En 400-6655-581
5
返回列表
> 資源中心 > 文章>產(chǎn)品>IAM(身份與訪問控制)> 【新品發(fā)布】攻防演練倒計時,派拉Web安全網(wǎng)關助力企業(yè)從容應對

【新品發(fā)布】攻防演練倒計時,派拉Web安全網(wǎng)關助力企業(yè)從容應對

文章

2024-05-16瀏覽次數(shù):191

互聯(lián)網(wǎng)時代,HTTP協(xié)議基本統(tǒng)治了整個互聯(lián)網(wǎng),web應用成為當下主流。隨著企業(yè)數(shù)字化轉型地不斷深入,越來越多的企業(yè)業(yè)務應用系統(tǒng)被部署到互聯(lián)網(wǎng)平臺上。

 

Web應用程序成為企業(yè)信息系統(tǒng)中最常見的應用程序之一,同時,也是最容易受到攻擊的應用程序之一。

 

圖片

 

據(jù)Gartner調(diào)查統(tǒng)計,2022年全球Web攻擊數(shù)量增加58%,達到318億次,其中常見的攻擊類型包括惡意爬蟲、結構化查詢語言SQL注入和跨站腳本XSS攻擊。

 

據(jù)統(tǒng)計,Web攻擊所利用的常規(guī)安全漏洞平均成本為330萬美元,而高危安全漏洞成本可能高達千萬美元。而這樣的攻擊在互聯(lián)網(wǎng)的發(fā)展與企業(yè)數(shù)字化轉型深入推進過程中,還在不斷增加。

 

 

 

01

傳統(tǒng)WAF無法全方位防御Web安全漏洞

 

為應對Web攻擊,企業(yè)往往會采用WAF進行流量檢測,阻止針對Web應用程序的特定攻擊,如SQL注入、跨站腳本(XSS)、跨站請求偽造(CSRF)、文件包含攻擊等。

 

WAF通過分析HTTP/HTTPS流量中的惡意模式和行為,為企業(yè)提供一層額外的安全防護,防止惡意流量到達Web服務器。

 

然而,在實際攻防應對過程中,我們會發(fā)現(xiàn),僅僅對流量進行監(jiān)測往往是不夠的。不法分子可以通過特定技術繞過WAF流量檢測,直接到達暴露的企業(yè)Web業(yè)務應用系統(tǒng),從而攻破WAF防御。

 

圖片

 

這也就是為什么在OWASP組織最近一次發(fā)布的 Web 應用“十大安全漏洞列表”,總結出當下Web應用程序最可能、最常見、最危險的十大漏洞中,

 

除了常見的SQL注入、跨站腳本(XSS)等,還包括“失效的訪問控制(Broken Access Control )”和“失效的認證(Broken  Authorization)”等安全威脅。

 

圖片

 

 

 

02

數(shù)字化加劇Web應用程序安全漏洞威脅

 

除此之外,企業(yè)數(shù)字化讓越來越多的Web應用加速建設應用。新舊系統(tǒng)還在不斷地連接打通;系統(tǒng)越來越多,供應商越來越多,但供應商的服務能力卻參差不齊......

 

許多早期Web應用程序的安全性未引起開發(fā)人員的足夠重視。在設計和實現(xiàn)Web應用程序時忽略了諸多關鍵的安全驗證措施,如輸入驗證、訪問控制、數(shù)據(jù)加密等,導致 Web 應用程序中存在大量潛在的高危漏洞。

 

圖片

 

這些都讓企業(yè)業(yè)務系統(tǒng)安全暴露面變得越來越大,Web應用程序安全漏洞日益凸顯,讓不法分子有了更多可乘之機。因此,企業(yè)在加強Web流量監(jiān)測的同時,更要兼顧Web應用程序的安全漏洞問題,強化業(yè)務應用系統(tǒng)的身份驗證與細粒度授權問題等。

 

 

 

03

如何全面有效應對Web應用程序攻擊?

 

派拉軟件最新發(fā)布的Web應用安全網(wǎng)關(Paraview Application Security Gateway,PASG)是一款基礎身份安全網(wǎng)關產(chǎn)品。

 

它將多種安全功能集成到一個平臺中,除了提供WAF的基本防護外,還集成了身份驗證和授權功能,實現(xiàn)身份級別的流量訪問控制能力。同時,強化“人”的細粒度的策略控制,誰何時訪問了什么都可以清晰的記錄,并做到事中阻斷和事后追溯。

 

這意味著派拉軟件PASG不僅能夠過濾惡意流量,還能驗證嘗試訪問業(yè)務應用的用戶身份,確保只有經(jīng)過驗證的用戶才能訪問受保護的業(yè)務應用資源。

 

圖片

 

其基本安全防護原理可以簡單理解為:通過網(wǎng)關,將企業(yè)Web應用與互聯(lián)網(wǎng)分隔開,收斂安全暴露面;采用身份認證技術,利用MFA多因素認證與UEBA技術,強化身份認證能力;結合網(wǎng)關補齊各系統(tǒng)應用漏洞,并利用網(wǎng)關強大的流量編輯能力,實現(xiàn)更多企業(yè)WAF無法防護的復雜安全漏洞補丁修復。

 

圖片

 

換句話說,派拉軟件PASG可以檢查、控制、監(jiān)控互聯(lián)網(wǎng)流量以及訪問的用戶,通過對所有進出企業(yè)網(wǎng)絡的Web流量和用戶進行檢查和過濾,并結合多種技術防止惡意請求入侵和數(shù)據(jù)泄露,確保網(wǎng)絡安全和合規(guī)性。

 

 

 

04

6大特色能力強化企業(yè)安全防守

 

在企業(yè)實際攻防過程中,派拉軟件PASG產(chǎn)品更是通過提供以下7大特色場景功能,幫助企業(yè)多方位強化安全防守能力,有效應對Web攻擊:

 

1

圖片

暴露面收斂

 

在攻防應對過程中,企業(yè)網(wǎng)絡架構多較為復雜,涉及眾多服務和應用。派拉軟件PASG產(chǎn)品通過集中處理內(nèi)外網(wǎng)的數(shù)據(jù)交換,可以顯著減少直接暴露給外部的網(wǎng)絡接口數(shù)量,即“攻擊面”。這樣,安全團隊可以將重點防御措施集中部署在網(wǎng)關上,而非每個單獨的服務或系統(tǒng),簡化管理并提升整體防御效率。

 

圖片

 

2

圖片

身份認證與訪問控制強化

 

派拉軟件PASG執(zhí)行嚴格的訪問控制策略,確保只有經(jīng)過身份驗證和授權的用戶或系統(tǒng)才能訪問內(nèi)部網(wǎng)絡資源。這包括驗證用戶憑證、檢查來源IP、實施訪問規(guī)則(ACL)等。

 

在攻防過程中,這種機制能夠有效阻止未授權的滲透嘗試,并檢驗認證體系的強度。

 

圖片

 

此外,結合多因素認證能力與UEBA技術能力,強化身份認證與訪問控制,做到更極致、靈活的細粒度訪問控制,間接解決企業(yè)多業(yè)務系統(tǒng)身份認證與訪問控制管控不足的問題。

 

3

圖片

虛擬補丁修復

 

面對新出現(xiàn)的安全威脅,尤其是針對已知漏洞的攻擊,快速部署補丁至關重要。然而,實際操作中,全面部署物理補丁可能耗時且復雜。

 

派拉軟件PASG可以通過配置規(guī)則來臨時阻止利用特定漏洞的流量,直到系統(tǒng)可以進行徹底修復。

 

圖片

 

這種方式被稱為“虛擬補丁”,能在攻防期間迅速響應新威脅,減少被攻擊的風險,同時也檢驗了組織在面對緊急安全事件時的響應速度和靈活性。

 

4

圖片

深度安全防御

 

Web應用安全網(wǎng)關作為深度防御策略的一部分,位于網(wǎng)絡邊界,專門負責檢查進出的應用層流量。它能深入分析HTTP/HTTPS等協(xié)議的內(nèi)容,識別并阻止惡意請求,如SQL注入、跨站腳本(XSS)、命令注入等常見應用層攻擊,從而加固企業(yè)防守方的網(wǎng)絡邊疆。

 

5

圖片

流量安全全審計

 

派拉軟件PASG可以生成詳細的審計日志,記錄所有進出的流量及安全事件,為事后分析提供完整詳細的依據(jù)。這些數(shù)據(jù)對于評估安全策略的有效性、識別潛在漏洞以及優(yōu)化未來的防御措施至關重要。

 

圖片

 

6

圖片

實時監(jiān)控告警

 

告警系統(tǒng)基于預設的規(guī)則,對流量數(shù)據(jù)進行實時監(jiān)控,一旦檢測到潛在的安全威脅或不符合安全策略的行為,立即觸發(fā)告警通知安全團隊。這有助于快速響應,減少攻擊造成的影響。在攻防應對中,高效的告警機制可以即時反饋提醒攻擊,檢驗應急響應流程的時效性。

 

通過上述6大特色能力,派拉軟件PASG可以幫助企業(yè)實現(xiàn)以下7大價值:

 

圖片

 

截至目前,派拉軟件PASG產(chǎn)品已經(jīng)在多家客戶安全場景中成功應用。實際上,該產(chǎn)品正是在客戶項目實踐過程中不斷打磨形成的。在客戶強需求與高標準下,派拉軟件才得以成功研發(fā)并發(fā)布全新一代的Web應用安全網(wǎng)關。