WAF 擋住惡意入侵

網站都希望流量要大,訪客要多。訪客一多,閒雜人等難免想要趁機混入。今天把網站比喻成大樓,WAF等於大門警衛的概念,檢查每一個進入大樓的訪客,允許好的正常的訪客進入,可疑危險的訪客拒絕他們進入。WAF就是用來過濾可疑連線,保護網站的。 網站有著各樣的應用程式,例如會員登入、購物車、訂單系統、線上客服等都是。你保證這些程式安全無虞沒有漏洞嗎?寫程式的是否為了方便,密碼用明碼儲存?不用輸入驗證碼,別人盜用也不知道?訂單沒有加密傳輸,買什麼東西都被看光光?這些看似小細節,是駭客眼中的大漏洞。利用各式各樣的方式鑽進網站,看用戶密碼偷用戶刷卡資料等。輕則以後駭客就用這些來消費,網站用戶就是他的提款機。重則資料拿走,賣給詐騙集團賺錢。

國際組織公認漏洞標準 OWASP Top 10

OWASP Top 10 是最受歡迎和使用最廣泛的Web應用程式安全意識指南。此成了當前十個最關鍵的Web安全風險指標。包含黑箱與白箱弱點,主要以黑箱為主,這十項都是弱點掃描的主要目標,目前OWASP Top 10最新的是2021年版。從下列十大風險列表可發現 OWASP TOP 10 2021並未從 2017 年中刪除任何項目,合併了一些舊項目且添加最近演變的新風險。

根據資安組織OWASP Top 10公布的2021年10大漏洞

  • 2021-Broken Access Control權限控制失效(由第5名前進到第1名)
  • 2021-Cryptogrphic Failures加密機制失效(由第3名前進到第2名)
  • 2021- Injection注入式攻擊(下滑到第三名。結合 Injections & XSS 攻擊)
  • 2021-Insecure Design不安全設計(全新類別)
  • 2021- Security Misconfiguration安全設定缺陷(由第6名前進到第5名)
  • 2021-Vulnerable and Outdated Components (危險或過舊的元件)(由第9名前進到第6名)
  • 2021-Identification and Authentication Failures認證及驗證機制失效(由第2名前降至第7名)
  • 2021-Software and Data Integrity Failures (軟體及資料完整性失效)(全新類別)
  • 2021-Security Logging and Monitoring Failures資安記錄及監控失效(由第10名前進到第9名)
  • 2021-Server-Side Request Forgery(SSRF)* 伺服端請求偽造(全新類別)

WAF 流程示意圖

每個連線來源與目的都不相同,登入會員的,查訂單的。為了不讓所有連線用戶沒有差別的大搖大擺地進入網站,WAF會在進入網站之前,築起一道防護關卡。透過資安威脅資料庫進行流量分析比對,判斷每個連線是否安全,准許安全流量進入網站。那些可疑的、有害的、不信任的流量就排除在外,避免惡意流量入侵網站影響安全性,確保網站的正常營運。(盾牌上加WAF)

WAF 提供的優勢

  • 保護網站程式

    網站各樣的應用程式,程式經過歷代人員修改、管理,難掩會有邏輯缺失或漏洞,採用WAF能保護網站免於威脅。搭配原碼掃描與弱點掃描,修補程式漏洞有所依據,確保安全性。

  • 保護商業價值

    企業商務經營與獲利逐漸移往網路,網站取代實體。若網站被駭客攻擊、遭受勒索病毒、客戶資料外洩,導致面臨網站關閉。直接影響銷售、品牌聲譽甚至網站存亡。

  • 達到資安合規性

    網站安全是資安合規中最基本的。所有合規性都要求至少擋住OWASP Top 10風險漏洞。網站連WAF都不裝,基本資安門檻都過不了了。還能符合其他更進階的資安合規要求?

WAF 減少風險暴露時間

「把程式修改安全才是治本的方法。」是正確的思維錯,問題是要花多久時間改程式?一星期?一個月?一季?在修改過程中,就放任漏洞繼續存在?為網站安裝WAF可以封阻漏洞,避免修改過程繼續受到攻擊。讓程式工程師可以專心修改程式,不必擔心受到駭客入侵。甚至有的企業會在程式開發階段,利用WAF測試漏洞,根據測試結果修正,讓程式安全更加完善省去事後修改。
隨著技術進步,就算現在安全,幾個月後有新的攻擊手法,網站又會暴露在風險中。重寫網站?重寫程式?企業要思考這樣是否符合成本效益?以捕夢網的累積經驗,明白網站經歷程式工程師的歷代修改,程式邏輯不一樣,如果沒有統一管理或是依循不同邏輯擴增網站服務,網站等同漏洞百出。幫網站安裝WAF 減少風險暴露時間。

WAF 保護企業網站

如果還是不明白WAF的重要性在哪?可以先想一想網站對企業的重要性在哪? 企業將產品及服務轉移到網路上早已是趨勢。在家可以逛街買東西,手機滑一下可以轉帳,平板開APP可以看電影。網站取代實體服務。這時候若網站被駭客攻擊、遭受勒索病毒、客戶資料外洩,導致面臨網站關閉。影響企業銷售、品牌名聲甚至經營存續。跟WAF比起來,網站的重要性是否遠大於WAF?是否需要WAF,可以先從網站對您企業所具有的重要性來判斷。 裝了WAF不表示就此高枕無憂,網站不需要做其他資安防護。駭客還是有許多其他方式入侵你的網站,取得他想到的資料。

想更了解 捕夢網 WAF 嗎?

請聯絡我們!