南水进京一周年
当前位置首页 > 科技新闻 > 正文

长亭科技高级研发工程师谈WAF

2016-12-21 17:32 来源:中国经济网

  12月20-22日,"未来简史新纪元·2016 第十一届中国IDC产业年度大典" 在国家会议中心隆重举办,大会是在中国信息通信研究院、云计算发展与政策论坛、数据中心联盟的指导下,由中国IDC产业年度大典组委会主办。北京长亭科技高级研发工程师李昌志受邀参加21日安全运维论坛,发表了题为《论正则防护系统的全自动绕过与下一代防护方案》的演讲。对当前Web应用安全防护产品及理念做了专业解读。

  随着 Web 对外服务在企业中的占比不断增长,越来越多的敏感数据暴露在互联网中,作为环境最复杂且直观的应用层,易被攻击的面广,关注其弱点的恶意攻击者多,从而导致应用层威胁级别相比较其他六层更高。而应用层的安全防护失效,会给企业造成不可估量的损失。近年来,网站应用层失守导致的安全事件时有发生。例如,12月10日国内知名电商网站发生12G用户数据泄漏,究其原因是2013年Struts 2的安全漏洞问题导致。而Struts 2是基于MVC设计模式的Web应用程序框架。由此说明这是一个典型Web应用层漏洞导致数据外泄的安全事件。12月14日,雅虎再一次发生重大安全事件,泄漏数据涉及10亿用户,根据雅虎首席信息安全官在其官方博客说明,此次事故原因是黑客窃取管理员网络信息块导致服务器被入侵。这些因为应用层被攻击付出的惨痛代价表明,应用层威胁在不断增长,Web 应用安全防护成为每一位企业安全负责人的必修课。

  长亭科技的李昌志分析了当下传统WAF的优劣势,同时带来了下一代创新型WAF的实现思路和最新的安全理念。他在演讲中提到当下Web防护体系核心引擎均采用正则表达式集合,通过大量人力不断维护黑白名单对已知威胁做防护。驻场和无止尽更新规则集带来的弊端不仅仅表现在浪费人力和时间资源上,更重要的是面对未知攻击的束手无策。李昌志提出:下一代Web应用安全防御方案必须要提高准确率,召回率和检测性能。

  2016年7月,长亭科技自主研发的WAF雷池正式对外发布。这款产品在核心技术上进行了革命性创新,其漏洞检测引擎采用语义分析,用机器学习的方式改进了模型,直接使准确率和召回率大幅上升。与此同时,雷池能够在确保高准确率和召回率的情况下,保证使用站点的自身业务不受影响。在维护成本上,雷池几乎不需要专门的人员维护,直接解决传统产品短板,让Web应用安全防护更高效,更准确。另据信安在线11月资讯显示,雷池在国家等级评测中被定为增强级,并获得公安部颁发的《计算机信息系统安全专用产品销售许可证》。

  在网络数据安全攻防战中,同真实黑客斗智斗勇,解决企业核心安全的后顾之忧才是网络安全企业最本质的意义所在。在网络空间和现实空间的不断多元融合下,人类书写的未来简史中,网络数据安全的保卫战和优秀的安全卫士将占据这本简史中重要的一章。

(责任编辑:傅云鹏)

热点推荐

滚一滚这时钟 它就能告诉你地球任何一处时间

滚一滚这时钟 它就能告诉你地球任何一处时间

世界时钟,这个简单却又非常聪明的小玩意儿,能够...

智慧海滩 来一场亲水之旅

智慧海滩 来一场亲水之旅

夏日海边,先去水里沾沾脚,慢慢地卷起裤腿往里走...

人工智能走进植物分类学领域

人工智能走进植物分类学领域

研究人员报告称,通过利用上千株保存下来的植物的...

让中国转基因鲤鱼尽快“游”向餐桌

让中国转基因鲤鱼尽快“游”向餐桌

最近,一家美国公司宣布其转基因三文鱼已上市销售,...

固体还是液体 玻璃的身份至今悬而未决

固体还是液体 玻璃的身份至今悬而未决

清晨的阳光透过玻璃窗洒在脸上,音乐响起,手指在...

印度孟买 发现蓝色流浪狗

印度孟买 发现蓝色流浪狗

据英国《每日邮报》报道,近日,印度孟买市的街道...

三问青海火星模拟基地

三问青海火星模拟基地

我国首个火星模拟基地项目将落户青海省海西州大柴...