近日,绿盟科技凭借其Web应用防护系统的防护能力列为国际研究咨询机构Forrester《The Forrester Tech Tide:Zero Trust Threat Prevention,Q42022》报告WAF领域代表厂商。该报告对零信任威胁防护相关的20个技术领域进行了介绍。其中,WAF作为高商业价值&高成熟度的技术领域之一,得到了报告的重点推介。
报告指出,WAF作为防护7层流量的基础技术产品,需求开始向API攻击、客户端攻击、BOT攻击防护转变。WEB应用防护系统,从WEB应用及API出发,基于用户面临的Web漏洞利用、资源滥用、资源访问控制等多方威胁,提供包含DDoS防护、Bot流量管理、WAF、API防护于一体的协同解决方案,升级整体安全架构,保障企业用户的Web应用安全、业务安全、数据安全,为用户提供端到端的全面防护。
绿盟下一代WEB应用防护系统覆盖数字变革下的全新服务提供场景,针对金融、政府、科教文卫等多个行业均有应用。它对外解决身披“合法身份”进行账号接管、黄牛党、薅羊毛这些引发敏感数据泄露、业务过载,以及造成的客户经济、声誉双重受损的问题;对内帮助客户梳理API资产,分类安置,基于不同的API类型,按行为、按上下文逻辑,在合规检测的基础上、解决API控制、防护等多方面问题。
在API安全方面,WEB应用防护系统可以根据业务流量自动学习API资产,生成API列表,也可对API资产进行导入导出,帮助客户识别和梳理API资产;针对重要业务的关键API,还支持OAS合规检测,通过设置API参数的有效范围、长度等,有效防范API资产的注入攻击及溢出攻击风险;针对OWASP API TOP10的攻击类型,我们可提供规则+语义等多维度的检测机制,有效识别和拦截网络中的已知、未知威胁。
在BOT防护方面,在面临黑产的自动化攻击,WEB应用防护系统集成了BOT动态防护的能力。一方面,通过下发JS脚本对非浏览器行为进行识别和处置;另一方面,可以通过令牌认证、页面元素混淆、提交数据混淆等方式进行身份验证及数据混淆。
在云化部署方面,该系统支持K8S+Istio架构,可以针对海量的微服务进行伴生防护,并且可针对每种微服务使用不同的防护策略,同时提供全方位(南北向、东西向)流量的防护能力。
此外,绿盟科技Web应用防护系统凭借领先的技术实力和优异的市场表现,还获得了多个国际咨询机构认可:连续三年获得IDC中国硬件WAF市场占用率第一;连续十年位列Frost&Sullivan大中华区市场前三,连续四年入选Gartner魔力象限,入选Gartner WAF魔力象限亚太版(2018年),并入选Forrester《Now Tech:Bot Management,Q42021》报告、《Now Tech:Web Application Firewalls,Q22022》报告中等收入阵营。