欢迎来稿
当前位置首页 > 科技新闻 > 正文

长亭科技高级研发工程师谈WAF

2016-12-21 17:32 来源:中国经济网

  12月20-22日,"未来简史新纪元·2016 第十一届中国IDC产业年度大典" 在国家会议中心隆重举办,大会是在中国信息通信研究院、云计算发展与政策论坛、数据中心联盟的指导下,由中国IDC产业年度大典组委会主办。北京长亭科技高级研发工程师李昌志受邀参加21日安全运维论坛,发表了题为《论正则防护系统的全自动绕过与下一代防护方案》的演讲。对当前Web应用安全防护产品及理念做了专业解读。

  随着 Web 对外服务在企业中的占比不断增长,越来越多的敏感数据暴露在互联网中,作为环境最复杂且直观的应用层,易被攻击的面广,关注其弱点的恶意攻击者多,从而导致应用层威胁级别相比较其他六层更高。而应用层的安全防护失效,会给企业造成不可估量的损失。近年来,网站应用层失守导致的安全事件时有发生。例如,12月10日国内知名电商网站发生12G用户数据泄漏,究其原因是2013年Struts 2的安全漏洞问题导致。而Struts 2是基于MVC设计模式的Web应用程序框架。由此说明这是一个典型Web应用层漏洞导致数据外泄的安全事件。12月14日,雅虎再一次发生重大安全事件,泄漏数据涉及10亿用户,根据雅虎首席信息安全官在其官方博客说明,此次事故原因是黑客窃取管理员网络信息块导致服务器被入侵。这些因为应用层被攻击付出的惨痛代价表明,应用层威胁在不断增长,Web 应用安全防护成为每一位企业安全负责人的必修课。

  长亭科技的李昌志分析了当下传统WAF的优劣势,同时带来了下一代创新型WAF的实现思路和最新的安全理念。他在演讲中提到当下Web防护体系核心引擎均采用正则表达式集合,通过大量人力不断维护黑白名单对已知威胁做防护。驻场和无止尽更新规则集带来的弊端不仅仅表现在浪费人力和时间资源上,更重要的是面对未知攻击的束手无策。李昌志提出:下一代Web应用安全防御方案必须要提高准确率,召回率和检测性能。

  2016年7月,长亭科技自主研发的WAF雷池正式对外发布。这款产品在核心技术上进行了革命性创新,其漏洞检测引擎采用语义分析,用机器学习的方式改进了模型,直接使准确率和召回率大幅上升。与此同时,雷池能够在确保高准确率和召回率的情况下,保证使用站点的自身业务不受影响。在维护成本上,雷池几乎不需要专门的人员维护,直接解决传统产品短板,让Web应用安全防护更高效,更准确。另据信安在线11月资讯显示,雷池在国家等级评测中被定为增强级,并获得公安部颁发的《计算机信息系统安全专用产品销售许可证》。

  在网络数据安全攻防战中,同真实黑客斗智斗勇,解决企业核心安全的后顾之忧才是网络安全企业最本质的意义所在。在网络空间和现实空间的不断多元融合下,人类书写的未来简史中,网络数据安全的保卫战和优秀的安全卫士将占据这本简史中重要的一章。

(责任编辑:傅云鹏)

热点推荐

飞行员日常 驾驶舱拍奇景

飞行员日常 驾驶舱拍奇景

如果你对在路上的生活感到厌倦,那么这些飞行员日...

夜空中的双胞胎

夜空中的双胞胎

冬季,虽然没有夏季明显的银河景观,没有张牙舞爪...

在小行星上找水 科学家有高招

在小行星上找水 科学家有高招

对人类而言,小行星有着一种神秘的魅力。近日,中...

GoPro再裁员 市场瞬息万变 过分骄傲要吃亏

GoPro再裁员 市场瞬息万变 过分骄傲要吃亏

经历了去年的裁员重组后,著名运动相机GoPro近日又...

高景一号03、04卫星成功发射

高景一号03、04卫星成功发射

1月9日11时24分,我国在太原卫星发射中心用长征二...

走科技路 吃北京饭

走科技路 吃北京饭

世界最大单口径射电望远镜FAST,让中国从此可以“...

27年下降75%,飞行昆虫数量骤减为哪般

27年下降75%,飞行昆虫数量骤减为哪般

近日,据外媒报道,德国科学家对全国63个保护区进...