Web Application Firewall 簡稱WAF,中文寫作「網站應用程式防火牆」,WAF是用於保護網站的應用程式。
WAF會透過監控網站傳輸的 HTTP 流量,比對病毒與惡意程式資料庫,過濾出可疑流量並拒絕惡意流量進入,保護網站免受駭客攻擊。
WAF 是如何抵禦攻擊,保護你的網站
通過網站的流量有很多種,有安全的、有存在資安風險的、帶有 SQL Injection的、惡意攻擊的流量等,WAF 主要就是作用於 OSI 網路七層架構中的 Layer 7 應用層,進行流量來源的監控、分析與過濾。
網站需要 WAF 嗎?
WAF在網站的安全維護上扮演著重要角色。網站一開始的架構階段,是由工程師進行編碼的,但在網站完成後就會由不同人管理,造成網站上存著不同工程師的程式邏輯,一旦依循不同邏輯繼續擴增網站架或是構疏於管理,在語法混亂、新舊架構並存的狀態下,網站其實很容易就會出現安全漏洞,而企業卻往往不自知而讓人有機可趁,因此就會需要 WAF 為網站把關,保障網站的安全。
單就「網站管理」這件事來說,若企業目前沒有安排其他資安相關的防護工具措施或是定期檢視網站安全性,就會建議採用 WAF 來保護網站本體,當然若企業已採用其他更高階的資安防護工具,其保護範圍能涵蓋網站及應用程式,則 WAF 就不一定會是標準配備,可以先透過以下幾點,去檢視您企業的網站內容去做分析。
網站的價值:
受到疫情影響,消費者的場域逐漸從實體轉變為以網路為主,導致這兩年有許多店家將發展重心由實體店面轉向網路,原本的販售與產品推廣活動由線下轉向線上。若是此時你的網站遭受勒索病毒攻擊、遭駭客入侵、重要資料外洩或甚至是面臨網站關閉,都將嚴重影響產品銷售、品牌形象是制式面臨企業經營危機,因此,要判斷是否需要 WAF 可以先從網站對您企業意義與價值來看,您的企業營收獲利,是否來自網站?針對商務經營與理念傳達,網站是否是重要的管道?
網站的功能:
WAF 主要是保護 Layer 7 應用層,因此當網站有蒐集網頁快取紀錄、cookie、表單紀錄、用戶資料或是其他應用程式等,會建議使用 WAF 為網站添加一層防護牆,保護網站不受入侵。
網站經營目的:
不僅止於單純形象網站,若是包含購物車、會員資料庫等的網路商城網站,因程式語法較形象網站複雜來得複雜,且內容更涉及金流及重要資訊,因此更需要 WAF 的完整功能保護。
網站的程式:
這一項,就是前面有提到的網站程式語法,當網站程式經過多人修改、管理,為了避免程式語言上的邏輯漏洞或是缺失,採用 WAF 能保護網站免於資安威脅,此外也可搭配網站原碼掃描與弱點掃描,直接掃描網站全部語法,讓程式設計師修補漏洞時能有所依據,確保每段程式都是安全的。
常見的攻擊類型 – 2020 年 OWASP Top 10
「Open Web Application Security Project」簡稱OWASP Top 10,是WAF資料庫中非常重要的指標。
其內容提供各種趨勢分析、資安文章、工具及文件等,是目前多數資安業者甚至政府都會參考的指標。
依據2020 OWASP 10,可以發現今年的排名與2017 OWASP 10相同,依序為:
第一名:Injection 注入攻擊
第二名:Broken Authentication 無效身分驗證
第三名:Sensitive Data Exposure 敏感資料外洩
第四名:XML External Entities (XXE) XML 外部處理器漏洞
第五名:Broken Access control 無效的存取控管
第六名:Security misconfigurations 不安全的組態設定
第七名:Cross Site Scripting (XSS) 跨站攻擊
第八名:Insecure Deserialization 不安全的反序列化漏洞
第九名:Using Components with known vulnerabilities 使用已有漏洞的元件
第十名:Insufficient logging and monitoring 紀錄與監控不足
Injection 注入攻擊、Broken Authentication 無效身分驗證和Sensitive Data Exposure 敏感資料外洩,前三名資安風險依舊蟬,顯示有心人士仍常透過這些手法入侵企業網站竊取數位資產,企業在評估網站安全性時,可以參考這些指標著重常見的攻擊。
不過回到企業資安這件事上,其實無論是WAF或是任何一種資安防護工具,都無法百分百保證網站永遠都一直是安全的,資安工具並非萬能藥,必須搭配管理、定期監控、盤點、優化等制度,才能確保網站的安全。