为什么WAF越来越让人失望？

跟着企业数字转型和“平安上云”活动的开展，以及当下疫情加重的Web平安和应用平安焦虑，越来越多的企业起头考虑购置WAF或云WAF产物。然则，在“战五渣？四大云WAF实战测试险遭团灭”一文中，我们认识到即使是一些大牌云较量厂商的云WAF产物，在测试中的示意往往都让人大跌眼镜。

其实不光仅是云WAF，凭据最新的查询申报，WAF产物的有效性和客户写意度的示意越来越令人失望。固然WAF已经成为是企业应用平安策略的主力产物，但事实是，大多数企业都难以充裕行使此类产物。

凭据Neustar国际收集平安..近期发布的查询申报，大量Web应用法式冲击绕过了WAF，企业难以对其进行调整，而且WAF没有很好地集成到更普遍的平安功能中。这佐证了平安剖析师和相关研究机构在曩昔18个月中提出的警告：WAF珍爱机制仍然需要进一步成长，而且不克成为应用平安规划的独一支柱。

凭据Neustar的申报，有四成的平安专家申报说，在应用层冲击，至少有一半的应用层冲击最终绕过了WAF。加倍令人惊讶的是，10%的用户透露, 跨越90％的冲击都绕过了WAF。

同时，三分之一的平安专家回响，曩昔12个月中大约50％的收集恳求被WAF误报。研究指出这是因为WAF的设置调优对于相当比例的企业来说难度很大。大约30％的用户透露他们很难点窜WAF策略以提防新的应用层威胁。此外，40％的企业无法将其WAF完全集成到其他应用平安手艺或更普遍的平安功能中。

这些究竟与Ponemon Institute于2019年进行的一项研究相呼应，该研究表明60％的企业对其WAF产物不写意。该研究发现，65％的受访者透露应用法式层的冲击经常或有时会绕过WAF，只有40%的用户对WAF产物写意。Ponemon Institute还发现，平均每家企业招聘2.5名平安治理员，他们每周破费45个小时处理WAF警报，此外每周破费16个小时编写WAF新划定。

多个查询申报反映出的WAF靠得住性和写意度问题已经引起了业界剖析公司的存眷，这意味着WAF市场正面临一次重大调整和厘革。

Forrester Research的首席剖析师Sandy Carielli透露：“凭据Forrester本年春天对WAF市场的最新研究，好多企业进展WAF厂商供应更多的器材，若是厂商不尽快做出改变，那么WAF市场离崩盘就不远了。”

Forrester申报显露，因为当前的WAF方案无法处理更普遍的应用法式冲击，稀奇是客户端冲击、基于API的冲击和由机械人驱动的冲击，企业用户已经吃力不胜言。

例如，在API冲击方面，针对云系统构造对元数据API和Webhooks的挪用体式，办事器端恳求伪造（SSRF）冲击已经越来越疯狂。

“WAF纷歧定必需进行内联布置以看管Web应用法式的出站HTTP恳求。很多SaaS公司都供应某种形式的Web hook产物，该产物能够代表用户发出http恳求，是以不轻易与SSRF冲击区分隔来，”K2收集平安的结合创始人兼CTO Jayant Shukla认为，本年早些时候Capital One的数据泄露事件就始于SSRF冲击，冲击者恰是行使了Capital One的WAF产物破绽。“这些身分露出了WAF在防御SSRF冲击时存在严重缺陷。”

很多专家认为，WAF面临的逆境表明目前企业的应用平安（AppSe）策略和执行方面存在更多的系统缺陷。例如，客岁秋天Radware进行的一项研究指出，WAF与RASP和代码审查对象雷同，属于“意大利面条式”方式，企业原本想用这些产物解决问题，但发现这些产物同时也对企业的软件斥地和应用平安治理提出了更高的要求。

多年来，越来越多的企业将WAF作为应用平安的运营对象，基于风险驱动的优先级来络续改善软件的平安性。他们对WAF的定位不是平安改善的支撑对象，而是将其作为前方防御办法。正如Neustar和Ponemon的查询究竟，这导致平安团队疲于为WAF制订划定来挫败新的冲击手艺。

企业用户对WAF产物的写意度持续下滑，还有一部门原因是企业对WAF的盼望过高。只是将太多的进展依靠在他们身上。一些平安专家指出，WAF的正确定位应该是冲击者的减速带，为企业博得更多修复代码的时间， WAF不是“宙斯盾”，顶多算是干扰剂或近防炮罢了。

Veracode产物治理高级总监Tim Jarrett 透露：“若是您筹算购置使用WAF，首先要清楚这玩意不会无限日珍爱您的产物不受冲击。”“是以，请抓紧WAF为你争夺的修复时间窗口，找露马脚在应用法式中的位置并尽快加以修复。”

微办事时代的应用平安：

https://blog.radware.com/security/applicationsecurity/2019/10/application-security-in-the-microservices-era/ 

Web应用防火墙近况申报：

https://ponemonsullivanreport.com/2019/07/the-state-of-web-application-firewalls/