伴隨大量數(shù)據(jù)泄漏事件的發(fā)生，業(yè)務(wù)安全及應(yīng)用安全的關(guān)注度已經(jīng)達(dá)到前所未有的高度。如何保障業(yè)務(wù)安全及應(yīng)用安全，以成為掌握核心數(shù)據(jù)用戶的首要關(guān)注點(diǎn)！這就是OWASP 2012中國(guó)峰會(huì)上，安恒信息總裁范淵先生對(duì)于現(xiàn)在國(guó)內(nèi)整體WEB應(yīng)用安全現(xiàn)狀的點(diǎn)評(píng)，"現(xiàn)在我們所面臨的是一個(gè)岌岌可危的網(wǎng)絡(luò)安全環(huán)境，整個(gè)網(wǎng)絡(luò)就好比《皇帝的新裝》中的帝王毫無(wú)隱私！"

[[102791]]

OWASP中國(guó)區(qū)副主席、安恒信息總裁范淵先生致開(kāi)幕詞

近些年，越來(lái)越多的人在關(guān)注云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)，但是人們卻忽略了一個(gè)本質(zhì)的問(wèn)題，那就是安全，在沒(méi)有安全的保障下，一切新技術(shù)、新趨勢(shì)就是一紙空談，很容易成為新興攻擊方式誕生的溫床，從而帶來(lái)的是無(wú)盡的危害。在本屆OWASP 2012中國(guó)峰會(huì)上，安恒信息安全服務(wù)部副總監(jiān)吳卓群從產(chǎn)品及技術(shù)的角度，向大家描述了現(xiàn)在國(guó)內(nèi)WEB應(yīng)用安全所面臨的實(shí)際情況，坦然的表達(dá)了自己的憂慮及看法。吳卓群指出，盡管目前在Web 應(yīng)用的各個(gè)層面，都已經(jīng)使用不同的技術(shù)來(lái)確保安全性，但是，由于WEB應(yīng)用的天然開(kāi)放性，以及各種WEB軟硬件漏洞的不可避免性，加上網(wǎng)絡(luò)攻擊技術(shù)日趨成熟，黑客們也將注意力從以往對(duì)網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對(duì)Web應(yīng)用的攻擊上。根據(jù)Gartner的調(diào)查顯示，信息安全攻擊有75%都是發(fā)生在Web應(yīng)用而非網(wǎng)絡(luò)層面上。同時(shí)，數(shù)據(jù)也顯示，三分之二的Web站點(diǎn)都相當(dāng)脆弱。但目前，絕大多數(shù)企業(yè)將大量的投資花費(fèi)在網(wǎng)絡(luò)和服務(wù)器的安全上，并沒(méi)有從真正意義上保證Web應(yīng)用本身的安全。

安恒信息的信息安全服務(wù)部副總監(jiān)吳卓群

從產(chǎn)品的角度出發(fā)，現(xiàn)階段對(duì)于WEB應(yīng)用方面常常遇到的攻擊方式及手法，WAF無(wú)疑是最專業(yè)防范產(chǎn)品，然而隨著技術(shù)日新月異，攻擊的方式再也不斷變化，在這樣一個(gè)盾與矛的較量中，防衛(wèi)者還是處于一個(gè)被動(dòng)的地步。針對(duì)這樣的實(shí)際情況，吳卓群指出現(xiàn)在WAF產(chǎn)品實(shí)際的現(xiàn)狀：

1.WAF是保護(hù)WEB應(yīng)用安全的設(shè)備，但缺乏足夠的安全測(cè)試，目前存在大量手段可完全繞過(guò)WAF的防護(hù)策略，對(duì)保護(hù)站點(diǎn)進(jìn)行攻擊

2.針對(duì)waf的繞過(guò)手段可以通過(guò)不完善的策略進(jìn)行繞過(guò)，但風(fēng)險(xiǎn)更大的是利用解析錯(cuò)誤徹底繞過(guò)保護(hù)

3.國(guó)內(nèi)外無(wú)論是硬件WAF還是云WAF至少90%以上存在徹底繞過(guò)的風(fēng)險(xiǎn)

由此可見(jiàn)，防御需要變被動(dòng)為主動(dòng)，安恒信息作為國(guó)內(nèi)最早研發(fā)國(guó)內(nèi)第一代WEB應(yīng)用防火墻的企業(yè)，逐漸認(rèn)識(shí)到這點(diǎn)，經(jīng)過(guò)多年的嘗試安恒信息已經(jīng)總結(jié)出一套可行的技術(shù)方法，有效解決了目前針對(duì)WAF的繞過(guò)保護(hù)問(wèn)題，杜絕了攻擊途徑，實(shí)實(shí)在在使得WAF成為有效抵御WEB攻擊的最佳防御方式。