其他
重保特辑|拦截99%恶意流量,揭秘WAF攻防演练最佳实践
知攻懂防
先摸清蓝军攻击手段
分布式扫描器:采用分布式扫描器频繁变换攻击来源IP,从免费代理、IDC、VPS 、网络收费代理、再到 4g 基站、物联网、家宽、秒拨IP、云函数代理、serverless代理、worker 代理等等,通过变换庞大数量的来源IP对服务进行持续扫描攻击,常规发现1个IP就封禁1个IP的应对措施往往具有滞后性。 API Fuzzer:利用Fuzzer 对业务的API进行风险探测,包括但不限于权限漏洞发现、业务逻辑漏洞发现、安全措施薄弱点发现及绕过、用户遍历、数据遍历等Web 防护的薄弱点,需要利用工具快速发现攻击者的此类非基础安全漏洞的攻击嗅探、尝试。 可混淆流量的恶意终端连接器:传统的通过文件上传落地的Webshell或需以文件形式持续驻留目标服务器的恶意后门的方式逐渐失效,攻击难度逐步加大,攻击方开始采用无文件落地的内存webshell进行攻击。
由点及面
再分析应用安全治理现状
开源软件应用广泛:开源软件应用的越来越多,随之带来的开源软件漏洞也随之增多,如:Log4j2、shiro、fastjson …… 云原生环境变化:云原生环境带来便捷的同时,也带来了环境配置的问题,存在环境配置不当出现的应用安全风险项,如:容器逃逸、API配置不当、文件驻留、命令执行…… 应用安全逐步左移:在安全运营治理的过程中,会加入来自SAST、DAST、IAST等相关的安全左移能力。虽然收敛了基础安全漏洞。但也不可避免的会将攻击者的视线与业务/数据安全所结合,如:业务逻辑、API问题、越权…… 多端接入:客户端的接入方式更加多变,也导致了同一个业务会有多种客户端同时接入。会造成不同端上的防护粒度/处置策略不一致的现象出现,也容易被攻击者进行针对性伪装。 流量攻击增加:业务流量攻击增加,如:CC攻击流量、多源低频CC、BOT爬虫、Sniper Bot ,Fuzzer……造成安全运营成本增加,安全运营规则需要快速更新迭代以应对攻击者的对策。
因势布防
全方位保护Web应用安全
注重Web攻击识别和防御,如 OWASP 定义的十大 Web 安全威胁攻击
结合 0day 漏洞虚拟补丁,防护紧急漏洞
多端接入安全管控,并配置细粒度的处置策略
重视业务终端、账号的异常识别,结合情报发现并禁止恶意访问源
通过BOT行为管理实现对恶意流量的快速感知及自动化进化的处置策略,自动化对抗BOT及CC攻击
开启客户端风险识别:配置防护路径实现整站防护,开启自动化工具识别、页面防调试开关,并启用拦截模式。
配置智能分析模块:开启威胁情报模块,配置智能统计且设置为宽松模式,配置动作设置并设置相对严格的分数区间和采取动作。
配置会话管理:自定义策略支持拦截异常访问源,如BOT机器人、代理、IDC、网络攻击、扫描器、账号接管等;支持拦截异常客户端,如游戏或电视终端, 公开BOT类型, 未公开BOT类型, 自动化工具, 未知类型等;支持拦截异常参数Fuzz、拦截访问速率异常与异常访问时长、拦截 FakeUA 滥用爬虫、拦截 Referer 滥用、拦截 未登录用户、拦截目录扫描器等。