联系我们
发布日期:2020/05/20文章来源:盛邦安全
以下文章来源于数说安全 ,作者ssaq
近日,国内权威安全媒体数说安全发布了“中国WEB安全市场全景图”,盛邦安全凭借突出的技术能力和丰富的行业实践,作为Web应用安全扫描典型应用场景厂商,入选此次全景图的Web应用防火墙、Web应用安全扫描、网站数据恢复&网页防篡改三大核心领域。
以下为原文内容,来源于数说安全公众号。
Web安全市场分析
从市场角度来看,过去几年Web安全市场经历了一段长时期的快速增长,其中驱动力主要来源于2个方面:一是进入web2.0时代后,基于Web环境的互联网应用越来越广泛,针对Web应用的攻击已成为企业面临的主要安全问题,客户基于业务/技术层面的刚性需求加大,二是从2015年国务院办公厅开展政府网站普查整改工作开始,针对web应用和网站安全的合规要求有所增强。另外,由于历史原因,大量早期开发的web应用,都存在不同程度的安全问题,对于这些已在线的web应用和网站,也亟待借助外部手段来降低web安全风险。
从技术角度来看,web安全领域其实是由多个产品组合而成的一套整体解决方案,其防护思路可划分为三个阶段,每个阶段对应了不同的安全产品,其中事前阶段以主动自查形式的安全评估为主,主要采用web安全扫描产品,事中阶段以检测和被动防御为主,主要采用Web应用防火墙产品,事后阶段以篡改数据恢复为主,主要采用网站数据恢复产品,而网站监测类产品可以全程对网站进行实时的安全监控和预警,这种以多种产品各司其职、动态联动的方式提高了web安全防护工作的扩展弹性和风险呈现能力,因此也成为了市场上主流的web安全解决方案。
随着云计算的广泛应用和SaaS生态逐渐成熟,web安全产品在原有硬件的基础上,又扩展了虚拟化和SaaS服务形态,许多厂商也相继推出了云WAF、云漏扫、网站云监测等云防御平台和SaaS类安全服务,从近一年内销售许可证类别和数量的变化来看,能够明显感觉到一种趋势,web安全市场正在由硬件产品向软性服务过渡,一体化的web安全防护平台比盒子类的组合方案更灵活,也更适用于客户的新场景,因此,未来随着企业网站和web应用的逐步云化,基于虚拟化和SaaS服务的web安全产品也势必会更受到客户青睐。
产品技术与标准
web安全领域包含了较多角色的产品,每种产品对应了不同的技术标准,在以下7类产品对应的8个标准中(其中Web应用防火墙对应国标/行标2个标准),申请web应用防火墙、web应用安全扫描、网站数据恢复产品的厂商较多,对应的产品形态为传统硬件盒式类,网站云安全防御标准对应的产品形态为虚拟化和SaaS服务类,网站内容安全检查和网页防篡改标准较新,每个标准只有2家厂商申请,而网站安全监测产品目前无厂商申请(2019年有1家)。下面请大家具体了解一下吧!
Web应用防火墙国家标准于2016年发布,目前与行标并行,国标除了在安全功能要求上有所升级以外,与行标主要的不同是增加了性能要求,包括HTTP吞吐量、新建和并发指标,目前以该标准进行检测并获得销售许可证的厂商有29家,去年同期为10家(详情见下文中的厂商列表)。
Web应用防火墙(行标)是2014年发布的公安行业标准,在没有国标之前,各厂商均按照此标准申请销售许可证,目前持证厂商有50家,去年同期为98家(详情见下文中的厂商列表)。
网站云安全防御产品的技术标准较新,是2019年发布的国家标准,该标准是针对网站云安全防护平台的技术评价方法,主要面向以云服务模式提供网站安全防御的综合型平台产品,目前具备销售许可证的厂商有10家,去年同期为6家(详情见下文中的厂商列表)。
Web应用安全扫描产品评价方法采用公安标准,2013年推出,至今没有版本更新,由于年代久远,证书分级机制还是以一级/二级/三级划分(申请过早期防火墙证书的小伙伴应该很熟悉),目前该类产品持证厂商有42家,去年同期为54家(详情见下文中的厂商列表)。
网站内容安全检查产品评价方法采用公安标准,2017年推出,从产品定义上看,属于自检型的合规类产品,主要对自身网站内容(包括网页中的文字、图片、文档、音视频等对象中包含的信息)进行监测,以及时发现违规内容,产品为盒式形态,旁路挂接在网站服务器前端的核心交换机一侧,目前该类产品持证厂商只有2家,去年同期无厂商,因为覆盖面较小,不过多介绍,感兴趣的小伙伴可自行翻阅标准学习。
网站远程监测产品目前无厂商,去年同期有1家,不做详细解说。
网站数据恢复产品的评价方法于2013年推出,国家标准,该类产品即为业内俗称的网页防篡改产品,目前持证厂商有21家,去年同期也为21家(详情见下文中的厂商列表)。
网页防篡改类产品标准属于公安标准,目前市面上只有2家厂商申请,覆盖面较小,不过多赘述,感兴趣的小伙伴可以自行翻阅标准学习。
典型应用场景
Web应用安全扫描——盛邦安全提供
客户关注点
1、安全漏洞增长快速,尤其是当重大漏洞发生时,急需有效的风险排查手段和应急响应措施;
2、面对大量扫描结果,缺少化繁为简的精确检测和分析工具,以便有效避免误报漏报的情况;
3、对于扫描出来的漏洞,缺少可验证漏洞信息,无法及时了解业务和系统存在的深层次安全风险;
4、缺少专职安全人员,容易因操作不当、人员安全意识不足等造成安全隐患和引发安全漏洞;
产品关键特性
1、五合一全面扫描能力,涵盖系统扫描、Web扫描、数据库扫描、基线扫描和弱口令扫描;
2、全面的漏洞库支撑能力,涵盖操作系统、网络设备、安全设备、IOT、工控、虚拟化、移动设备、国产化,多漏洞标准兼容;
3、从“资产识别->漏洞检测->漏洞验证”的扫描链条出发,通过每一个环节的能力的提升,实现扫描能力的整体升级和有效降低误报、漏报率。
4、统一集中管理与分布式部署,便于对网络安全风险的整体把控;
客户关注的主要功能
1、扫描器的规则更新频率,尤其是重大安全漏洞的更新周期;
2、扫描器扫描结果的准确性,包括误报率和漏报率;
3、漏洞的可验证性,可见存在漏洞的证明信息;
4、功能的全面性,能支持如漏洞、基线、数据库、弱口令等各类风险威胁扫描。
市场厂商列表