如何区分误报与合法违规

2020-04-13 13:15:50

Note:本文于1 个月前更新,原帖发布于 2019 12 6 ,作者: Isaac Noumba F5


本文主题: ASM NGINX WAF 安全性


    假设您泡了杯茶,现在想从均匀的混合物中提取单宁酸和咖啡因。您将怎么做?同样,在构建和保护应用时,您将合法违规与误报(具有相似属性的不同物质)混合在了一起,它们都符合 Web 应用防火墙 (WAF) 定义的规则。您将如何进行区分呢?

    在对茶进行脱咖啡因处理之前,让我们回顾一下误报发生的原因以及误报对应用安全造成的威胁。当合法请求被识别为攻击或违规时,就会发生误报。由于 Web 应用非常复杂,因此误报在应用安全领域是一种正常情形。相比触发误报, WAF 漏报(将攻击是做合规流量)将带来更严重的后果。但是对安全专业人员而言,在不影响应用安全的情况下降低误报率仍是一大难题。


高误报率具有以下缺点:

· 阻碍合法流量

· 增加维护负担

· 占用计算机资源


    一种从茶中提取咖啡因的化学方法是使用溶剂来中和咖啡因。同样,从合法违规中分离误报也需要使用某种“溶剂”,以中和 WAF 日志发现的所有合法违规中的误报。
    问题是如何设计所谓的“溶剂”。每个应用各不相同,这就需要您深入了解架构、业务流程以及您配置的 WAF 规则,以便定义每种“溶剂”的必要属性。
    例如,在 Drupal 应用开发中通常使用 “参数名中的方括号”作为“溶剂”,但许多默认的 WAF 规则会将其标记为违规并触发误报。在设计“溶剂”时,还应考虑其他容量和统计因素,例如违规类型、容量和密度。 [1] Christian Folini, https://www.christian-folini.ch

 

在设计“溶剂”时,还应考虑其他容量和统计因素,例如违规类型、容量和密度。通常需要考虑以下三个因素:  

    -  流量:触发违规的流量( HTTP 请求 / 响应)有什么特征(来源、目的地、频率、载荷……)?

    -  违规:触发的违规有什么特征(攻击类型、触发规则)?

    -  应用:正在处理请求的应用有什么特征?   

消除误报后,您就可以更正 WAF 配置并监控新的违规行为,然后重复该过程。

 

工作流程如下所示:

1. 设计“溶剂”。

2. 对网络流量进行采样并记录所有违规行为。

3. 将所有违规导入到“溶剂”中。

4. 使用分析提取或手动提取来消除误报。

5. 使用面向已识别误报的“规则排除”,更正您的 WAF

6. 监控网络流量和应用变化。

7. 重复步骤 1 和步骤 6

 

由于每个应用的“溶剂”属性都各不相同,在下一篇文章中,我们将为最热门的应用提供更多“溶剂”属性的示例。


发布评论 加入社群

发布评论

相关文章

对抗型应用层安全服务

朱杰

2020-12-03 19:03:41 123

内生安全-NGINX WAF(modsecurity)测试

闫海波

2020-02-01 13:10:42 853

安全到底应该怎么建?

闫海波

2019-10-29 14:43:20 631

Login

手机号
验证码
© 2019 F5 Networks, Inc. 版权所有。京ICP备16013763号-1