亞信安全信舷WAF助力金融科技安全能力提升

（CWW）在金融科技(FinTech)全面推動(dòng)下，新型技術(shù)與數(shù)字業(yè)務(wù)擴(kuò)展延伸出了很多新的安全問題，同時(shí)也受到了更加嚴(yán)格的監(jiān)管合規(guī)要求。在此背景下，國內(nèi)某銀行用戶部署亞信安全的信舷Web應(yīng)用防火墻(AISWAF)，進(jìn)一步夯實(shí)了防范個(gè)人信息泄露以及賬戶資金竊取的網(wǎng)絡(luò)安全風(fēng)控能力，樹立了金融數(shù)據(jù)中心安全合規(guī)管理的最佳實(shí)踐案例。

傳統(tǒng)防御體系正被打破Web安全進(jìn)入全新階段

金融行業(yè)一直是IT高度發(fā)展的一個(gè)領(lǐng)域，同時(shí)也是數(shù)據(jù)資產(chǎn)高度集中的一個(gè)行業(yè)。在這種背景下，金融行業(yè)對(duì)于安全的重視程度普遍較高，安全技術(shù)和管理能力也都更勝一籌。

作為全國12家股份制銀行中排名前列的銀行，用戶一直采用某品牌的傳統(tǒng)WAF產(chǎn)品保障核心業(yè)務(wù)的安全運(yùn)行，如信用卡商城，信用卡App等關(guān)鍵業(yè)務(wù)。然而，傳統(tǒng)WAF技術(shù)存在較大的局限性，已不再適應(yīng)當(dāng)下復(fù)雜的網(wǎng)絡(luò)攻擊形勢，因此WAF技術(shù)的革新升級(jí)成為必然。為此，用戶決定在災(zāi)備數(shù)據(jù)中心部署能力更強(qiáng)的新一代WAF產(chǎn)品，并邀請(qǐng)了國內(nèi)多家WAF廠商，從以下幾個(gè)方面進(jìn)行測試評(píng)估：

能夠自動(dòng)精準(zhǔn)的學(xué)習(xí)訪問流量，構(gòu)建業(yè)務(wù)訪問行為的基準(zhǔn)模型，并且可以隨著業(yè)務(wù)的變化動(dòng)態(tài)的調(diào)整所學(xué)習(xí)到的基線模型，既可以讓安全人員準(zhǔn)確了解到業(yè)務(wù)訪問的實(shí)際情況，又降低人工調(diào)整配置的復(fù)雜度，提升運(yùn)維效率；

準(zhǔn)確的攻擊識(shí)別，降低誤報(bào)率和漏報(bào)率，進(jìn)一步降低安全風(fēng)險(xiǎn)；

可以按需基于不同的判斷條件靈活配置自定義策略，滿足業(yè)務(wù)防護(hù)更細(xì)粒度的防護(hù)要求；

在金融科技背景下，產(chǎn)品對(duì)于新型的攻擊行為做到有效識(shí)別和精準(zhǔn)防護(hù)，如基于API相關(guān)的攻擊；

安全攻擊事件的排查需要完善的可視化視圖來追蹤溯源；

產(chǎn)品的部署不要改動(dòng)整網(wǎng)架構(gòu)，需要支持安全部門和網(wǎng)絡(luò)部門跨部門合作，實(shí)現(xiàn)無縫對(duì)接，降低溝通成本；

實(shí)現(xiàn)Web應(yīng)用安全一體化防御守住用戶的“錢袋子”

保住用戶的錢袋子、嚴(yán)防個(gè)人身份信息泄露是金融企業(yè)的天職。經(jīng)過前期論證以及后續(xù)的PoC驗(yàn)證，亞信安全WAF在防護(hù)功能的完整性上以及運(yùn)維成本方面都滿足了用戶需求，并最終被部署在用戶的災(zāi)備數(shù)據(jù)中心，實(shí)現(xiàn)了Web應(yīng)用安全防護(hù)的一體化。

與傳統(tǒng)的WAF產(chǎn)品“手工打理”不同，亞信安全通過動(dòng)態(tài)構(gòu)建客戶Web應(yīng)用的合法訪問特征，采用動(dòng)態(tài)建模技術(shù)創(chuàng)建合法用戶對(duì)Web和Web服務(wù)應(yīng)用的行為的安全模型，克服了其它應(yīng)用防火墻運(yùn)維難題，全面提升了用戶數(shù)據(jù)中心的安全能力：

采用了動(dòng)態(tài)建模技術(shù)，通過自動(dòng)檢測分析實(shí)時(shí)數(shù)據(jù)通信，然后應(yīng)用復(fù)雜的學(xué)習(xí)算法來創(chuàng)建包含訪問站點(diǎn)的所有合法HTTP請(qǐng)求的“業(yè)務(wù)模型”，無需人工干預(yù)，還可根據(jù)Web應(yīng)用的變化進(jìn)行自適應(yīng)調(diào)整，有效偵測零日漏洞、梳理應(yīng)用、API資產(chǎn)；

對(duì)灰色流量進(jìn)行協(xié)議校驗(yàn)、特征簽名、應(yīng)用模型、威脅情報(bào)等多維度并行分析，精準(zhǔn)識(shí)別惡意攻擊，降低誤報(bào)和漏報(bào)率；

亞信安全WAF提供開箱即用的安全策略，特征碼項(xiàng)目近萬個(gè)，默認(rèn)策略近五百條，定期的特征庫及其安全策略更新，通過一鍵更新，保障系統(tǒng)有效識(shí)別并阻擋最新的Web攻擊；

亞信安全WAF允許安全管理員根據(jù)企業(yè)業(yè)務(wù)及安全策略需求靈活的定制策略，提供了超過40+匹配條件，實(shí)現(xiàn)強(qiáng)大的自定義安全能力，滿足用戶的業(yè)務(wù)場景防護(hù)需求；

強(qiáng)大而詳細(xì)的告警、事件、日志記錄，能夠?qū)ο鄳?yīng)的攻擊及掃描進(jìn)行實(shí)時(shí)的跟蹤和分析，提供安全審核依據(jù)采用透明橋接方式部署，能夠?qū)崟r(shí)阻斷非法流量，具有很小的處理時(shí)延，及時(shí)保護(hù)了Web應(yīng)用系統(tǒng)；

采用透明橋接方式部署，無需改變現(xiàn)有架構(gòu)即可保護(hù)Web應(yīng)用系統(tǒng)安全。

形成動(dòng)態(tài)防護(hù)機(jī)制全面提升運(yùn)維效率

對(duì)于用戶而言，通過亞信安全的信舷Web應(yīng)用防火墻(AISWAF)既可以應(yīng)對(duì)已知攻擊威脅，同時(shí)也有多種防護(hù)手段應(yīng)對(duì)未知威脅攻擊，以極低的資源消耗就能防止人機(jī)攻擊行為、保障多類型的應(yīng)用安全，讓企業(yè)的安全運(yùn)維成本大幅降低。

該銀行的網(wǎng)絡(luò)安全工程師表示：“項(xiàng)目的成功部署，全面提升了Web安全及防數(shù)據(jù)泄露能力，滿足安全合規(guī)的監(jiān)管要求。同時(shí)，利用亞信安全WAF的動(dòng)態(tài)應(yīng)用建模，時(shí)刻感知應(yīng)用的變化以及安全基線，將安全管理可視化，全面提升了跨部門協(xié)作和溝通效率?！?/p>

關(guān)鍵詞： 通信世界網(wǎng) 亞信安全 金融科技安全 信舷WAF 數(shù)據(jù)中心