业务安全通用解决方案——WAF数据风控

“大家安全不要阻碍业务发展”、“这个安全策略下降用户体验，影响转化率”——这是甲方企业安所有门常常听到合做团队抱怨。但安全从业者加入公司的初衷绝对不是“阻碍业务发展”，那么安全解决方案可否成为“业务促进者”，而非“业务阻碍者”呢？答案是确定。

安全和业务接耦，对客户透明的安全产品，如防火墙、IDS、WAF等就不多遭受到相似的吐槽。

但回归到互联网业务安全场景，如今业务安全防控常见场景每每以下：

场景一：

安全：“登录流量报警了，有人在刷库" 

业务：“我看下，这是个登陆入口是给哪一个业务开放的，已经好久没人维护过了”

BOSS：“有什么方法能够快速止血吗？”​ 

安全、业务：“这个小入口以前都没有接入过风控系统，只能帐号回捞过后处置了” 

BOSS：……

场景二： 

安全：“这个安全策略须要大家把用户登陆的IP发给我。”业务开发改造N天上线。 

安全：“这里有一部分IP不对啊，是否是取的网关的内网IP。” 

业务开发：…… 

场景三： 

业务开发：“安全让咱们纪录user-agent、浏览记录，如今业务的响应时间不少都消耗在打日志上了。作这些有业务价值吗？” 

安全：……

这些场景核心问题都在于业务安全解决方案一般嵌入业务逻辑中。那互联网业务安全有没有如同防火墙同样通用的解决方案呢？要解答这个问题咱们先探究业务安全的“通用安全风险”。

0x01 业务安全通用安全风险

要找到业务安全的通用风险，首先得定义什么状态才算业务“安全”。当安全工程师被客户问到“这个产品是否安全？”，他每每会考虑各类安全细节问题，业务类的是否会被撞库、是否存在信息泄漏，系统类的是否有注入、水平权限控制等问题。但这些安全细节问题，每每并不是问题“是否安全”的答案。

客户所须要的“安全”是一个平衡。没有绝对安全的系统，再健壮的系统也有可能由于安全问题而遭受资损，同时为系统提升安全性也并不是零成本。 因此客户须要的“安全”是安全成本和安全资损的平衡。为一个DMZ区的博客服务器专门配备一个安全工程师不是客户须要的“安全”。节约安全成本却致使大规模的撞库事件也不是客户但愿的“安全”。

回归到业务安全场景，会发现一个共同特征。只有达到必定规模，批量利用，业务安全漏洞才会形成业务影响。一次Web攻击可能就写入webshell致使机器沦陷，但有限次的撞库、垃圾注册、垃圾消息、刷单形成的威胁是企业能够承受的。而攻击者要达到大规模，批量性的目的，都要经过机器来自动化实现。能够得出结论——大规模、批量性的机器风险是业务安全领域面临的通用风险。

0x02 通用解决方案需求分析

上节已经得出大规模、批量性的机器风险是业务安全领域面临的最大痛点，那么要实现通用的“解决机器风险方案”有哪些需求。针对机器风险业界防护手段已经很成熟——针对人类知识（验证码）、针对人类固有特征（行为识别）、消耗机器成本（POW）等。但业界仍无整合这些防护手段提供通用普适的业务安全解决方案，问题主要有两点——没法作到业务透明和快速部署。

业务透明：

现有的人机识别方案，客户须要前端、后端的改造进行接入，甚至于业务须要配合安全方案进行业务逻辑的调整。安全侵入业务主逻辑，有时候安全甚至成为业务的负担。

快速部署：

机器风险防护手段过于复杂，没法快速部署，进而致使业务系统没法经过配置简单的实现全站部署防控。而业务系统每每有无数的小流量入口，这些未进行部署的入口每每成为漏洞。

0x03 通用解决方案具体实现

如何实现“业务透明”、“快速部署”的通用机器风险解决方案呢？核心是可以以中间人的方式介入浏览器和业务服务器之间，实现以下需求：

1. 在页面注入相应的Javascript脚本；
2. Javascript脚本采集数据并hook用户全部触发提交操做的事件，将数据在用户发起请求时注入请求中；
3. 可以代理转发浏览器与业务服务器的请求，并解析请求内容；

如今中间人攻击工具(MITMf)已经至关成熟，而逆向应用中间人攻击工具的思路彷佛能够达成这些需求。在业务服务器与浏览器之间部署WAF服务，用户在浏览网站时由WAF注入前端须要数据采集的JS，同时JS在前端hook用户的请求事件,用户发起请求时将采集的风险识别数据注入，请求再次到达反向代理时，由反向代理提取相应风险识别数据提交风控大脑进行综合决策判断是阻断用户请求仍是发起二次校验挑战。

WAF数据风控服务在业务服务器与浏览器之间的交互流程以下图：

关键的业务风险防控采用三层漏斗模型进行层层过滤，达到透明阻断业务风险的目标。这三层漏斗模型分别是：阻断机器从而杜绝攻击者批量攻击的风险，异常流量分析识别部分漏网的机器行为及行为轨迹异常的不良用户，征信模型基于对于用户的信誉评分拒毫不良用户，最终达到将服务推送给目标用户的目的。

阻断机器：

1. 针对人类固有特征进行机器识别，基于JS实现的可信前端采集用户行为数据，经过线上实时模型来发现机器行为进行阻断；
2. 消耗机器攻击成本从而让攻击得不偿失，基于POW(proof of work)原理，经过服务端下发问题消耗前端的计算量。对于有足够空余CPU资源的普通用户少许的计算并不消耗成本，而攻击者须要达到批量攻击的效果则会占用极大的计算资源，让攻击得不偿失。

流量分析：

经过机器学习对网络流量中的异常流量进行识别，从而拦截一些行为轨迹异常的不良用户，常见思路以下：

1. 浏览轨迹,好比在互联网金融场景，正经常使用户会在注册后对比多款理财产品最后进行下单，而“羊毛党”每每在群里获得活动信息就会直奔活动页面薅羊毛；
2. URL聚类，在网络购物场景，正经常使用户购买某款商品以前通常会在同类目商品中进行选择；
3. 浏览频率，在UGC网站上，用户浏览和评论的通常是有必定时间间隔，频繁秒回的用户极有多是在发垃圾消息。

征信模型：

伴随互联网诞生有一句经典的论断“在互联网上，没人知道你是一条狗”。然而业务安全场景，识别用户身份、评估用户信誉是业务风控的重要依据。
借鉴现实社会成熟的征信系统，且如今互联网已是一个成熟的生态闭环。经过设备指纹标示用户，基于用户在互联网的活动记录进行信誉评分，并辅以失信用户名单，从而对bypass前两层的高风险用户进行拦截。

0x04 WAF数据风控服务的价值

回归到文章开始的问题，业务安全防控如何成为“业务促进者”，WAF数据风控服务可否达成这个目标？答案是确定的。

WAF数据风控服务有两大优点，而这两大优点在保障企业业务安全同时也达到了促进业务发展提速的目标。

第一，业务透明，业务开发资源能够专一的投入在业务代码上，下降企业达成安全需求的成本。

第二，快速部署，WAF数据风控服务能够快速进行全站部署，快速实现对网站业务风险的保障。如同安全带的发明保障驾驶员的安全性同时进而让汽车可以更安全的以更高的速度行驶，对全站进行业务风险防控后也可让企业真正把业务推送给目标用户，从而让企业的业务发展提速。