打破被动防御窘境！瑞数信息发布全球首款双引擎动态WAF

【51CTO.com原创稿件】2018年10月16日，瑞数信息在北京全新发布全球第一款双引擎动态WAF——瑞数灵动River Safeplus，该款产品延续了瑞数信息动态安全的产品思路，采用瑞数独有的“动态安全引擎”+“AI智能威胁检测引擎”，打破了传统WAF被动防护的窘境! 瑞数信息CSO马蔚彦在发布会现场表示，该款动态WAF内建智能模型，不依赖于现有规则，即可精确识别Bots和各类攻击，还可以隐藏漏洞，为Web安全提供主动式的安全防护。

防御更主动，响应更快更灵活

马蔚彦以零日攻击为例，随着黑产攻击手段越来越 工具 化之后，零日漏洞的门槛越来越低。对于零日攻击，传统WAF产品事前无法设定规则和防护策略，因此也不能展开有效防御，需要零日漏洞公布后有了补丁或者升级规则后，才能进行防御，安全防护滞后并且被动。而瑞数的灵动River Safeplus则完全不同，首先它的动态安全引擎不基于规则也不依赖于提取特征，一旦零日攻击开始探测和入侵，那么瑞数River Safeplus就会首先识别出这是一个工具，只要被判断出行为异常之后，这个攻击程序就无法执行。

瑞数信息副总裁赵晔宇举例补充道，在2017年，有一个零日漏洞叫Struts2-045，第一波黑客攻击之后，国内权威机构公布了这个零日漏洞，要求打补丁，但是打了补丁之后很多系统依然被攻击了。经过分析发现，原来黑客利用的是Struts2-032漏洞，它也是零日漏洞家族中的一员，很多系统虽然防住了Struts2-045，但是却在Struts2-032面前败下阵来。这说明，漏洞层出不穷，如果只依靠规则的更新，依靠打补丁去防御攻击，难免百密一疏，只有不依靠规则的主动防护才能保证系统的安全，才能很大程度上让安全运营人员放心。

瑞数的主动安全防御在防应用DDOS攻击方面也依然有效。马蔚彦表示，传统WAF对于DDOS攻击的防御，主要是利用信誉库、恶意的IP黑名单，或者限制访问频率等方式。但是这在强大的多源低频DDOS攻击面前依然更多处于被动无效，据某知名操作系统厂商说，他们每天会遭受1000万个不同IP地址的攻击，如果仅仅通过升级IP地址库信誉库，显然从工作量和防御效果上看都是不佳的。此外对于间断性的、低速的攻击方式，传统WAF技术更难识别，也就更谈不上难防了。而瑞数的灵动River Safeplus提供的是主动防御能力，不仅防护效果非常好，而且轻量级无规则，部署非常容易，运维起来成本低、效率高，能够给客户带来更安全的防护保障。

马蔚彦总结道，瑞数双引擎动态WAF(灵动River Safeplus)的功能远不止于传统WAF，而是在传统WAF基础上的安全防护再升级。双引擎通过无规则和轻规则的更新和调优，即可阻拦扫描，隐藏网页目录结构，阻拦零日漏洞探测行为，快速识别出自动化工具行为并进行拦截，以极低的资源消耗防止自动化威胁，保障网站安全。

为什么要挤进WAF红海?

赵晔宇透露，目前动态安全已经被应用于中国最大的客户和中国最复杂的IT系统中，电信运营商、金融、政府、能源、教育都可以看到瑞数信息的身影。在2017年，瑞数信息还获得了工信部颁发的电信行业的网络安全试点示范项目。他总结道，瑞数信息的动态安全技术本身已经得到了市场的充分验证，获得了客户的广泛认可。

“据不完全统计，中国市场上目前有几百种WAF产品，可以算作是一个红海市场，竞争非常激烈，几乎所有的大中型客户都部署了WAF产品，但实际应用中，用户很多安全问题还是没有被解决。这就是瑞数信息发布双引擎动态WAF——瑞数灵动River Safeplus的初衷。” 他告诉记者，过去瑞数信息主要为大中型客户提供安全服务，但是现在瑞数信息希望能够帮助中小企业、中小机构提供更好的安全防护。“安全，简单，高回报，这就是我们新一代双引擎动态WAF给客户带来的最大价值。”

马蔚彦补充道，这款新品之所以更面向中小企业客户，是因为中小企业更希望通过一体化产品来解决安全问题，运维人员也希望简单好用好运维。而瑞数安全提供的动态安全能力和主动防御，可以帮助中小企业快速提升安全水平，减少运维成本，提升效率。在产品应用方面，她介绍到，瑞数Safeplus目前已经针对中小企业提供服务，部署方便、简单。而且由于云端应用越来越多，瑞数Safeplus也会支持云端环境。记者了解到，瑞数还将在API保护层面提供防御能力。另外，为了灵活使用，瑞数还提供了一种可编程的安全技术。

当记者问及对新兴技术的运用时，马蔚彦表示人工智能是一个不断研究、深入、训练、学习的过程，所以未来瑞数信息的双引擎动态WAF，也会加大这方面的投入和研发，逐步向市场推出新品。目前瑞数新品中的AI智能威胁检测引擎除了采集第三方的漏洞库和攻击样本数据之外，主要来自产品应用时采集的用户环境和行为数据。例如在生成一个动态令牌时，同时会有一个小的动态验证小程序，这个程序就随着带到客户端，检测客户端环境是否有异常的行为，那么这些客户端的设备信息、指纹信息等等成为丰富的数据源来提供机器学习和行为分析，这些数据在交互过程中动态获取，而动态引擎又先行过滤了异常的流量，使得采集数据过滤了噪声，更加精准，帮助提升了机器学习的准确性。

【51CTO原创稿件，合作站点转载请注明原文作者和出处为51CTO.com】

【责任编辑：周雪 TEL：（010）68476606】