近日,长亭科技雷池(SafeLine)产品通过了互联网安全研究中心测试,获得WEB应用防火墙OWASP认证证书!OWASP所推出的“OWASP Web应用防火墙认证”,是目前全球最全面的针对Web应用防火墙的认证,覆盖包括检测能力、防御能力、性能、自身安全、用户习惯等多个方面的WAF产品各个方面的综合测试,被视为WEB应用安全领域的权威参考。
从雷池在测评中的表现来看,由于使用了国际最前沿的人工智能语义分析技术,对威胁的拦截和识别不再依赖于规则维护,整体策略上相较传统WAF产品更加灵活,在拦截策略灵活性方面得分表现优于诸多传统WAF,测试稳定性和可靠性各项指标均达到了100%。同时,雷池(SafeLine)在运行速度测试中的表现也遥遥领先。其中,99%的请求在1ms内即可完成,90%的请求只需要0.1ms,这也意味着该产品对企业的正常业务可以做到完全无影响,对于此前因部署WAF而导致用户体验变差的企业来说这消息不啻于仙音。
如今,API 是应用程序驱动世界创新的基本要素。从银行、零售、运输到物联网、自动驾驶汽车和智能城市,API 是移动应用、SaaS 和 Web 应用程序的重要组成部分。随着企业业务的持续演进和攻防对抗的不断变化,API越来越成为攻击者的目标。如果没有安全的 API,企业快速创新就不可能实现。为此,OWASP组织针对潜在的API安全风险,发布了最新2023年OWASP API Security TOP 10,帮助企业梳理API安全问题。
雷池基于自身对客户需求的敏锐洞察与对API安全的早期投入,在原有WAF能力基础上增加了API安全的原子能力,推出了雷池WAF+产品形态。在web安全能力上,兼容了对2023 OWASP API Security Top 10的安全防护,并在此基础上帮助企业解决三个核心问题:API资产及传输数据的全面可见性、API访问是否在预期内和业务API是否存在脆弱点安全风险,帮助企业从容应对API所带来的安全挑战。
雷池WAF+产品,不仅仅是简单的API功能堆叠,而是利用云原生和微服务架构特性,灵活根据客户业务防护要求,对应增加API安全的各个原子能力,实现安全防护的“千人千面”,最终形成“1+1>2”的安全防护效果。例如:雷池WAF+“工作量证明 原子能力”,可丰富雷池的安全处置手段,可对传统低危、中危请求源头进行有效反制,增加其攻击成本。有效解决传统WAF对不构成阻断的低危、中危攻击对企业业务的早期嗅探,缺乏反制手段的痛点。例如:雷池WAF+“资产可见 原子能力”,可将雷池WAF的管控粒度由站点层级下钻到API层级,可对特定API请求进行阻断,而不影响同一业务下其他API请求访问。可解决企业特有API只允许某些用户群体访问的业务安全需求。同时,雷池WAF+可在任何地方、任何云中根据业务安全需要,快速灵活扩展多种原子能力。通过雷池WAF与API安全原子能力的有效组合,衍生了WAF风险管控的链条,帮助客户打造针对Web应用的全链路安全体系,可有效应对日益变化的Web应用安全风险和业务安全需求。
本次OWASP认证,再一次证明了雷池(SafeLine)的稳定性、安全性和可信性,足以为客户提供包含API安全在内的更高层次的威胁防护。未来,长亭雷池将一如既往深耕Web安全领域,坚持技术创新,用优质的产品和服务,全方位保护企业Web数据、客户和业务。
附属参考资料——OWASP全球影响力:
1、OWASP被视为web应用安全领域的权威参考。2009年下列发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP。美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则。
2、国际信用卡数据安全技术PCI标准更将其列为必要组件;
3、为美国国防信息系统局(DISA)应用安全和开发清单参考;
4、为欧洲网络与信息安全局(ENISA) 云计算风险评估参考;
5、为美国联邦首席信息官(CIO)理事会,联邦部门和机构使用社会媒体的安全指南;
6、为美国国家安全局/中央安全局, 可管理的网络计划提供参考;
7、为英国GovCERTUK提供SQL注入参考;
8、为欧洲网络与信息安全局(ENISA)云计算风险评估提供参考。
