身处安全圈子里的人对WAF(Web应用防火墙)并不陌生,10年前它的诞生是因为Web应用的兴起,不只是简单的网页,也包括网购、社交网络等交互式Web应用的普及,WAF的使命则是保护Web站点和Web服务器的安全。
但是当把时间推进到今天,取代Web应用疯狂增长的是什么?无疑,这个答案是移动APP。就像当初Web应用的出现伴随着WAF的兴起,移动应用的兴起是不是也应该出现为其而生的安全产品?的确是,一个又一个的移动安全产品推向市场。但是它们的共同点主要集中在移动设备这一侧,用于应对终端上的各种威胁,保护的对象以终端的用户数据为主。
后端呢?为保护移动APP服务器而生的解决方案貌似没有出现。现实中,依然是WAF、NGFW、IPS等设备部署在移动APP与移动APP服务器之间。
但在盛邦安全(WebRAY)看来,在利用WAF等产品对企业部署的移动应用服务进行防御时,其发现移动应用与传统Web应用有很大区别,有很多安全问题无法得到有效解决。
于是,WebRAY将目光聚焦在了开发一款部署在移动APP服务器端,对APP服务进行保护,主要应对面向服务运营者进行的攻击的安全产品——MAF(Mobile Application Firewall,移动应用防火墙)。
MAF,乍一听起来有点陌生,的确,这款产品代表着一个新的安全产品品类的诞生,盛邦安全为何定义移动应用防火墙?它到底是应运而生还是一个噱头?
盛邦安全MAF诞生记
盛邦安全首席营销官兼副总裁严雷
据盛邦安全首席营销官兼副总裁严雷介绍,MAF的诞生来源于盛邦安全实施的一大型移动应用安全项目,用户期望一个专为保护移动APP服务器而定制的安全产品,而非一个相对标准化和并不专注的安全产品。
因为移动应用服务有自己的特点,它面临的安全挑战和Web服务来说也不尽相同。以移动应用劫持来说,它对运营者的困扰巨大。内容监听/更改、广告替换、钓鱼重定向等防不胜防,可以说APP劫持在中国的互联网环境下广泛存在,在流量协议交互的各个环节以各种方式发生,对于移动应用运营者带来了巨大伤害。
同时,面向移动应用运营者的恶意欺诈行为也无处不在,虚假身份、剪羊毛、外挂工具等轮番上阵榨取运营者资源,甚至非法盗取用户账户内的各类资产。还有针对移动应用服务的DDoS攻击成为新的防护难点,在APP与API的场景下,“验证码”,“重定向”一类的Web端抗DDOS方式无法施展。在Web端目前一些比较成熟的抗D攻击的技术,在移动端却无能为力。
移动应用服务安全需求
诸如此类,很多针对移动APP的业务场景产生的安全挑战无法被现有安全设备处理,严雷表示,移动APP服务器端虽然同样面临着诸多挑战,但解决方案却非常少。
盛邦安全MAF就是为保护移动应用服务而生。
幻影——以变化之身保护移动应用服务器
盛邦安全将其MAF命名为“幻影”,“由盛邦安全MAF保护下的移动应用服务器,黑客看到的一切都如同梦幻泡影。”严雷这样解释“幻影”这个名字的由来。
盛邦安全MAF技术组成
我们不妨来看看它的安全保护技术实现原理,可以发现这里的MAF并非新瓶装旧酒。
传统的安全产品会研究攻击的方式,通过识别攻击的相关特征(签名,行为特征,威胁情报情报IOC)等来对攻击进行识别并进而进行防护。而幻影这款产品却不同,它会改变保护对象的形态,彻底隐藏保护对象的一切外部技术特征,在每次访问时,这些特征都会发生无规律的变化。
盛邦安全将它称为幻影技术,“它是一种欺骗性的技术,我不管你怎么攻击我,我就是让你看不透我、看不懂我。” 严雷说,这和WAF防御如SQL注入、XSS、跨站请求伪造攻击的思路不同,MAF重在伪装和隐藏自己,以使攻击行为无从下手。
幻影技术的核心包括代码替换、代码注入、一次一密等,它也是盛邦安全MAF技术的核心,这就使得传统的扫描、探测、劫持等攻击的链条无以为继。
除此之外,盛邦安全MAF还对移动应用进行行为建模和分析,对正常业务模式进行建模、对典型欺诈模式进行建模,双向匹配来识别异常。
幻影并对3G/4G进行优化,通过对传输协议进行调优,提升移动APP用户体验,传输速率提升比例高达200%。
同时,威胁情报作为安全领域的热门技术,幻影也对其进行了引入,一是整合业界安全能力,二是通过多纬度IOC,准确判断风险。
当然,其中有的技术并不是已经达到最成熟,例如行为分析技术、威胁情报技术等,但将它引入MAF产品形态是十分必要的。作为MAF概念的提出者,盛邦安全也在不断探索新的技术在MAF中的应用,以及将移动应用服务器保护技术打造纯熟,盛邦安全也期待更多同行进入这一全新领域,打开新的市场空间。
的确,移动APP的高效运转已经成为刚性需求,但并不是每个APP后面都有专业的安全和运维团队,严雷相信,随着企业的核心资产和关键业务部署在移动应用上,MAF这一更加专业的安全设备将发挥巨大的作用,这也是盛邦安全重新定义MAF这一新安全产品品类的原因。
原文发布时间为:2016年7月15日
本文作者:陈广成