WAF

WAF 是什麼?你的網站需要 WAF 嗎?

什麼是 WAF?套句我們家工程師說的「WAF 就是網站的保鑣啊!」。WAF,是 Web Application Firewall 的簡稱,中文通常叫作「網站應用程式防火牆」,照字面來看就知道,WAF 主要是用於是保護網站應用程式,透過監控網站傳輸的 HTTP 流量,比對病毒與惡意程式資料庫,過濾出可疑流量並拒絕惡意流量進入,保護網站免受駭客攻擊。

不好理解嗎?沒關係,我們來舉個生活化的例子。把網站想像成我們的家,WAF 就是保鑣,這位保鑣擁有強大的身分辨識能力,能針對進出家園的每位訪客進行身分比對,只讓善良的人進來,並揪出壞人踢出去,確保家園安全!這是不是也有點類似目前防疫政策呢,多數大樓設有體溫監控站,確保進出人員並非 COVID-19 帶原者,保護大樓人員健康。

WAF 是如何抵禦攻擊,保護你的網站

通過網站的流量有很多種,安全無虞的、存有安全危脅的、帶有 SQL Injection、惡意攻擊的流量等,WAF 主要就是作用於 OSI 網路架構 Layer 7 應用層,進行流量來源的分析與過濾。

接著我們用下方這張圖片來說明,正因為每個流量來源與目的都不相同,因此為了不讓所有流量都直接無差別進入網站,WAF 會在網站前先築起一道防護牆,並透過所擁有的資安威脅資料庫進行流量分析比對,判斷每支流量的安全性,准許安全流量進入網站,並將可疑的、有害的、不信任的流量排除在外,避免惡意流量入侵網站影響安全性,確保網站的正常營運。

WAF 防禦流程圖
WAF 防禦流程圖

其實,不只是網路架構 Layer 1~Layer7,我們還可以將資安服務分為五階層,了解在網站程式本體與傳輸加密不同目的上,所對應的資安防護方法,進一步參考 二個重點讓企業用合理費用建置符合成本效益的資安防護

網站需要 WAF 嗎?如何選擇適合的方案

WAF 保護著網站的應用程式,在網站的安全維護上扮演著重要角色。因為從實務管理經驗中,我們發現許多網站在完成後就由不同人管理,這樣會造成網站上存著不同工程師的程式邏輯,一旦疏於管理或是依循不同邏輯繼續擴增網站架構,在新舊架構並存、語法混亂的狀態下,網站其實很容易就會出現資安漏洞,但企業往往不自知而讓駭客有機可趁,因此就會需要 WAF 為網站築起防護牆,保障網站安全。

單就「網站管理」這件事來說,若企業目前沒有安排其他資安防護工具措施或是定期檢視網站安全性,則會建議採用 WAF 保護網站本體,當然若企業已經採用其他高階資安防護工具,保護範圍能涵蓋網站應用程式,則 WAF 就不一定會是標準配備!

WAF 該如何選擇,光 WAF 就有分硬體與軟體,還有各種不同的規格、方案與架構,如何選擇才能挑到真正適合的那個呢?以下分享三項指標給大家參考。

  1. 網站的價值:您的企業商務經營與營收獲利,是否來自網站?以今年這場突如其來的疫情來說,網站取代了很多實體門市,成為消費者購物的主要場域,企業的產品販售與推廣活動也從線下移轉到了線上,此時,若網站被駭、遭受勒索病毒攻擊、客戶資料外洩、或是面臨網站關閉,將直接影響企業銷售、品牌聲譽甚至是經營存亡,因此,判斷是否需要 WAF 可以先從網站對您企業代表的意義與價值來看,越重要則越需要更安全且完整的服務方案。
  2. 網站的功能:WAF 主要是保護 Layer 7 應用層,因此當網站有蒐集 cookie、用戶資料、表單紀錄、或是其他應用程式,則建議使用 WAF 為網站添加一層防護牆,保護網站不受入侵。而匯智 M-WAF 多了真人監控這項特色,因此除了一般的防禦與分析外,還能透過真人監控過濾最新的資安威脅或是提供優化建議報告。
  3. 網站經營目的:不僅是單純形象型網站,如果是包含購物車、金流、會員資料庫等的電商網站,因程式語法相較形象網站來得複雜,因此更需要 WAF 的完整功能保護。企業資安如何管理與防範,不妨可以考我們與 DEVORE 的專訪 資安管理與防範駭客這件事,企業應如何看待? – DEVCORE 翁浩正專訪
  4. 網站的程式:這一項,就是前面有提到的網站程式語法,當網站程式經過多人修改、管理,為了避免程式語言上的邏輯漏洞或是缺失,採用 WAF 能保護網站免於資安威脅,此外也可搭配網站原碼掃描與弱點掃描,直接掃描網站全部語法,讓程式設計師修補漏洞時能有所依據,確保每段程式都是安全的。

常見的攻擊類型 – 2020 年 OWASP Top 10

在 WAF 資料庫中,其中一項重要指標就是 OWASP Top 10,全名是 Open Web Application Security Project,提供各種資安文章、趨勢分析、文件與工具等,是目前政府和多數資安業者都會參考的指標。依據最新 2020 年的 OWASP 10 攻擊排行榜,可以發現今年的排名,與上網搜尋到有許多中文網頁介紹的 2017 OWASP 10 相同,依序為:

第一名:Injection 注入攻擊
第二名:Broken Authentication 無效身分驗證
第三名:Sensitive Data Exposure 敏感資料外洩
第四名:XML External Entities (XXE) XML 外部處理器漏洞
第五名:Broken Access control 無效的存取控管
第六名:Security misconfigurations 不安全的組態設定
第七名:Cross Site Scripting (XSS) 跨站攻擊
第八名:Insecure Deserialization 不安全的反序列化漏洞
第九名:Using Components with known vulnerabilities 使用已有漏洞的元件
第十名:Insufficient logging and monitoring 紀錄與監控不足

2020 年 OWASP Top 10網站十大資安風險
2020 年 OWASP Top 10網站十大資安風險

從排名可以發現,Injection 注入攻擊、Broken Authentication 無效身分驗證和 Sensitive Data Exposure 敏感資料外洩,依舊蟬聯前三大資安風險,顯示駭客仍然常利用這些手法入侵網站竊取企業重要的數位資產。企業在評估網站安全性時,不妨依據這些指標著重常見的攻擊,不過,不只有這十種攻擊須留心,駭客攻擊手法時常在變,因此最好的防護機制就是除了採用需要的資安防護工具外,定期的監控與管理也非常重要,更能利用 BCP 企業持續營運計畫內的災害還原演練,確認當發生無法預期的狀況時企業是否有能力承受問題並排除(延伸閱讀:BCP 該從何開始?BCP 演練腳本 大公開,只要掌握這 2 點,您的 BCP 隨時都能展開)。

最後,回到企業資安這件事上,其實無論是 WAF 或是任何一種安全防護工具,都無法百分百保證網站 24 小時都是安全的,這也是為什麼有時候我們會看到,某某企業安裝了 OOO 卻仍發生資安事件,進而質疑 OOO 服務的防護力道(若想了解目前企業常用的資安工具,可以參考 2019 10 大資訊安全防禦服務概念簡介)。資安解決工具並非萬靈丹,還需要搭配定期的監控與盤點、優化,方可確認其安全可信度。正因為這項原因,匯智在推出 WAF 服務時,取名為「M-WAF 管理型網站應用程式防火牆」,為什麼要在 WAF 前面多加了 M?這個 M 代表著我們的管理服務 Management,匯智的 M-WAF 不僅可以做到一般 WAF 的安全防護,還提供真人團隊同步管理,針對目前國際上或是資安論壇上提及的最新攻擊手法,在還未收錄進資安資料庫時,就先以真人進行監控管理,並提供資安報告與優化建議,擴大 WAF的安全防護應用。

在匯智的「M-WAF 管理型網站應用程式防火牆」產品頁,您不僅能了解完整方案應用,我們也將 WAF 常見問題與企業可能會想了解的項目,整理進 FAQ,有興趣者不妨點擊連結了解唷:https://www.cloudmax.com.tw/product/m-waf

參考資料:OWASP, OWASP Top Ten https://owasp.org/www-project-top-ten (2020/5/28)
首圖來源:unsplash.com / Viktor Forgacs