又一高危0day漏洞趁虚而入,如何用WAF快人一步建立防护
高危漏洞
CVE-2020-17530
- S2-061 Struts2远程代码执行漏洞 -
Apache Struts2于2020年12月08日披露 S2-061 Struts2远程代码执行漏洞(CVE-2020-17530),在使用某些tag等情况下可能存在OGNL表达式二次注入漏洞,从而在目标服务器上可以执行任意代码,危害程度极高。
黑客的狂欢:风险爆发 趁虚而入
Struts2 作为一个“世界级”开源框架,在我国广泛应用于教育、金融、互联网、通信等重要行业,它的一个高危漏洞危害有可能造成重大的互联网安全风险和巨大的经济损失。
前几年某著名电商平台的12G 数据包在黑市上流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。根据Macfee对漏洞传播的研究,黑客对漏洞的利用速度往往高于安全管理人员的防护速度。
因此,怎样在0day漏洞爆发后,赶在黑客的狂欢和肆虐前快速“堵住”高危漏洞以完善网络安全对于各行业用户来说至关重要。但是实际情况却让人堪忧,有相当多企业的安全运维人员不知道在自家的网络中哪些设备或服务可能遭受到攻击,因此在此类漏洞爆发后不仅会面对巨大的压力,同时也不能快速进行针对性的安全加固和危机补救。
新一代智能WAF:智能识别,快人一步
传统WAF缺点:
—— 单纯依赖规则库实现攻击特征的匹配,但是这种方式存在一个致命的缺陷,那就是无法识别未知0day威胁的漏洞利用。
—— WAF安全厂商的规则库更新往往以月为周期,黑客可以在这个时间空挡利用0day漏洞为所欲为。
为了应对各种攻击样本高级化、攻击类型多样化,以及未知0day爆发等场景,安恒新一代智能WAF结合了语义分析与机器学习等能力,让其具备智能识别各种攻击类型的防护能力,解决用户应对0day攻击的痛点。
安恒新一代智能WAF相对于上一代来说更加智能,具备天然防护0day漏洞能力,可以轻松应对各种类型的攻击,具备更强的数据包解析能力、兼容能力,使得攻击无所遁形。安恒新一代智能WAF由以下模块组成:
内置安全语义分析引擎
可以识别9种语法类型检测,不再单纯依赖正则匹配,无需更新规则库就可以识别攻击变种。
针对近日披露的 S2-061 Struts2远程代码执行漏洞(CVE-2020-17530)漏洞,安恒新一代WAF内置OGNL语法检测模块,已获得Struts2漏洞攻击的先天免疫能力。已部署使用安恒新一代智能WAF的客户,无须任何升级就已具备防范利用此漏洞进行攻击的能力!
内置机器学习引擎
可以通过非监督机器学习算法学习现网业务模型,部署模型后,WAF可以自动发现异常访问行为,这种自动学习白名单检测的方式弥补了黑名单检测覆盖不完全的缺陷。另外机器学习降低了维护成本,0day爆发后安全管理员不再需要手忙脚乱打补丁,机器学习帮你搞定。
机器学习的基本原理如图所示:
WAF通过一段时间的学习,得到的模型可以自动部署,该模型对正常流量,异常流量,攻击流量分别进行差异化处理。
安恒信息新一代智能WAF语义分析+机器学习引擎的组合,不仅能有效防止0day等未知威胁,同时还能大大缩短威胁检测的路径,流量安全检测冗长的规则库逐项检测不再是必选项,从而大大提高了检测效率,提高了防护能力。
本文转自《安恒信息》