網站都希望流量要大,訪客要多。訪客一多,閒雜人等難免想要趁機混入。今天把網站比喻成大樓,WAF等於大門警衛的概念,檢查每一個進入大樓的訪客,允許好的正常的訪客進入,可疑危險的訪客拒絕他們進入。WAF就是用來過濾可疑連線,保護網站的。 網站有著各樣的應用程式,例如會員登入、購物車、訂單系統、線上客服等都是。你保證這些程式安全無虞沒有漏洞嗎?寫程式的是否為了方便,密碼用明碼儲存?不用輸入驗證碼,別人盜用也不知道?訂單沒有加密傳輸,買什麼東西都被看光光?這些看似小細節,是駭客眼中的大漏洞。利用各式各樣的方式鑽進網站,看用戶密碼偷用戶刷卡資料等。輕則以後駭客就用這些來消費,網站用戶就是他的提款機。重則資料拿走,賣給詐騙集團賺錢。
OWASP Top 10 是最受歡迎和使用最廣泛的Web應用程式安全意識指南。此成了當前十個最關鍵的Web安全風險指標。包含黑箱與白箱弱點,主要以黑箱為主,這十項都是弱點掃描的主要目標,目前OWASP Top 10最新的是2021年版。從下列十大風險列表可發現 OWASP TOP 10 2021並未從 2017 年中刪除任何項目,合併了一些舊項目且添加最近演變的新風險。
每個連線來源與目的都不相同,登入會員的,查訂單的。為了不讓所有連線用戶沒有差別的大搖大擺地進入網站,WAF會在進入網站之前,築起一道防護關卡。透過資安威脅資料庫進行流量分析比對,判斷每個連線是否安全,准許安全流量進入網站。那些可疑的、有害的、不信任的流量就排除在外,避免惡意流量入侵網站影響安全性,確保網站的正常營運。(盾牌上加WAF)
網站各樣的應用程式,程式經過歷代人員修改、管理,難掩會有邏輯缺失或漏洞,採用WAF能保護網站免於威脅。搭配原碼掃描與弱點掃描,修補程式漏洞有所依據,確保安全性。
企業商務經營與獲利逐漸移往網路,網站取代實體。若網站被駭客攻擊、遭受勒索病毒、客戶資料外洩,導致面臨網站關閉。直接影響銷售、品牌聲譽甚至網站存亡。
網站安全是資安合規中最基本的。所有合規性都要求至少擋住OWASP Top 10風險漏洞。網站連WAF都不裝,基本資安門檻都過不了了。還能符合其他更進階的資安合規要求?
「把程式修改安全才是治本的方法。」是正確的思維錯,問題是要花多久時間改程式?一星期?一個月?一季?在修改過程中,就放任漏洞繼續存在?為網站安裝WAF可以封阻漏洞,避免修改過程繼續受到攻擊。讓程式工程師可以專心修改程式,不必擔心受到駭客入侵。甚至有的企業會在程式開發階段,利用WAF測試漏洞,根據測試結果修正,讓程式安全更加完善省去事後修改。
隨著技術進步,就算現在安全,幾個月後有新的攻擊手法,網站又會暴露在風險中。重寫網站?重寫程式?企業要思考這樣是否符合成本效益?以捕夢網的累積經驗,明白網站經歷程式工程師的歷代修改,程式邏輯不一樣,如果沒有統一管理或是依循不同邏輯擴增網站服務,網站等同漏洞百出。幫網站安裝WAF 減少風險暴露時間。
如果還是不明白WAF的重要性在哪?可以先想一想網站對企業的重要性在哪? 企業將產品及服務轉移到網路上早已是趨勢。在家可以逛街買東西,手機滑一下可以轉帳,平板開APP可以看電影。網站取代實體服務。這時候若網站被駭客攻擊、遭受勒索病毒、客戶資料外洩,導致面臨網站關閉。影響企業銷售、品牌名聲甚至經營存續。跟WAF比起來,網站的重要性是否遠大於WAF?是否需要WAF,可以先從網站對您企業所具有的重要性來判斷。 裝了WAF不表示就此高枕無憂,網站不需要做其他資安防護。駭客還是有許多其他方式入侵你的網站,取得他想到的資料。