Imperva豪言何须相信任何其他WAF？ 中国企业需谨慎

时间：2022-07-02 20:27:01 | 来源：建站知识

时间：2022-07-02 20:27:01 来源：建站知识

在网络安全已上升为国家战略的当下，记者调查发现中国绝大多数包括银行在内的金融领域企业，在部署防御黑客网络攻击的安全产品WAF(Web Application Firewall)时选择了一家外国企业Imperva的产品。这家企业曾发出：“用Imperva，何须相信任何其他WAF”的豪言，但时过境迁，在网络安全技术瞬息万变的当下，它的产品技术实力真如它所言的那么强悍么?请看记者邀请国内某测试小组所做的对比(所列数据均为真实数据，安全研究团队可自行还原测试，细节可能略有出入，但不影响测试小组综合得出的结论)。

Imperva作为老牌的外资传统WAF厂商，在魔力象限评比中，连续三年荣获领导者的地位。这也是此处为何以Imperva为例的原因所在——国际上较为公认的评选标准中，传统WAF厂商领导水平的代表。

图1：2016年魔力象限评比中Imperva唯一居于领导者象限

Imperva的核心产品是SecureSphere Web应用防火墙，本期选择与之对比的测试对象是国内新锐安全企业长亭科技旗下同属针对应用层防护的WAF产品的雷池(SafeLine)。之所以选择这两款产品的原因是，长亭认为其产品设计理念超前应属下一代WAF的范畴，而Imperva自信满满到敢放言“何须相信任何其他WAF”。狭路相逢勇者胜，让我们看看WAF这场传统与新锐、大牌外资安全企业与中国新锐安全企业之间的小比较，谁会更胜一筹。

一、WAF基准定律测试

既然涉及了传统与新一代WAF的概念，可能吃瓜群众要问的第一个问题是两者在功能实现上究竟有何不同之处?是骡子是马牵出来溜溜先，周知衡量WAF功能的三大定律指标是：准确率、召回率和速度。为进行产品对比，此处经过实验过程验证。其中，因速度指标描述维度模糊，故不列入比较范围，仅对准确率和误报率进行结论展示。

1、准确率，两者相差无几

在固定规模的同一数据集上，SecureSphered的准确率是88.8%，而雷池(SafeLine)的准确率是99.8%，雷池的针对网络攻击的拦截，比SecureSphere高出了10%以上。

图2：Imperva的SecureSphere测试结果

图3：长亭科技的雷池(SafeLine)测试结果

2、Imperva的SecureSphere漏报数量是长亭雷池(SafeLine)的8倍

在固定规模的同一数据集上，Imperva的SecureSphere Web 应用防火墙和长亭科技的雷池(SafeLine)，分别进行测试， SecureSphere的召回率是75%，而雷池(SafeLine)的召回率为99.41%。这是什么意思呢?其实很简单，就是在这个测试集里包含的所有恶意攻击请求中，SecureSphere误认为其中40个是无恶意的，而SafeLine误认为其中5个是无恶意的，Imperva产品的误报比例是长亭的8倍!

图4：同测试集下雷池(SafeLine)和SecureSphere的漏报数

二、产品功能横向比较

测试小组针对两款产品具体功能进行了比较，得出如下结论：

1、Imperva更适合更新较少、技术老旧的传统网站

Imperva 基本检测能力较弱，更依赖其自学习能力进行网站建模防护。然而，在实际的技术应用场景中，现代的网站早已建立在更复杂的技术架构下，变化速度也是相当快。尤其是互联网公司，在强调迭代发展、小步快跑，一周出一个版本甚至多个版本的情况大量存在。而自学习，一般都需要一个从学习到收敛的时间，网站更新的速度超过自学习成长的速度，这中间势必存在安全空白。

2、Imperva的默认检测能力，仅需要101个字符即可绕过。

根据本次试验测试，Imperva 的默认规则集，不仅很难有效拦截漏洞，作为世界领导地位的 WAF，它甚至比大多数国产WAF的默认规则集还要差很远。

比如：SQL 注入的拦截情况：

select.{1,100}from.{1,100}dba_users

alter.{0,100}session.{0,100}set.{0,100}events

这条规则，出现在 Recommended for Detection for Web Applications 规则集中。这种特征的规则，只要101个字符即可绕过。

对比来看，长亭科技的下一代WAF产品依托智能语义分析引擎，使新型的WAF产品具备以下几个特征：

1、不再依赖黑白名单规则维护为工作原理，无需人工添加规则，效率高于同等级别传统WAF100倍。通过WAF集群来实现性能扩展，吞吐率不设上限。内置SQL注入、XSS、代码注入、反序列化等多个攻击检测子引擎，可以在不使用传统规则库的环境下高度准确的发现黑客攻击。

2、深度解码攻击片段，通过用户行为分析进行识别。擅长针对拦截未知威胁 0day 的攻击，误报和漏报都能控制在极低的水平。

3、避免添加规则，不用频繁更新，即插即用，支持软硬件和云端多种部署方式。WAF默认配置即可使用99%的业务后端，极大的减少了管理员的维护成本。

此外，下一代WAF新增了一些传统WAF无法实现的功能：通过访问控制平台制定符合业务需求的定制化安全策略，能有效的通过策略调整，防止薅羊毛、Bot、平行权限控制不严、任意用户密码重置等常见非漏洞型攻击行为。

图5：雷池(SafeLine)操作界面

三、用户体验度对比

测试小组测试完所有项目后，对Imperva的第一感官是，操作界面的友好性太差——使用规则复杂、学习成本高，猜测可能是因为对国内用户习惯的理解不够。

图6、Imperva SecureSphere操作界面用户体验不理想

而雷池的产品界面就极为简洁明了，且富有科技感，两者一对比，相信不少决策者已经有了初步决定。

图7、SafeLine操作界面极具科技感

通过以上三大维度对比不难看出，还停留以规则防御为主的Imperva的WAF产品，主要有以下几个缺点：

1、漏报率高。规则太严格，极易产生误报，正常的访问行为被判定为攻击行为，影响用户的使用;规则太宽松，错误率提升，极易产生漏报现象。

2、不能防御未知攻击。传统WAF只能针对解决已经出现的攻击行为，对于更改了命令的同类攻击行为，并不能够识别，需更新防御规则后才奏效。严重影响站点正常工作。冗长的防御名单极大的降低了站点的工作速度，用户会出现打开慢或打不开网页的可能。疑似当监测速度不足以支撑业务速度时，传统WAF就会选择全部放过，不再拦截。

3、维护成本高。以添加规则的方式进行防御更新，只要有不同字符串的攻击命令出现，就需要添加规则。

另据悉，从去年8月开始，一直被国外评级机构奉为行业领导者的以色列安全公司Imperva传出连年财报不佳，恐出售给美国巨头公司的消息。国人更应该值得警醒的是，意向收购者名单中，美国著名军火商雷神赫然在列，在网络安全已上升为国家战略的今天，这其中的意义不容小觑。

还需要提到的是魔力象限在2016年7月之前，一直在用“good enough”来形容市面上主流的WAF，并提出企业需要下一代的WAF，很遗憾，当时供应商是缺失的。而以长亭雷池为代表的下一代WAF的出现，除了在三大衡量指标上优于传统之外，在防御未知攻击和有效用户行为监测等方面也走在了前面，这是对市场需求的合理补充，对用户来说，也无疑是更智能、更简单的应用层网络安全产品。

在中国网络安全必须依靠中国安全企业技术创新的当下，既然我们有了更好的、民族的产品，试问前面提到包括银行在内的金融领域企业，在部署WAF时是不是应该忘记外企的广告，优先考虑性价比更高的中国产品呢?让我们拭目以待。