在企業架構中,安全體系同剝洋蔥一般,由外及內是由一層層的安全產品和規範構成,越處於外層承重越大,WAF 屬七層防護的第一道牆,隨著互聯網技術發展,業務對外提供服務的方式逐漸收攏,Web 接口與應用壟斷流量,WAF成了安全戰場中被炮火攻擊最慘烈的前線。
Web應用防火牆
不少企業對WAF抵禦攻擊能力感到失望
根據Cequence Security發佈的報告顯示,只有40%的企業對其Web應用程序防火(WAF)感到滿意。換句話理解,超過一半的企業不滿意WAF無效的保護,這樣造成高成本的浪費,這樣的結果企業明顯是不滿意的。
毫無疑問,在應對複雜多變的應用層攻擊時,WAF應用防火牆作為抵禦應用層攻擊強有力的工具,依舊是眾多企業用戶的首選。然而,一方面攻擊手段不斷增加,另一方面,企業應用正變得越來越複雜,傳統WAF要為企業應用提供防護也變得越來越力不從心。不少企業開始對WAF威脅識別的準確性、抵禦攻擊的能力感到失望。
企業對WAF服務不滿的三大原因
第一,企業對於如此多的攻擊繞過他們的WAF,並破壞關鍵業務應用程序感到沮喪。
第二,企業經歷連續、耗時的WAF配置和管理任務的痛苦。
第三,企業使用WAF服務並且配置運維人員,每年需要投入大成本。
企業對WAF服務的三大痛點訴求
1、安全性:
雖然大部分的企業認為WAF是一個至關重要的安全工具,但是另外一些的企業僅使用其WAF來生成警報(而不是阻止攻擊)。這個情況並不奇怪,大部分黑客在過去的12個月中遇到了繞過他們的WAF的應用層攻擊。
2、管理服務:
管理傳統的WAF部署非常複雜且耗時,平均需要2.5名安全管理員,他們每週花費45小時處理WAF警報,另外每週額外花費16小時編寫新規則以增強WAF安全性。
3、成本控制
與WAF購買和持續管理相關的資本支出和運營成本非常高。總的來說,組織每年平均花費62萬美元。其中包括WAF產品的42萬美元,以及管理WAF所需的熟練員工每年額外20萬美元。
WAF未來發展情況
儘管目前WAF用戶感到沮喪,但他們還表示應該對他們的WAF進行具體改進,以提高整體效率和滿意度。出現了兩個重要要求。
72%的受訪者希望將更多智能和自動化集成到他們的WAF中。
74%的受訪者希望將WAF功能與其他應用安全功能集成到基於AI的軟件平臺中。
閱讀更多 大米粒說安全 的文章
