下一代WAF場景化實踐漫談系列——威脅情報聯動的價值

安全技術 · 發表 2019-03-18 12:34:50

摘要：開篇之初，我們先來看一個真實的案例，發生在雷池（SafeLine）下一代Web應用防火牆客戶的使用場景中。客戶需求金融某客戶，其敏感業務的統一認證介面長期遭受爆破和撞庫的威脅，希望WAF能夠同步處理威脅情報服務產生的業務情報資訊，兩者聯動保障業務正常穩...

開篇之初，我們先來看一個真實的案例，發生在 雷池（SafeLine）下一代Web應用防火牆 客戶的使用場景中。

客戶需求

金融某客戶，其敏感業務的統一認證介面長期遭受 爆破和撞庫 的威脅，希望WAF能夠同步處理威脅情報服務產生的業務情報資訊，兩者聯動保障業務正常穩定執行。

挑戰

1. 介面訪問量巨大

2. 不能出現業務延遲

3. 儘量避免人工參與造成的錯誤

解決方案

第一步，雷池（SafeLine）通過獨有的外掛平臺完成 外掛配置 ，對訪問該統一認證介面的使用者進行 指紋提取 ——指定篩選條件的方式過濾出符合某種特徵的使用者指紋（如源 IP、域名、URL 等）的 HTTP 請求；

第二步，資訊傳遞由威脅情報服務進行 風險評估 ，若威脅情報平臺認為當前使用者具有惡意，將回傳當前的威脅資訊及建議；

第三步，雷池（SafeLine） 接收威脅資訊 ，對相關請求進行逐條處理，並將執行手段下發給請求檢測處理模組，進行 立即阻斷或限制 該使用者的後續訪問行為， 保障業務的正常執行。

客戶反饋

進行了多輪測試驗證後，企業對雷池（SafeLine）和威脅情報服務聯動的可用性和準確性很滿意，在處理的時效方面完全超出預期， 大大降低了安全業務的人工維護成本和時間成本，並有效降低了敏感業務的安全風險。

雲時代的WAF，早已不是你當年認識的那個WAF了。 平臺屬性增強，規則屬性減弱，智慧、靈活成為一款簡單好用WAF的首要考慮因素。 雷池（SafeLine）下一代Web應用防火牆，作為新型WAF的代表作品，在越來越多的客戶真實使用場景中被玩出了花樣，解決了更多貼合業務場景和安全風險的問題。

本文著筆的WAF和威脅情報聯動的想象空間在於：WAF根據自身的防護能力以及網路邊界位置的獨特性，檢測到更多的未知威脅，更貼近業務場景，更精準、實時的阻斷威脅從而降低業務風險。 威脅情報猶如為WAF帶來新的武器庫，可以應對更多型別的網路威脅。

長亭科技的雷池（SafeLine）作為15後產品代表，從設計之初就對開放性與擴充套件性給予了非常高的重視，為使用者提供了 全開放式的 API 介面和功能豐富可高度自定義的擴充套件外掛介面， 使其能靈活的與各類平臺和安全產品進行聯動，例如風控平臺、運維平臺、蜜罐、掃描器以及威脅情報產品等。

參考閱讀

2019年，你的 WAF 能應對場景化安全風險了嗎？ mp.weixin.qq.com

除了 API整合方式 ，雷池（SafeLine）內建的 外掛平臺 為高階玩家提供了”任意模式“，如與威脅情報的聯動：在外掛平臺使用 Lua 作為指令碼語言，使用者自主編寫外掛來輸出場景化的 Web 訪問統計與 Web 攻擊統計；或者編寫外掛，與其他安全產品及風控系統整和，對攻擊者進行多維度深度檢測與阻斷。

這種操作的價值在於：

1. 不影響企業的正常業務

2. 超大流量 下具備穩定的處理效能

3. 響應迅速， 延遲處理時長縮短至毫秒級

4. 自動化程度高， 只需要正確編寫外掛

5. 處理 準確率高

附上閱讀全文小彩蛋

文中提到最佳實踐的 外掛編寫思路：

使用 match 變數 進行篩選，過濾所有訪問統一認證介面的 HTTP 請求；

註冊一個 回撥函式 ，當用戶訪問統一認證介面時，將 HTTP 請求傳入回撥函式進行處理；

與威脅情報平臺聯動，判斷訪問者是否有 攻擊背景 ；

發現惡意使用者後下發規則，阻斷該使用者的 後續訪問 。

樣例外掛程式碼結構

local safeline = require "safeline"

header = {}
header["User-Agent"] = "safeline"

bantime = 60

-- 威脅情報服務平臺地址
url = "http://xx.xx.xx.xx/query?apiKey=xxxxxxxxxxxxxxx&src=%s"

match = {
ip = "0.0.0.0/0",
host= "www.chaitin.cn",
urlpath = "/safelinenb",
type = safeline.MATCH_TYPE_ALL,
}
function action(ip, resp)
local banip = {
ip = ip,
}
if string.find(resp, "badboy") ~= nil then
safeline.action_ban(banip, bantime)
end
end

function process(ip, host, urlpath)
urltmp = string.format(url, ip)
resp, err = safeline.http_get(urltmp, header)
action(ip, resp["body"])
end

safeline.register(safeline.TYPE_PROCESS, match, process)

下一代WAF和威脅情報，一個老樹新花，一個近年熱詞，有意思的互動解決了 新場景下的網路安全問題 ，才是當今安全產品不斷創新的意義所在。

更多外掛以及 API 資訊歡迎前往

[長亭 SafeLine 開放平臺]