​ Web绕过防不胜防?深信服下一代防火墙为您支招(文末赠送云蜜罐试用福利)
  

Sangfor_闪电回_朱丽 10443人觉得有帮助

{{ttag.title}}
​​

Web业务边界被绕过事件屡见不鲜,原因是什么

根据 Neustar 国际安全委员会2020年的调查,49% 的安全专业人员表示,在过去 12 个月中,超过四分之一的 Web 应用攻击都是采用绕过手段并且入侵成功。其根源在于利用HTTP协议复杂性成功绕过边界防御,具体如下:

1、多种攻击入口:HTTP协议请求结构复杂,对攻击者来说意味着存在多个攻击入口。
图片1.png
HTTP协议请求结构

2、多种编码方式:由于业务不可预测的变化性、大量的Web框架和Web服务器,导致编码类型和编码顺序复杂多样,如果安全设备对编码类型识别不全,或只能对特定编码顺序的数据进行解析,则攻击者可以利用编码轻松绕过,安全能力大打折扣。

3、多种语句变化:攻击者会采用业务也经常使用的操作(如转义、拼接、赋值等)来隐藏其恶意,如果安全设备无法深入理解代码语义,还原攻击特征,则无法应对各种绕过攻击。


基于HTTP解析链,深信服下一代防火墙全程有效防御攻击

从HTTP解析链分析来看,要加强Web防绕过能力需要从协议异常解析能力、编码解析能力,以及语句深度识别能力三方面入手。

首先,加强协议异常解析能力。
对HTTP请求协议的每一部分针对性加强解析能力:针对请求行,对不常见的HTTP请求方法(PUT、Delete等)设置黑白名单,达到请求方法的“权限最小化”;针对请求头,覆盖所有头部字段的攻击检测,如Content-Type随机大小写变化、重复头部字段等问题;针对请求体,加强对Multipart、 Chunk等格式的数据进行攻击检测。

针对协议层面暴露的绕过风险,深信服下一代防火墙深入加强HTTP协议异常解析能力,全面覆盖请求行、请求头及请求体各个字段的检测,HTTP协议异常检测率高达90%以上。

其次,加强编码解析能力。
1)基于编码特征的数据还原:通过依次循环识别编码类型,走到相应的解码过程。无论攻击者依据什么样的编码顺序进行编码,对于解码过程都不会有影响。
图片2.png
基于编码特征的数据还原

2)提升编码类型的识别率:不论是常见编码还是小众编码,是单一编码或混合编码,都能成功解析。

3)提取关键字段靶向分析:一方面增大编码类型识别的准确度,另一方面也能进一步降低检测过程中其他字符的干扰。
图片3.png 提取关键字段靶向分析
针对过去由于编码类型覆盖不全、多层编码无法解析等原因,导致传统边界安全设备容易被绕过的问题,深信服下一代防火墙基于以上技术,实现了更全面、更精准的编码解析能力,整体编码解析率达99.24%,包括其他边界安全设备覆盖率低的小众编码290余种,如utf-7、 utf-16(BE/LE) 、utf-32(BE/LE) 等。

另外,加强攻击语句检测能力。
目前大多数检测引擎支持词法分析、语法分析和语义分析三件套,即分析其参数、操作、类型等,然后判断符合哪种语法,最后根据可疑的攻击特征来进行判黑。而面对攻击者有意识地隐藏攻击特征的行为,需要增加对语句的虚拟执行,根据执行后的结果进行判定,实现高精度的检出效果。

针对攻击者构造的隐藏恶意代码,深信服下一代防火墙的WISE智能语义引擎,在已有的词法+语法+语义解析的基础上,创新引入了虚拟执行技术,通过自底向上遍历语法树,执行可疑的操作,高度还原绕过手法,识别请求的真实意图。
图片4.png
WISE智能语义引擎解析示例

最后,联动云端蜜罐,主动诱捕并深度溯源「绕过」。

除了从HTTP解析链全过程加强防绕过能力,深信服下一代墙还对绕过攻击进行主动诱捕和深度溯源,即联动云蜜罐。

针对传统的被动型安全防御面临的攻击行为感知不及时、分析过程繁琐、处置效率低等问题,深信服下一代防火墙通过部署一些作为诱饵的伪装业务,诱捕攻击行为,再引流至云端蜜罐,通过云端蜜罐的高仿真虚拟环境及多种分析引擎,实现:
一诱捕攻击,转移黑客攻击,保护真实业务;
二深度溯源攻击者画像,实现监控取证;
三针对攻击者唯一指纹进行封锁,即使更换攻击IP仍可拦截。
图片5.png
下一代防火墙主动诱捕及深度溯源功能展示
一个小福利:试用云蜜罐一个月
感兴趣的快来试试吧
扫描下方二维码
体验主动诱捕及深度溯源能力
图片6.png
图片7.png

聚焦安全效果,深信服下一代防火墙秉持“提升用户业务边界安全效能”的安全理念,不断进行技术更新,持续增强安全能力,更有效的帮助用户抵御安全威胁。截止目前,深信服下一代防火墙有10万+台设备稳定运行,覆盖全行业,赢得各级政府单位、教育、医疗、大型企业、金融等众多用户的认可,广泛应用于互联网出口、对外业务发布、分支机构、数据中心、物联网等场景,为更多用户业务提供持续的安全保护!

​​​​

打赏鼓励作者,期待更多好文!

打赏
13人已打赏

灵峰气韵 发表于 2021-3-18 17:23
  
蜜罐 蜜罐 蜜罐
740360531c110a3e7.png
喵了个咪 发表于 2021-3-18 17:24
  
逐句地看完这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
吃馒头的大豆豆 发表于 2021-3-18 18:06
  
精美绝伦的帖子,有质量,有品质,我无地自容
guafeng00 发表于 2021-3-18 18:13
  
发帖辛苦,感谢分享~
挨踢攻城狮 发表于 2021-3-19 08:40
  
发帖辛苦,感谢分享~
Banxia 发表于 2021-3-19 11:06
  
果然是高手在民间,楼主帖子写的不错,很有参考价值,还想看更多精彩分享,期待楼主下一篇好帖!
新手253502 发表于 2021-3-19 11:36
  

精美绝伦的帖子
一一氵 发表于 2021-3-19 15:59
  
薛龙龙 发表于 2021-3-19 22:49
  
好功能,希望研发团队再接再厉,加油
发表新帖
热门标签
全部标签>
GIF动图学习
信服课堂视频
每日一问
项目案例
技术笔记
技术咨询
产品连连看
技术圆桌
安装部署配置
原创分享
新版本体验
在线直播
功能体验
安全攻防
答题自测
每日一记
排障笔记本
运维工具
专家分享
专家问答
升级
问题分析处理
云计算知识
SDP百科
畅聊IT
解决方案
SANGFOR资讯
技术顾问
标准化排查
终端接入
MVP
网络基础知识
上网策略
测试报告
日志审计
流量管理
用户认证
sangfor周刊
VPN 对接
信服故事
功能咨询
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术

本版版主

395
82
58

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

新手58573...

本周分享达人

新手58573...

本周提问达人