选择适合您的 WAF

选择适合您的WAF 通过减轻威胁保护您的应用程序免受风险 Web应用漏洞利用是安全事件中观察到的最常见的技术之一 Introduction 尽管业界尽了最大努力来支持安全的应用程序开发实践，但基础设施的日益分散导致了复杂的应用程序部署，这些应用程序部署本质上更加难以保护。 安全事件中的应用漏洞利用状况证实了F5实验室从IRIS-X和VerizonDBIR报告中了解到的情况：Web应用程序漏洞利用是安全事件中观察到的最常见技术之一。1这并不奇怪，因为当今的分散多云环境、第三方集成以及基于API和容器的现代分布式架构增加了复杂性，这在本质上使应用程序面临更高的风险。 好消息是，有一些工具可以通过减轻漏洞和防止妥协来帮助您的应用程序免受风险-特别是Web应用程序防火墙（WAF）。WAF提供了针对不安全代码和软件级漏洞的阻止间隙,并检查入口和出口应用流,以识别和阻止恶意流量,同时为客户保留和加速体验。WAF还可以将安全性扩展到API和移动应用程序，这些应用程序已成为现代应用程序的基础和攻击者的目标。2 无论您的应用程序体系结构及其各自的威胁表面如何，都可以以各种形式利用WAF来帮助您的组织抵御攻击，包括由您管理的物理和虚拟设备 安全团队、云交付的自助服务解决方案和基于结果的专用托管服务。为了帮助管理分布式多云应用的复杂性和风险，Web应用和API保护(WAAP)解决方案通过集成且易于操作的WAF、API安全 、机器人防御和DDoS防护技术提供有效的安全性。 2 选择适合的WAFYou 涉及Web应用程序漏洞的事件的平均发现时间为254天3 你需要WAF吗？它取决于几个因素 •您是否拥有面向公众的Web或移动应用程序？ •您是否有不堪重负或紧张的安全团队？ •您是否有合规义务？ •您是否有难以升级的软件堆栈？ •您是否利用第三方API或生态系统集成？ •您是否维护传统和现代Web应用程序？ •你需要零日攻击的喘息空间吗？ •您是否希望通过CI/CD管道集成来简化安全策略和测试？ 如果您对这些问题中的任何一个回答为“是”，请在计划保护您的应用、品牌和业务免受损害、数据泄露和停机时考虑WAF技术。 与任何好的工具一样，有很多选择-不同的解决方案在不同的情况下更好地工作。 选择适合的WAFYou 3 WAF可以降低运营成本并提升商业智能在您的应用程序和API前部署WAF可以节省您的资金，同时更轻松地获取您的业务所需的数据驱动 的见解。由于WAF过滤掉了不需要的流量，因此您可以获得更少嘈杂的日志和减少的操作的好处 分析或事件响应的开销，使安全团队能够专注于风险和业务战略。 临界止动间隙 WAF和WAAP解决方案保护应用程序和 API免受破坏性漏洞和滥用。 成本降低 WAF是一种战略性安全控制，可以降低泄密、数据泄露和停机的风险。 %10-40 高达90％的流量可能来自exploits ，BOTS和恶意自动化 客户端攻击 机器人和欺诈 异常行为 应用程序dos 漏洞和漏洞利用 商业智能 通过保护您的组织免受持续不断的漏洞利用和滥用，您可以获得准确的情报，从而降低风险和成本，并确保为客户提供安全的数字体验。 选择适合的WAFYou4 4 1.安全工具可以增加真正的商业价值吗？ 很难证明在安全解决方案上花钱是合理的。当然，我们都知道我们应该采取强有力的防御措施；我们希望如果受到攻击，我们会受到保护。但是你永远不知道你是否会受到攻击，更不用说如果你这样做了，防火墙或IPS是否能够有效地保护你的业务。这 当涉及针对应用程序漏洞的漏洞利用时，尤其如此，这些漏洞没有得到解决，可能允许网络攻击者接管网站和在线应用程序，窃取资金，收获数据并访问客户帐户。4虽然安全通常被认为是没有可量化投资回报率的必要邪恶，但在新的数字经济中显然不再是这种情况。 在云计算和大数据时代，安全解决方案实际上可以通过降低风险和降低成本来提供业务价值-为您节省资金并提供帮助 您可以优化您的Web应用程序和数字属性。有效的WAF解决方案可以过滤恶意流量，帮助您区分希望利用新应用程序漏洞的机器人和攻击者以及试图进行交易的真实客户。这一点很重要，因为随着越来越多的商业转移到网上，提供安全的数字体验将成为客户和收入增长的工具。5 如果您使用WAF来保护您的应用和API免受各种攻击，您将能够优化您的Web属性，通过确保您只为当前和潜在客户提供服务，从而节省大量成本。这意味着您的安全工具通过帮助您控制成本和保护品牌来提供真正的价值。 此外，您的客户交互数据将进一步完善，从而增强商业智能。当您拥有可靠，可操作的数据时，您将处于更好的位置，可以有效地向真实客户进行营销。 要考虑的选项： 自我管理 自行管理的WAF部署在本地或云环境中，让您可以控制保护您的应用程序 自管理WAF支持任何应用程序架构，从传统的三层Web堆栈到容器，并添加 通过在不限制应用团队创新的情况下阻止新兴威胁来实现真正的商业价值。 云交付(Saas) 即服务WAF使您能够降低成本和运营开销，同时保持高安全性。通过与本地WAF类似的功能集，此选项提供了针对应用程序漏洞的现成保护，从而降低了风险和补救成本。云交付的WAAP包括集成的WAF，API安全，机器人防御和DDoS防御技术，可在云和架构之间提供一致的安全性 。 选择适合的WAFYou5 选择适合的WAFYou5 选择适合的WAFYou6 要考虑的选项： 云交付(Saas) 托管服务 轻松激活SaaSWAF，以实现强大的保护和最小的误报。无需管理硬件 或软件或更新等基础架构开销，非常适合让您的开发团队轻松集成安全性 。云交付的WAAP提供集成的WAF，API安全性，机器人防御和 DDoS防护，以提供一致的安全性在自助服务模型中跨越云和架构。 通过持续的监控和监督，保护您的Web应用和API免受不断变化的威胁 。使用由专家在24x7x365Security中完全设置、部署和维护的服务来扩充 （或替换）您自己的内部资源运营中心（SOC）。 选择适合您的WAF 6 2.您想要管理您的业务-还是管理您的安全解决方案？ 根据2021年F5应用战略状况报告，6IT正在从支持者到推动者再到业务合作伙伴。安全性正在成为快速安全地提供数字体验的竞争优势。然而，长期的网络安全技能差距因以下挑战而加剧 在所有应用程序体系结构中保持一致的安全性-在许多cases,跨托管传统和现代应用程序的多个云提供商。另外，某些 威胁媒介——尤其是针对常见软件包或数字集成的攻击——正在变得司空见惯。问题是，除非你有一个拥有无限资源的安全团队，否则你可能不想把所有的时间都花在管理众多应用程序安全风险的细节上。 您可能想要一个可以正常工作的安全解决方案，这样您就可以专注于其他关键业务目标。 幸运的是，有一些WAF选项可以让你做到这一点。更多好消息-部署云交付的WAAP解决方案提供了必要的技术控制，以防止导致数据泄露的许多威胁，包括OWASPTop10的攻击，凭据填充等自动化威胁，以及逃避传统网络防御的拒绝服务-而不会占用宝贵的安全团队资源。 很明显，部署WAF可以帮助保护您的应用程序，但是不同的部署方法对于不同的组织来说更好。 如果您正在寻找一种可以正常工作的安全解决方案，各种各样的选择提供了这一点。 3.你想超越基本的监管合规吗？ 许多组织对其现有的安全状况感到满意，但由于合规性要求或审核发现，可能会考虑使用WAF技术 。几种不同的入门级WAF当然可以帮助您选中该框并实现最低公分母要求，但这样做的组织路线 经常发现部署这些基本措施是有代价的。具体来说，风险 妥协、罚款和玷污品牌。 基本WAF可能会帮助您通过审核，但它们并没有考虑到运营可管理性，并且通常会导致比治愈更多的麻烦（即误报或更糟糕的是误报）。此外，由于它们没有提供高级WAF的完整功能集，因此尽管您进行了大量投资，但您可能无法从根本上得到更好的保护。 有一种更好的方法。如果您需要WAF来满足合规性要求或从审计角度选中一个框，为什么不获得一个提供更多保护的WAF呢？有效的WAF可以让您满足合规性要求，同时还为您提供适当评估实际风险与感知风险所需的可见性。考虑到2021年的一项研究7发现开源软件的使用增加了259％，并且84％的代码库至少包含一个漏洞，这种风险不是理论上的。 WAF允许您满足合规性要求同时还为您提供所需的额外安全性和可见性。 要考虑的选项： 自行管理或云交付(SaaS) 这些选项可以由您的团队直接在传统或CI/CD管道驱动的环境中实施和管理，也可以通过自助服务WAAP平台交付。无论如何，您都可以获得细粒度的分析，确保您不仅通过审核，而且还可以提高业务的安全状况和竞争力。 托管服务 当然，最不干涉的选择是您不必担心WAF的合规性义务或应用程序和API的安全性。该责任将交给保护您的业务免受攻击的专家团队-为您的整个应用程序组合提供持续的监控和保护。 选择适合的WAFYou7 选择适合的WAFYou7 4.您是否希望在关注客户的同时处理Bot流量？ 即使您已经拥有强大、安全的应用程序开发流程，并且对部署的应用程序的安全性有合理的信心，您也很可能 与另一个问题竞争-很大一部分流量到您的网站或API 可能来自自动化或机器人。虽然这种流量可能看起来合法 乍一看，来自机器人的点击与来自人类的点击不同。不想要的和无利可图的流量会扭曲你的分析，并通过用虚假数据充斥你的系统来扭曲你的市场情报。 此外，攻击者已经采用自动化来扫描您的应用程序的漏洞，攻击业务逻辑（如登录，创建帐户和添加到购物车功能），并造成拒绝服务（DoS）。越来越多的攻击者将恶意脚本直接注入浏览器，以避免集中式安全解决方案的检测。8通过部署高级WAF并集成专门的反机器人、反欺诈和客户端保护技术，您可以专注于为真正的客户提供服务，而不会给安全团队带来负担。 WAF可以减轻恶意机器人、自动化和脚本的影响。 要考虑的选项： 自我管理 部署主动保护，以保护您的应用程序免受机器人的攻击，这些机器人扫描应用程序漏洞，启动拒绝服务攻击，刮擦您的内容，并试图通过暴力攻击破坏客户帐户-在它们损害您的企业声誉之前。 云交付(Saas) 云交付的WAAP提供了专门的技术来减轻自动攻击的机器人和滥用，这些攻击利用业务逻辑，旨在使您的客户能够进行交易，并使您的业务能够收取收入。 托管服务 保护您的Web应用免受基于bot的威胁，同时接收24x7x365监控和支持 。通过识别绕过传统检测方法的恶意bot和自动化，基于结果的服务还可以防止欺诈 账户接管(ATO)、新账户创建和忠诚度滥用、库存囤积等。 选择适合的WAFYou8 选择适合的WAFYou8 选择适合的WAFYou9 要考虑的选项： 自我管理 云交付(Saas) 托管服务 提供针对漏洞利用和滥用的强大保护，同时自动创建特定于每个公开API的 自定义规则。部署在应用程序前面或集成到分布式容器化基础架构中的高级 WAF允许 您可以完全控制API安全性和访问策略。 云交付的WAAP提供动态API发现、自动保护和具有可见性的自适 应安全性 跨架构和一致的架构实施。 通过24x7x365监控您的应用程序及其关联的API，自动获取已发布的 API配置文件并保护您的集成生态系统 由专家组成的安全团队，帮助管理意外风险。 选择适合您的WAF 9 5.你知道你的API，And50 20182019 2020 他们安全吗？ 40 由于通过伙伴关系和整合释放的商业价值， 几乎所有新应用程序都利用API。这缩短了上市时间和允许30 组织快速增强数字能力-但引入了重要的 API的意外风险和机遇滥用。 20 需要在开发过程中的战略点上实施API安全性 pipeline。高级WAF可以保护API免受漏洞利用、滥用、and10 配置错误，并且云交付的WAAP服务可以动态发现 并通过自动化和自适应保护API安全。 0