Web业务边界被绕过事件屡见不鲜,原因是什么?
根据 Neustar 国际安全委员会2020年的调查,49% 的安全专业人员表示,在过去 12 个月中,超过四分之一的 Web 应用攻击都是采用绕过手段并且入侵成功。其根源在于利用HTTP协议复杂性成功绕过边界防御,具体如下:
1、多种攻击入口:HTTP协议请求结构复杂,对攻击者来说意味着存在多个攻击入口。
HTTP协议请求结构
2、多种编码方式:由于业务不可预测的变化性、大量的Web框架和Web服务器,导致编码类型和编码顺序复杂多样,如果安全设备对编码类型识别不全,或只能对特定编码顺序的数据进行解析,则攻击者可以利用编码轻松绕过,安全能力大打折扣。
3、多种语句变化:攻击者会采用业务也经常使用的操作(如转义、拼接、赋值等)来隐藏其恶意,如果安全设备无法深入理解代码语义,还原攻击特征,则无法应对各种绕过攻击。
基于HTTP解析链,深信服下一代防火墙全程有效防御攻击
从HTTP解析链分析来看,要加强Web防绕过能力需要从协议异常解析能力、编码解析能力,以及语句深度识别能力三方面入手。
首先,加强协议异常解析能力。
对HTTP请求协议的每一部分针对性加强解析能力:针对请求行,对不常见的HTTP请求方法(PUT、Delete等)设置黑白名单,达到请求方法的“权限最小化”;针对请求头,覆盖所有头部字段的攻击检测,如Content-Type随机大小写变化、重复头部字段等问题;针对请求体,加强对Multipart、 Chunk等格式的数据进行攻击检测。
针对协议层面暴露的绕过风险,深信服下一代防火墙深入加强HTTP协议异常解析能力,全面覆盖请求行、请求头及请求体各个字段的检测,HTTP协议异常检测率高达90%以上。
其次,加强编码解析能力。
1)基于编码特征的数据还原:通过依次循环识别编码类型,走到相应的解码过程。无论攻击者依据什么样的编码顺序进行编码,对于解码过程都不会有影响。
基于编码特征的数据还原
2)提升编码类型的识别率:不论是常见编码还是小众编码,是单一编码或混合编码,都能成功解析。
3)提取关键字段靶向分析:一方面增大编码类型识别的准确度,另一方面也能进一步降低检测过程中其他字符的干扰。
提取关键字段靶向分析
针对过去由于编码类型覆盖不全、多层编码无法解析等原因,导致传统边界安全设备容易被绕过的问题,深信服下一代防火墙基于以上技术,实现了更全面、更精准的编码解析能力,整体编码解析率达99.24%,包括其他边界安全设备覆盖率低的小众编码290余种,如utf-7、 utf-16(BE/LE) 、utf-32(BE/LE) 等。
另外,加强攻击语句检测能力。
目前大多数检测发动机支持词法分析、语法分析和语义分析三件套,即分析其参数、操作、类型等,然后判断符合哪种语法,最后根据可疑的攻击特征来进行判黑。而面对攻击者有意识地隐藏攻击特征的行为,需要增加对语句的虚拟执行,根据执行后的结果进行判定,实现高精度的检出效果。
针对攻击者构造的隐藏恶意代码,深信服下一代防火墙的WISE智能语义发动机,在已有的词法+语法+语义解析的基础上,创新引入了虚拟执行技术,通过自底向上遍历语法树,执行可疑的操作,高度还原绕过手法,识别请求的真实意图。
WISE智能语义发动机解析示例
最后,联动云端蜜罐,主动诱捕并深度溯源“绕过攻击”。
除了从HTTP解析链全过程加强防绕过能力,深信服下一代墙还对绕过攻击进行主动诱捕和深度溯源,即联动云蜜罐。
针对传统的被动型安全防御面临的攻击行为感知不及时、分析过程繁琐、处置效率低等问题,深信服下一代防火墙通过部署一些作为诱饵的伪装业务,诱捕攻击行为,再引流至云端蜜罐,通过云端蜜罐的高仿真虚拟环境及多种分析发动机,实现:
一诱捕攻击,转移黑客攻击,保护真实业务;
二深度溯源攻击者画像,实现监控取证;
三针对攻击者唯一指纹进行封锁,即使更换攻击IP仍可拦截。
下一代防火墙主动诱捕及深度溯源功能展示
截止目前,深信服下一代防火墙有10万+台设备稳定运行,覆盖全行业,赢得各级政府单位、教育、医疗、大型企业、金融等众多用户的认可,广泛应用于互联网出口、对外业务发布、分支机构、数据中心、物联网等场景,为更多用户业务提供持续的安全保护!