隨著網絡攻擊的演進，Web應用防火墻（WAF）的應用也在發(fā)生變化。企業(yè)組織部署WAF不僅要對網站進行保護，還要對逐漸普及的Kubernetes、微服務、API和無服務器部署等新興應用進行保障和支撐。WAF是現代企業(yè)做好網絡安全工作的基礎技術，本文收集整理了多位行業(yè)專家對2023年WAF技術應用發(fā)展的看法，以幫助企業(yè)了解這種傳統(tǒng)解決方案的發(fā)展動態(tài)。

01 WAF市場仍將快速發(fā)展

Web應用防火墻并不是一種創(chuàng)新的網絡安全技術，然而它們始終在企業(yè)數字化轉型發(fā)展中扮演著重要角色，也是安全市場中長期保持快速穩(wěn)定發(fā)展的細分應用領域之一。據市場研究公司Dell "Oro Group最新研究數據顯示，WAF技術的市場應用需求將保持14%以上的年增長率。Dell "Oro Group分析師Mauricio Sanchez表示，WAF是保障企業(yè)數字化應用安全可靠運行的基礎措施，至少在未來五年內不會被其它解決方案所替代。全球WAF市場的總收入在2022年增長了近30%，預計2023年的全球市場收入將超過20億美元。

02 增強基于身份的安全防護能力

SailPoint的戰(zhàn)略和標準總監(jiān)Mike Kiser認為，要更好地保障企業(yè)應用系統(tǒng)安全，需要對傳統(tǒng)WAF的能力進行優(yōu)化和補充。盡管WAF是企業(yè)的標配安全系統(tǒng)，但是應該將WAF與其他保護措施（比如機器人程序緩解和API安全）結合起來。同時，還應該在產品設計層面進行優(yōu)化，在應用系統(tǒng)層實現以身份為中心的安全模型。Kiser表示，為了實現這一目標，就需要在傳統(tǒng)WAF方案中，融合先進的身份管理方法，例如：限制受攻擊帳戶的影響，檢測異常的用戶行為和橫向移動，以及能夠借助審計策略來管理身份。

03 實時的威脅檢測和防護

Cloudflare的產品經理Michael Tremante也認為，WAF產品在2023年需要逐漸變成更先進、計算能力更強大的異常行為檢測系統(tǒng)。他認為，雖然攻擊者仍大量使用傳統(tǒng)攻擊方式，但應用系統(tǒng)和基于API的接口中出現異常進程流才是最需要關注的焦點。比如說，只要用戶在正常的時間或方式之外執(zhí)行了在線銀行貨幣交易，就需要實時識別并發(fā)出警報，而不是事后處理日志。在企業(yè)真實業(yè)務環(huán)境中實現實時防護是WAF產品要解決的下一個挑戰(zhàn)。傳統(tǒng)的本地化WAF產品將難以勝任新一代的安全檢測要求，基于云計算的WAF更能夠滿足企業(yè)用戶的這種需求，前提是相關技術準備已落實到位。

04 從WAF向WAAP演進

Imperva首席技術官辦公室技術總監(jiān)Pete Klimek表示，雖然傳統(tǒng)WAF產品仍然是一種重要的安全工具，但它需要依賴特征碼來識別和阻止可疑攻擊活動。對于大多數現代企業(yè)來說，這已經不足以阻止越來越多新型自動化安全威脅。智能欺詐、業(yè)務邏輯攻擊及各種形式的API濫用并不依賴已知的攻擊模式，因此傳統(tǒng)WAF產品很難識別和阻止它們。

此外，隨著企業(yè)將業(yè)務上云，應用系統(tǒng)變得更復雜，整體式應用系統(tǒng)分解為API、微服務和無服務器函數。而傳統(tǒng)WAF產品難以部署在云原生環(huán)境中。因此，新一代WAF產品——WAAP將會得到更多的關注和應用?；谠频腤AAP方案可以提供多層安全防護能力，除了傳統(tǒng)WAF的功能外，還包括了API安全、分布式拒絕服務（DDoS）防護以及機器人攻擊防護。WAAP可以部署在幾乎任何云環(huán)境中，便于安全團隊全面了解攻擊狀況，識別出惡意攻擊行為的早期跡象，并采用合適的方式應對。

05 加強WAF自身的安全防護

由于種種原因，針對WAF的攻擊在各類企業(yè)中已經大量發(fā)生。雖然WAF充當代理，對應用服務器與客戶端之間的流量進行監(jiān)管，但如果WAF本身存在漏洞，這反而會給攻擊者找到攻擊機會。Cyber Defense Labs公司CEO Robert Anderson Jr.表示，網絡攻擊者一直在尋找并利用各種存在漏洞的系統(tǒng)，其中也包括未打補丁的防火墻和WAF設備。因此，企業(yè)需要為包括WAF產品在內的各種安全設備及其操作系統(tǒng)及時安裝補丁，并定期進行安全掃描。他表示，如果企業(yè)不能確保所有的補丁都及時更新，將會面臨大規(guī)模勒索軟件攻擊和數據泄露的風險。

參考鏈接：

https://www.datamation.com/security/web-application-firewall-trends/

聲明：本文來自安全牛，版權歸作者所有。