南水进京一周年
当前位置首页 > 科技新闻 > 正文

长亭科技高级研发工程师谈WAF

2016-12-21 17:32 来源:中国经济网

  12月20-22日,"未来简史新纪元·2016 第十一届中国IDC产业年度大典" 在国家会议中心隆重举办,大会是在中国信息通信研究院、云计算发展与政策论坛、数据中心联盟的指导下,由中国IDC产业年度大典组委会主办。北京长亭科技高级研发工程师李昌志受邀参加21日安全运维论坛,发表了题为《论正则防护系统的全自动绕过与下一代防护方案》的演讲。对当前Web应用安全防护产品及理念做了专业解读。

  随着 Web 对外服务在企业中的占比不断增长,越来越多的敏感数据暴露在互联网中,作为环境最复杂且直观的应用层,易被攻击的面广,关注其弱点的恶意攻击者多,从而导致应用层威胁级别相比较其他六层更高。而应用层的安全防护失效,会给企业造成不可估量的损失。近年来,网站应用层失守导致的安全事件时有发生。例如,12月10日国内知名电商网站发生12G用户数据泄漏,究其原因是2013年Struts 2的安全漏洞问题导致。而Struts 2是基于MVC设计模式的Web应用程序框架。由此说明这是一个典型Web应用层漏洞导致数据外泄的安全事件。12月14日,雅虎再一次发生重大安全事件,泄漏数据涉及10亿用户,根据雅虎首席信息安全官在其官方博客说明,此次事故原因是黑客窃取管理员网络信息块导致服务器被入侵。这些因为应用层被攻击付出的惨痛代价表明,应用层威胁在不断增长,Web 应用安全防护成为每一位企业安全负责人的必修课。

  长亭科技的李昌志分析了当下传统WAF的优劣势,同时带来了下一代创新型WAF的实现思路和最新的安全理念。他在演讲中提到当下Web防护体系核心引擎均采用正则表达式集合,通过大量人力不断维护黑白名单对已知威胁做防护。驻场和无止尽更新规则集带来的弊端不仅仅表现在浪费人力和时间资源上,更重要的是面对未知攻击的束手无策。李昌志提出:下一代Web应用安全防御方案必须要提高准确率,召回率和检测性能。

  2016年7月,长亭科技自主研发的WAF雷池正式对外发布。这款产品在核心技术上进行了革命性创新,其漏洞检测引擎采用语义分析,用机器学习的方式改进了模型,直接使准确率和召回率大幅上升。与此同时,雷池能够在确保高准确率和召回率的情况下,保证使用站点的自身业务不受影响。在维护成本上,雷池几乎不需要专门的人员维护,直接解决传统产品短板,让Web应用安全防护更高效,更准确。另据信安在线11月资讯显示,雷池在国家等级评测中被定为增强级,并获得公安部颁发的《计算机信息系统安全专用产品销售许可证》。

  在网络数据安全攻防战中,同真实黑客斗智斗勇,解决企业核心安全的后顾之忧才是网络安全企业最本质的意义所在。在网络空间和现实空间的不断多元融合下,人类书写的未来简史中,网络数据安全的保卫战和优秀的安全卫士将占据这本简史中重要的一章。

(责任编辑:傅云鹏)

热点推荐

我国首次推进剂在轨补加试验开始

我国首次推进剂在轨补加试验开始

记者23日从北京航天飞行控制中心获悉,当日7时26分...

科技助你“享”美食

科技助你“享”美食

民以食为天,最近科学界的一批新发明让你不仅能安...

天舟一号货运飞船发射成功

天舟一号货运飞船发射成功

4月20日19时41分,搭载天舟一号货运飞船的长征七号...

什么影响了生物大脑的大小?

什么影响了生物大脑的大小?

据国外媒体报道,许多人类学家认为,庞大的社会群...

科技圣地变身旅游胜地

科技圣地变身旅游胜地

在甘肃酒泉卫星发射基地观看卫星发射,在贵州“天...

我国首颗高通量通信卫星实践十三号成功发射

我国首颗高通量通信卫星实践十三号成功发射

12日19时04分,我国在西昌卫星发射中心用长征三号...

“基因魔剪”竟成“搅局者”?

“基因魔剪”竟成“搅局者”?

在近日举行的美国癌症研究协会年会上,美国冷泉港...