商用WAF-impreva SecureSphere分析

分析过开源WAF产品modsecurity，naxsi，现在来分析商用的WAF产品——impreva SecureSphere（被业内评为最好的WAF产品）。

一款WAF产品，我们会主要从功能、易用性、性能三方面来进行评测。

首先，我们知道waf产品从用户定位来看，有以下两种：

目标用户：站长   提供的服务：防住攻击就好，例如云WAF产品 收费点：增值服务

目标用户：互联网商家 提供的服务：不仅仅是防住攻击，还有风控、审计、监控，SIEM，取证等要求，例如SecureSphere 收费点：产品ALL-in-One

接下来，我们按第二种WAF产品的要求，来看SecureSphere的优势在哪里？

一、功能

    1. 防御攻击的能力

我们知道传统WAF（包括其他安全产品）的技术核心是模式匹配，静态规则库很明显的缺陷有以下几点

a. 已知攻击的绕过
1）HTTP协议解析漏洞 ：WAF进行模式匹配的时候都是对HTTP协议变量进行匹配，攻击者构造异常的HTTP数据包导致不能正常提取变量，都不能进入到模式匹配阶段，自然而然就绕过了
2）模式匹配的先天不良：字符串匹配，无论是简单的正则匹配或者会配合一定的逻辑的匹配（比如对不同关键字进行加权操作，前后依赖关系判断）反正都逃不开模式两个字，而模式是固定的，就导致了各种侧漏。

b. 未知攻击不可感知与响应滞后
当然，传统WAF也未这些缺陷，做出了弥补方案

1)  静态白规则的应用——基本都死在了误报上
如何自动生成白规则？ 如何感知防御内容变化动态生成白规则？是解决误报的难点，而SecureSphere找到了解决方案，这个也是它最大的卖点。

2) 事后运维
手段1：日志漏报分析——死在了日志分析能力上，如何保证及评测准确率，召回率
手段2：外界反馈（用户，安全圈）——死在了不可说的原因下

这两种手段的共同缺点是滞后，滞后的安全不是健康预防，甚至不是医生急救，而是法医验尸

我们来看看SecureSphere的解决方案
1）、动态行为建模——最大卖点

“adaptive normal behavior profile NBP architecture 动态生成应用正常行为特征模型 （白名单）”

 impreva SecureSphere分析 – 碳基体 – 碳基体

从上图我们可以考到，模型包括三个方面

（1）web特征模型

核心：理解应用，用户点击一个url的过程，发生了什么？

请求方法？请求path？查询字符串？post数据？表单如何解析？JS如何处理？请求通过web server传入后端后，交给了谁？是DB？还是OS的文件系统？怎么处理？最后是读取、写、还是执行操作。

（2）DB特征模型

web特征(server级别,app级别)；DB特征(server,app)； web-DB关联特征； 以用户会话为单位的请求关联分析，对后续的攻击事件取证也有很大帮助。 更优秀的分析方法吸取了白名单的优点-漏报小，改善白名单的缺点-误报大。

 2）策略细化

解决问题有两种方法，一是破——创建全新的方案（最大卖点，前面提到了），二是补——将已有方案优化到极致。

WAF最核心的组件——安全策略（比较low的叫法是规则），测量有五要素

    策略类型 e.g. 防御SQLi
    匹配条件 e.g. 参数名/参数值有注入语句
    应用对象 e.g. 查询字符串，POST正文，请求头
    动作 e.g. 拦截本次请求
    例外 e.g. SQL管理后台例外

而SecureSphere从以下方面来化腐朽为神奇

    1. 策略类型全，我们强调了发现未知的神奇处，也不能忽略了已知（已经获得的安全知识）的优势，他们比未知更为有效（成本低，性能高）
    2. 策略多样性，不仅仅是正则特征码，还包括调用第三方工具接口（e.g. 扫描器接口,欺诈检测接口）； 不仅仅有防攻击策略，还有主动防御策略

     3.策略动作的多样性，不仅仅是记录与拦截

    4. 策略的配置粒度——合适的粒度，不要一刀切，例如所有的get参数，用同一个正则匹配
    5. 应用防御中心ADC的有力 支撑：每个做安全产品的背后都有一个或多个攻防实验室在补充知识库，无论是自己的还是别人的
    6.  ThreatRadar——外界安全情报系统的支撑：攻击源（IP，url）信誉库来阻挡大面积自动化攻击，区分自动化攻击，细化人工攻击

      
    2. 不仅仅是防御攻击

    传统WAF到这里就结束了。而SecureSphere做得更多

    它集成了以下模块：
    (1) 风险管理： 集成了扫描器（DB，web漏洞）——风控团队可以用
    (2) 审计管理——审计团队可以用
    风控与审计，对金融（电商，支付，银行）类目标用户，是标配
    (3) 监测IDS系统——SIEM（监测，取证）团队可以用

   3. 缺失或存在质疑的安全功能

缺失：

1.  社工？社工库？钓鱼？
2.  逻辑漏洞-针对业务流程的攻击   非常规访问流程
   明确WAF不能做的，可替代的方案，单独成反欺诈产品，提供接口调用其检测结果
3.  被攻陷后（接入安全产品前或安全产品未能防住的攻击）隐藏的后门，造成的破坏是否能被发现

质疑：是否有宣传的，对未知攻击的捕获、识别、评估有那么牛

      1.  捕获异常的能力：模型的准确率、召回率

      2. 识别异常的能力：是哪种0-day/未公开漏洞

      3. 评估异常的能力：影响了多少个系统？造成多大的危害

   4. 泛安全功能（不是传统意义的攻击，但是危害用户的行为）

      1.  网站内容保护——反恶意抓取、垃圾信息注入

      2.  精准洪泛攻击——对API接口的海量调用、例如短信接口、验证码接口
二、易用性

    1. 产品部署
    接入方式是否容易？ SecureSphere支持透明桥部署；代理部署；旁路监听部署

    2. 产品使用

    差评：除了部分策略需要本土化，这是最需要本土化的地方

    优化程度：理想状态——不需要培训； 可接受状态：用户手册不超过20页
    3. 产品运维
    疑问：
    （1）新接入站点的训练时间？ 站点内容与训练时间的对应关系
    （2）站点变更的发现与训练？
    （3）错误的训练数据的影响？
三、性能

见官方数据

    流量: multi-gigabit
    延迟: sub-milliseconds
四、总结

从优秀的产品学习如何改善自己的产品

优点(卖点）：

   1. WAF本职：

创新点：动态建模（dynamic application and database profile ; user access monitoring; behavior modeling、web-DB 联动分析 (web user session to Dtabase query mapping)  +  

优化点：策略细化——更快（发现快，响应快）、更准（拦截准，定位准）、更全（发现攻击，识别攻击，评估攻击）
impreva SecureSphere分析 – 碳基体 – 碳基体

   2. 不仅仅是WAF，更是风控、审计、监测、取证

   3. 泛安全，不局限于安全，考虑用户需要的

缺点：

    操作本土化、简化
    策略本土化（这个其实不算缺点）

山寨这款产品的方法就是有选择的继承卖点+本土化

[via@碳基体]