓企業(yè)業(yè)務系統(tǒng)安全暴露面變得越來越大�����,Web應用程序安全漏洞日益凸顯�,讓不法分子有了更多可乘之機���。因此�,企業(yè)在加強Web流量監(jiān)測的同時��,更要兼顧Web應用程序的安全漏洞問題,強化業(yè)務應用系統(tǒng)的身份驗證與細粒度授權問題等�。
派拉軟件最新發(fā)布的Web應用安全網(wǎng)關(Paraview Application Security Gateway��,PASG)是一款基礎身份安全網(wǎng)關產(chǎn)品���。
它將多種安全功能集成到一個平臺中����,除了提供WAF的基本防護外��,還集成了身份驗證和授權功能�,實現(xiàn)身份級別的流量訪問控制能力。同時�����,強化“人”的細粒度的策略控制��,誰何時訪問了什么都可以清晰的記錄����,并做到事中阻斷和事后追溯。
這意味著派拉軟件PASG不僅能夠過濾惡意流量��,還能驗證嘗試訪問業(yè)務應用的用戶身份����,確保只有經(jīng)過驗證的用戶才能訪問受保護的業(yè)務應用資源。
其基本安全防護原理可以簡單理解為:通過網(wǎng)關�����,將企業(yè)Web應用與互聯(lián)網(wǎng)分隔開���,收斂安全暴露面����;采用身份認證技術��,利用MFA多因素認證與UEBA技術�,強化身份認證能力;結合網(wǎng)關補齊各系統(tǒng)應用漏洞��,并利用網(wǎng)關強大的流量編輯能力�����,實現(xiàn)更多企業(yè)WAF無法防護的復雜安全漏洞補丁修復��。
換句話說,派拉軟件PASG可以檢查�、控制、監(jiān)控互聯(lián)網(wǎng)流量以及訪問的用戶�,通過對所有進出企業(yè)網(wǎng)絡的Web流量和用戶進行檢查和過濾,并結合多種技術防止惡意請求入侵和數(shù)據(jù)泄露�,確保網(wǎng)絡安全和合規(guī)性。
在企業(yè)實際攻防過程中��,派拉軟件PASG產(chǎn)品更是通過提供以下7大特色場景功能�,幫助企業(yè)多方位強化安全防守能力,有效應對Web攻擊:
在攻防應對過程中��,企業(yè)網(wǎng)絡架構多較為復雜�����,涉及眾多服務和應用����。派拉軟件PASG產(chǎn)品通過集中處理內(nèi)外網(wǎng)的數(shù)據(jù)交換,可以顯著減少直接暴露給外部的網(wǎng)絡接口數(shù)量���,即“攻擊面”�����。這樣��,安全團隊可以將重點防御措施集中部署在網(wǎng)關上�,而非每個單獨的服務或系統(tǒng)��,簡化管理并提升整體防御效率��。
派拉軟件PASG執(zhí)行嚴格的訪問控制策略���,確保只有經(jīng)過身份驗證和授權的用戶或系統(tǒng)才能訪問內(nèi)部網(wǎng)絡資源�。這包括驗證用戶憑證�、檢查來源IP、實施訪問規(guī)則(ACL)等����。
在攻防過程中,這種機制能夠有效阻止未授權的滲透嘗試�,并檢驗認證體系的強度。
此外�,結合多因素認證能力與UEBA技術能力,強化身份認證與訪問控制���,做到更極致�、靈活的細粒度訪問控制,間接解決企業(yè)多業(yè)務系統(tǒng)身份認證與訪問控制管控不足的問題�����。
面對新出現(xiàn)的安全威脅���,尤其是針對已知漏洞的攻擊�,快速部署補丁至關重要���。然而�,實際操作中���,全面部署物理補丁可能耗時且復雜���。
派拉軟件PASG可以通過配置規(guī)則來臨時阻止利用特定漏洞的流量,直到系統(tǒng)可以進行徹底修復��。
這種方式被稱為“虛擬補丁”��,能在攻防期間迅速響應新威脅���,減少被攻擊的風險�,同時也檢驗了組織在面對緊急安全事件時的響應速度和靈活性。
Web應用安全網(wǎng)關作為深度防御策略的一部分���,位于網(wǎng)絡邊界�,專門負責檢查進出的應用層流量�����。它能深入分析HTTP/HTTPS等協(xié)議的內(nèi)容����,識別并阻止惡意請求�,如SQL注入、跨站腳本(XSS)�、命令注入等常見應用層攻擊,從而加固企業(yè)防守方的網(wǎng)絡邊疆�����。
派拉軟件PASG可以生成詳細的審計日志���,記錄所有進出的流量及安全事件��,為事后分析提供完整詳細的依據(jù)����。這些數(shù)據(jù)對于評估安全策略的有效性、識別潛在漏洞以及優(yōu)化未來的防御措施至關重要�。
告警系統(tǒng)基于預設的規(guī)則,對流量數(shù)據(jù)進行實時監(jiān)控���,一旦檢測到潛在的安全威脅或不符合安全策略的行為��,立即觸發(fā)告警通知安全團隊�����。這有助于快速響應�����,減少攻擊造成的影響��。在攻防應對中��,高效的告警機制可以即時反饋提醒攻擊��,檢驗應急響應流程的時效性�。
通過上述6大特色能力,派拉軟件PASG可以幫助企業(yè)實現(xiàn)以下7大價值:
截至目前����,派拉軟件PASG產(chǎn)品已經(jīng)在多家客戶安全場景中成功應用。實際上��,該產(chǎn)品正是在客戶項目實踐過程中不斷打磨形成的�����。在客戶強需求與高標準下�,派拉軟件才得以成功研發(fā)并發(fā)布全新一代的Web應用安全網(wǎng)關。
員工身份與訪問控制eIAM
客戶身份與訪問控制cIAM
云身份治理IDaaS
智能身份認證IDA
細粒度權限管理xBAC
API安全網(wǎng)關API-SGW
API安全監(jiān)測API-SD
API管理平臺APIM
ESB 企業(yè)服務總線
特權訪問管理PAM
數(shù)據(jù)庫訪問管理CQ
數(shù)據(jù)治理平臺PDMP
一體化零信任
運維安全
數(shù)據(jù)安全治理
遠程辦公安全
國產(chǎn)化替代
企業(yè)合規(guī)管控
數(shù)字化集成平臺
數(shù)字化員工門戶
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
熱門文章
7*24小時服務
專屬安全顧問
Gartner推薦
IDC創(chuàng)新者
權威安全認證
滬公網(wǎng)安備 31011502012922號