【新品發(fā)布】攻防演練倒計(jì)時(shí)，派拉Web安全網(wǎng)關(guān)助力企業(yè)從容應(yīng)對(duì)

互聯(lián)網(wǎng)時(shí)代，HTTP協(xié)議基本統(tǒng)治了整個(gè)互聯(lián)網(wǎng)，web應(yīng)用成為當(dāng)下主流。隨著企業(yè)數(shù)字化轉(zhuǎn)型地不斷深入，越來越多的企業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)被部署到互聯(lián)網(wǎng)平臺(tái)上。

Web應(yīng)用程序成為企業(yè)信息系統(tǒng)中最常見的應(yīng)用程序之一，同時(shí)，也是最容易受到攻擊的應(yīng)用程序之一。

據(jù)Gartner調(diào)查統(tǒng)計(jì)，2022年全球Web攻擊數(shù)量增加58%，達(dá)到318億次，其中常見的攻擊類型包括惡意爬蟲、結(jié)構(gòu)化查詢語言SQL注入和跨站腳本XSS攻擊。

據(jù)統(tǒng)計(jì)，Web攻擊所利用的常規(guī)安全漏洞平均成本為330萬美元，而高危安全漏洞成本可能高達(dá)千萬美元。而這樣的攻擊在互聯(lián)網(wǎng)的發(fā)展與企業(yè)數(shù)字化轉(zhuǎn)型深入推進(jìn)過程中，還在不斷增加。

01

傳統(tǒng)WAF無法全方位防御Web安全漏洞

為應(yīng)對(duì)Web攻擊，企業(yè)往往會(huì)采用WAF進(jìn)行流量檢測(cè)，阻止針對(duì)Web應(yīng)用程序的特定攻擊，如SQL注入、跨站腳本（XSS）、跨站請(qǐng)求偽造（CSRF）、文件包含攻擊等。

WAF通過分析HTTP/HTTPS流量中的惡意模式和行為，為企業(yè)提供一層額外的安全防護(hù)，防止惡意流量到達(dá)Web服務(wù)器。

然而，在實(shí)際攻防應(yīng)對(duì)過程中，我們會(huì)發(fā)現(xiàn)，僅僅對(duì)流量進(jìn)行監(jiān)測(cè)往往是不夠的。不法分子可以通過特定技術(shù)繞過WAF流量檢測(cè)，直接到達(dá)暴露的企業(yè)Web業(yè)務(wù)應(yīng)用系統(tǒng)，從而攻破WAF防御。

這也就是為什么在OWASP組織最近一次發(fā)布的 Web 應(yīng)用“十大安全漏洞列表”，總結(jié)出當(dāng)下Web應(yīng)用程序最可能、最常見、最危險(xiǎn)的十大漏洞中，

除了常見的SQL注入、跨站腳本（XSS）等，還包括“失效的訪問控制（Broken Access Control ）”和“失效的認(rèn)證（Broken  Authorization）”等安全威脅。

02

數(shù)字化加劇Web應(yīng)用程序安全漏洞威脅

除此之外，企業(yè)數(shù)字化讓越來越多的Web應(yīng)用加速建設(shè)應(yīng)用。新舊系統(tǒng)還在不斷地連接打通；系統(tǒng)越來越多，供應(yīng)商越來越多，但供應(yīng)商的服務(wù)能力卻參差不齊......

許多早期Web應(yīng)用程序的安全性未引起開發(fā)人員的足夠重視。在設(shè)計(jì)和實(shí)現(xiàn)Web應(yīng)用程序時(shí)忽略了諸多關(guān)鍵的安全驗(yàn)證措施，如輸入驗(yàn)證、訪問控制、數(shù)據(jù)加密等，導(dǎo)致 Web 應(yīng)用程序中存在大量潛在的高危漏洞。

這些都讓企業(yè)業(yè)務(wù)系統(tǒng)安全暴露面變得越來越大，Web應(yīng)用程序安全漏洞日益凸顯，讓不法分子有了更多可乘之機(jī)。因此，企業(yè)在加強(qiáng)Web流量監(jiān)測(cè)的同時(shí)，更要兼顧Web應(yīng)用程序的安全漏洞問題，強(qiáng)化業(yè)務(wù)應(yīng)用系統(tǒng)的身份驗(yàn)證與細(xì)粒度授權(quán)問題等。

03

如何全面有效應(yīng)對(duì)Web應(yīng)用程序攻擊？

派拉軟件最新發(fā)布的Web應(yīng)用安全網(wǎng)關(guān)(Paraview Application Security Gateway，PASG)是一款基礎(chǔ)身份安全網(wǎng)關(guān)產(chǎn)品。

它將多種安全功能集成到一個(gè)平臺(tái)中，除了提供WAF的基本防護(hù)外，還集成了身份驗(yàn)證和授權(quán)功能，實(shí)現(xiàn)身份級(jí)別的流量訪問控制能力。同時(shí)，強(qiáng)化“人”的細(xì)粒度的策略控制，誰何時(shí)訪問了什么都可以清晰的記錄，并做到事中阻斷和事后追溯。

這意味著派拉軟件PASG不僅能夠過濾惡意流量，還能驗(yàn)證嘗試訪問業(yè)務(wù)應(yīng)用的用戶身份，確保只有經(jīng)過驗(yàn)證的用戶才能訪問受保護(hù)的業(yè)務(wù)應(yīng)用資源。

04

6大特色能力強(qiáng)化企業(yè)安全防守

派拉軟件PASG執(zhí)行嚴(yán)格的訪問控制策略，確保只有經(jīng)過身份驗(yàn)證和授權(quán)的用戶或系統(tǒng)才能訪問內(nèi)部網(wǎng)絡(luò)資源。這包括驗(yàn)證用戶憑證、檢查來源IP、實(shí)施訪問規(guī)則（ACL）等。

在攻防過程中，這種機(jī)制能夠有效阻止未授權(quán)的滲透嘗試，并檢驗(yàn)認(rèn)證體系的強(qiáng)度。

此外，結(jié)合多因素認(rèn)證能力與UEBA技術(shù)能力，強(qiáng)化身份認(rèn)證與訪問控制，做到更極致、靈活的細(xì)粒度訪問控制，間接解決企業(yè)多業(yè)務(wù)系統(tǒng)身份認(rèn)證與訪問控制管控不足的問題。

面對(duì)新出現(xiàn)的安全威脅，尤其是針對(duì)已知漏洞的攻擊，快速部署補(bǔ)丁至關(guān)重要。然而，實(shí)際操作中，全面部署物理補(bǔ)丁可能耗時(shí)且復(fù)雜。

派拉軟件PASG可以通過配置規(guī)則來臨時(shí)阻止利用特定漏洞的流量，直到系統(tǒng)可以進(jìn)行徹底修復(fù)。

這種方式被稱為“虛擬補(bǔ)丁”，能在攻防期間迅速響應(yīng)新威脅，減少被攻擊的風(fēng)險(xiǎn)，同時(shí)也檢驗(yàn)了組織在面對(duì)緊急安全事件時(shí)的響應(yīng)速度和靈活性。