城市
欢迎来稿
当前位置首页 > 科技新闻 > 正文

长亭科技高级研发工程师谈WAF

2016-12-21 17:32 来源:中国经济网

  12月20-22日,"未来简史新纪元·2016 第十一届中国IDC产业年度大典" 在国家会议中心隆重举办,大会是在中国信息通信研究院、云计算发展与政策论坛、数据中心联盟的指导下,由中国IDC产业年度大典组委会主办。北京长亭科技高级研发工程师李昌志受邀参加21日安全运维论坛,发表了题为《论正则防护系统的全自动绕过与下一代防护方案》的演讲。对当前Web应用安全防护产品及理念做了专业解读。

  随着 Web 对外服务在企业中的占比不断增长,越来越多的敏感数据暴露在互联网中,作为环境最复杂且直观的应用层,易被攻击的面广,关注其弱点的恶意攻击者多,从而导致应用层威胁级别相比较其他六层更高。而应用层的安全防护失效,会给企业造成不可估量的损失。近年来,网站应用层失守导致的安全事件时有发生。例如,12月10日国内知名电商网站发生12G用户数据泄漏,究其原因是2013年Struts 2的安全漏洞问题导致。而Struts 2是基于MVC设计模式的Web应用程序框架。由此说明这是一个典型Web应用层漏洞导致数据外泄的安全事件。12月14日,雅虎再一次发生重大安全事件,泄漏数据涉及10亿用户,根据雅虎首席信息安全官在其官方博客说明,此次事故原因是黑客窃取管理员网络信息块导致服务器被入侵。这些因为应用层被攻击付出的惨痛代价表明,应用层威胁在不断增长,Web 应用安全防护成为每一位企业安全负责人的必修课。

  长亭科技的李昌志分析了当下传统WAF的优劣势,同时带来了下一代创新型WAF的实现思路和最新的安全理念。他在演讲中提到当下Web防护体系核心引擎均采用正则表达式集合,通过大量人力不断维护黑白名单对已知威胁做防护。驻场和无止尽更新规则集带来的弊端不仅仅表现在浪费人力和时间资源上,更重要的是面对未知攻击的束手无策。李昌志提出:下一代Web应用安全防御方案必须要提高准确率,召回率和检测性能。

  2016年7月,长亭科技自主研发的WAF雷池正式对外发布。这款产品在核心技术上进行了革命性创新,其漏洞检测引擎采用语义分析,用机器学习的方式改进了模型,直接使准确率和召回率大幅上升。与此同时,雷池能够在确保高准确率和召回率的情况下,保证使用站点的自身业务不受影响。在维护成本上,雷池几乎不需要专门的人员维护,直接解决传统产品短板,让Web应用安全防护更高效,更准确。另据信安在线11月资讯显示,雷池在国家等级评测中被定为增强级,并获得公安部颁发的《计算机信息系统安全专用产品销售许可证》。

  在网络数据安全攻防战中,同真实黑客斗智斗勇,解决企业核心安全的后顾之忧才是网络安全企业最本质的意义所在。在网络空间和现实空间的不断多元融合下,人类书写的未来简史中,网络数据安全的保卫战和优秀的安全卫士将占据这本简史中重要的一章。

(责任编辑:傅云鹏)

热点推荐

SpaceX今年第7次发射  共向国际空间站运2.63吨物资

SpaceX今年第7次发射 共向国际空间站运2.63吨物资

据国外媒体报道,美国当地时间4月2日,SpaceX已成...

携手世界 为破解人类科学难题贡献中国智慧

携手世界 为破解人类科学难题贡献中国智慧

在蔚蓝的大海中,国际大洋钻探计划正在钻探地球的...

苹果允许用户彻底删除ID 重隐私者得天下

苹果允许用户彻底删除ID 重隐私者得天下

北京时间3月30日,据彭博社报道,苹果公司表示将在...

eSIM时代,运营商的末日还是新生

eSIM时代,运营商的末日还是新生

自近日中国联通宣布在国内首发Apple Watch Series ...

首枚会变色的“心脏芯片”问世

首枚会变色的“心脏芯片”问世

东南大学生物医学工程学院生物电子学国家重点实验...

“科学”号调查麦哲伦海山

“科学”号调查麦哲伦海山

海山是世界海洋生物多样性研究的热点地区。在国家...

别了,“天宫” 你是永远的“一号”

别了,“天宫” 你是永远的“一号”

2011年9月29日,你乘坐长征二号F运载火箭离我们而...