隨著企業(yè)數(shù)字轉(zhuǎn)型和“安全上云”運動的開展，以及當(dāng)下疫情加重的Web安全和應(yīng)用安全焦慮，越來越多的企業(yè)開始考慮購買WAF或云WAF產(chǎn)品。但是，在“戰(zhàn)五渣?四大云WAF實戰(zhàn)測試險遭團滅”一文中，我們了解到即使是一些大牌云計算廠商的云WAF產(chǎn)品，在測試中的表現(xiàn)往往都讓人大跌眼鏡。

其實不僅僅是云WAF，根據(jù)最新的調(diào)查報告，WAF產(chǎn)品的有效性和客戶滿意度的表現(xiàn)越來越令人失望。雖然WAF已經(jīng)成為是企業(yè)應(yīng)用安全策略的主力產(chǎn)品，但事實是，大多數(shù)企業(yè)都難以充分利用此類產(chǎn)品。

[[337644]]

六成企業(yè)對WAF不滿意

根據(jù)Neustar國際網(wǎng)絡(luò)安全委員會近期發(fā)布的調(diào)查報告，大量Web應(yīng)用程序攻擊繞過了WAF，企業(yè)難以對其進行調(diào)整，并且WAF沒有很好地集成到更廣泛的安全功能中。這佐證了安全分析師和相關(guān)研究機構(gòu)在過去18個月中提出的警告：WAF保護機制仍然需要進一步發(fā)展，并且不能成為應(yīng)用安全計劃的唯一支柱。

根據(jù)Neustar的報告，有四成的安全專家報告說，在應(yīng)用層攻擊，至少有一半的應(yīng)用層攻擊最終繞過了WAF。更加令人吃驚的是，10%的用戶表示, 超過90%的攻擊都繞過了WAF。

同時，三分之一的安全專家反應(yīng)，過去12個月中大約50%的網(wǎng)絡(luò)請求被WAF誤報。研究指出這是因為WAF的配置調(diào)優(yōu)對于相當(dāng)比例的企業(yè)來說難度很大。大約30%的用戶表示他們很難修改WAF策略以防范新的應(yīng)用層威脅。此外，40%的企業(yè)無法將其WAF完全集成到其他應(yīng)用安全技術(shù)或更廣泛的安全功能中。

這些結(jié)果與Ponemon Institute于2019年進行的一項研究相呼應(yīng)，該研究表明60%的企業(yè)對其WAF產(chǎn)品不滿意。該研究發(fā)現(xiàn)，65%的受訪者表示應(yīng)用程序?qū)拥墓艚?jīng)?；蛴袝r會繞過WAF，只有40%的用戶對WAF產(chǎn)品滿意。Ponemon Institute還發(fā)現(xiàn)，平均每家企業(yè)雇用2.5名安全管理員，他們每周花費45個小時處理WAF警報，另外每周花費16個小時編寫WAF新規(guī)則。

WAF靠不住?

多個調(diào)查報告反映出的WAF可靠性和滿意度問題已經(jīng)引起了業(yè)界分析公司的關(guān)注，這意味著WAF市場正面臨一次重大調(diào)整和變革。

Forrester Research的首席分析師Sandy Carielli表示：“根據(jù)Forrester今年春天對WAF市場的最新研究，很多企業(yè)希望WAF廠商提供更多的東西，如果廠商不盡快做出改變，那么WAF市場離崩盤就不遠了。”

Forrester報告顯示，由于當(dāng)前的WAF方案無法處理更廣泛的應(yīng)用程序攻擊，特別是客戶端攻擊、基于API的攻擊和由機器人驅(qū)動的攻擊，企業(yè)用戶已經(jīng)苦不堪言。

例如，在API攻擊方面，針對云體系結(jié)構(gòu)對元數(shù)據(jù)API和Webhooks的調(diào)用方式，服務(wù)器端請求偽造(SSRF)攻擊已經(jīng)越來越猖獗。

“WAF不一定必須進行內(nèi)聯(lián)部署以監(jiān)視Web應(yīng)用程序的出站HTTP請求。許多SaaS公司都提供某種形式的Web hook產(chǎn)品，該產(chǎn)品可以代表用戶發(fā)出http請求，因此不容易與SSRF攻擊區(qū)分開來，”K2網(wǎng)絡(luò)安全的聯(lián)合創(chuàng)始人兼CTO Jayant Shukla認(rèn)為，今年早些時候Capital One的數(shù)據(jù)泄露事件就始于SSRF攻擊，攻擊者正是利用了Capital One的WAF產(chǎn)品漏洞。“這些因素暴露了WAF在防御SSRF攻擊時存在嚴(yán)重缺陷。”

WAF的定位：只是應(yīng)用安全的“創(chuàng)可貼”

許多專家認(rèn)為，WAF面臨的困境表明當(dāng)今企業(yè)的應(yīng)用安全(AppSe)策略和執(zhí)行方面存在更多的系統(tǒng)缺陷。例如，去年秋天Radware進行的一項研究指出，WAF與RASP和代碼審查工具類似，屬于“意大利面條式”方法，企業(yè)原本想用這些產(chǎn)品解決問題，但發(fā)現(xiàn)這些產(chǎn)品同時也對企業(yè)的軟件開發(fā)和應(yīng)用安全管理提出了更高的要求。

多年來，越來越多的企業(yè)將WAF作為應(yīng)用安全的運營工具，基于風(fēng)險驅(qū)動的優(yōu)先級來不斷改善軟件的安全性。他們對WAF的定位不是安全改進的支持工具，而是將其作為前線防御措施。正如Neustar和Ponemon的調(diào)查結(jié)果，這導(dǎo)致安全團隊疲于為WAF制定規(guī)則來挫敗新的攻擊技術(shù)。

企業(yè)用戶對WAF產(chǎn)品的滿意度持續(xù)下滑，還有一部分原因是企業(yè)對WAF的期望過高。只是將太多的希望寄托在他們身上。一些安全專家指出，WAF的準(zhǔn)確定位應(yīng)該是攻擊者的減速帶，為企業(yè)贏得更多修復(fù)代碼的時間， WAF不是“宙斯盾”，頂多算是干擾劑或近防炮而已。

Veracode產(chǎn)品管理高級總監(jiān)Tim Jarrett 表示：“如果您打算購買使用WAF，首先要清楚這玩意不會無限期保護您的產(chǎn)品不受攻擊。”“因此，請抓緊WAF為你爭取的修復(fù)時間窗口，找出漏洞在應(yīng)用程序中的位置并盡快加以修復(fù)。”

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文