10月20日,腾讯安全举行线上发布会,正式对外发布其全新一代Web应用防火墙(WAF)产品。新产品进一步拓宽了Web应用安全的防护边界并支持更加多样的接入形态,为企业Web应用提供0day漏洞应急响应、反爬虫、防薅羊毛等全场景防护。
腾讯新一代WAF防护全景图
各行各业数字化转型的深入推进,使得越来越多的企业通过网页、APP、小程序等应用来开展核心业务,针对业务层的黑客攻击日益频发。由此,专注Web应用安全防护的WAF产品被广泛采用。但随着企业上云步伐的进一步加快,以及黑客攻击途径、手段的不断升级,WAF在实际运维中面临着诸多挑战。
例如,当攻击从传统的Web攻击跨越到业务场景,如何建立更广的防护边界?业务加速上云的同时,安全能力如何快速上线?面对海量的无效BOT流量,如何实现有效管理?安全如何适应业务的周期性大流量,兼顾低误报和低漏报?每天曝光的Web漏洞甚至0day漏洞、危害性大、影响面广,如何保持防护能力实时的更新等,都是当前应用安全急需解决的课题。
针对行业实践中的痛点,腾讯安全推出新一代Web应用防火墙(WAF)产品,将通过更快的接入形式、更强的防御能力和更广的防护场景,筑牢应用安全的防线。
在接入能力上,全新一代WAF支持云原生接入、云代 理接入等多丰富多样的接入方式,国内首发的创新性“旁挂式”云原生架构:CLB-WAF,具有无需修改域名解析快速接入、延时低、对业务无改动、快速应对突增流量,稳定性高等特点,可以保证业务安全能力快速上线。
在防御能力上,AI+情报+蓝军对抗“三板斧”方案,有效提升防御能力。针对WAF运维中低漏报、和低误报难以兼顾的老大难问题,腾讯安全新一代WAF“第一板斧”:将规则+语义+AI三种检测技术有机结合,在原有长期维护的规则引擎基础上,优化了AI模型,调整了现有的AI引擎参数;并且创造性的将语义引擎与规则和AI引擎结合,大幅降低了漏报率和误报率,提升客户的运维效率。“第二板斧”,将威胁情报能力注入,威胁处置更加超前,更大提升了检测效率。最后,“第三板斧”是腾讯蓝军和科恩实验室的不断攻防演练,不断加强最新攻击的防御能力。
在防护场景上,腾讯安全WAF此前上线了Bot行为管理功能,将Bot流量管理纳入防护范围,本次新一代WAF的推出结合了前端对抗、情报IP、大数据分析、业务风控等技术手段,打造全新的Bot管理立体防御系统,防护场景更广。将多种前端对抗技术加入到人机识别中,使得WAF应用从渗透攻击防护场景扩展到爆破、爬虫和刷单类场景,能够对更广泛的恶意攻击行为进行防护。而且,凭借腾讯社交生态的天然优势带来的手机号、微信号、QQ号等最广泛的一手社交账户威胁情报,腾讯在反恐恶意注册类风控攻击、BOT防护方面具有行业领先的能力。
Bot管理立体防御系统
腾讯安全WAF可适用于腾讯云内及云外所有用户,本次WAF的升级更新,也将为用户提供更好的安全服务。例如,在电商行业,针对线上身份认证、爬虫、薅羊毛等难题。腾讯安全WAF可智能过滤恶意攻击及爬虫等垃圾访问,保障正常业务访问流畅,确保营销策略有效开展。WAF特有的Bot行为管理功能,还可以对Bot程序访问行为进行识别及管理,协助企业反爬虫管理策略,解决恶意爬虫带来的恶意查、数据抓取、黑产SEO、垃圾流量等问题。
在游戏行业,日益猖獗的DDoS攻击已经给行业造成了严重的损失。腾讯安全WAF低延迟,高可用,防护性能可跟随业务弹性增长,支持一键整合高防,可轻松应对突发大流量DDoS功能问题。例如,今年8月,手游《半盏复古行》上线首日,遭遇了严重的DDoS攻击,黑客用80万个账号同时登陆,致使真实用户无法进入游戏,在接入腾讯WAF之后,经过10小时的安全调试,游戏重新恢复稳定运行。
与黑客斗争的18小时
企业的Web业务遭到入侵,会带来诸如业务漏洞暴露、数据被窃取、网站被篡改或植入、恶意数据爬取、拒绝服务攻击等安全事件,带来严重的业务损失及品牌影响。今后,腾讯安全WAF,将继续在腾讯自研上千业务域名和数千客户的最佳实践中,不断更新迭代,帮助企业轻松应对各类Web攻击入侵及威胁挑战,保障网站及Web业务的安全运营。