在WAF(Web Application Firewall)领域说起Imperva,可能就跟1996年春的“瀛海威”一样令人震惊。彼时,该公司在中关村竖起了一个硕大的广告牌,上面清楚的写着:“中国人离信息高速公路有多远——向北1500米”,这个广告牌成为当年国内最受关注的商业事件之一,也成了无数老一辈中国互联网人心中的一声叹息。不同的时空同样的命运,连续三年在魔力象限的评比中荣获最佳,让其发出了:“用Imperva,何须相信任何其他WAF”的豪言。但将这豪言刻上官网的背后,却是在业务层面频传财报不佳被收购的消息,以及在产品层面被多家竞争者超越的尴尬现实,甚至在下一代WAF之争的精彩戏码中,Imperva连个概念都没能拿出来以飨其拥簇者。要知道,国内绝大多数包括银行在内的金融领域企业在部署WAF时,Imperva的产品多在首选。
近6年半之前的北京时间2011年11月9日,Imperva陆纽交所当日开盘大涨,截至23:04涨幅高达31.89%,报23.74美元,市值5.2亿。2015年6月14日,国内某知名媒体还发表了题为《数据安全公司Imperva异军突起 誓言击败IBM》的报道。但从去年8月开始,国外媒体却频频传出Imperva业绩不佳寻求卖身的新闻报道,从头顶光环风光无限意气奋发到频传卖身,Imperva到底怎么啦?
Imperva WAF产品宣传过度?
2014年5月网上流传的一份《华为WAF安全网关产品售前专家培训》,以同行的角度明确的指出了Imperva WAF产品多达11项劣势。每一条都精准的把握了Impreva WAF产品对中国用户而言不得不担忧的顾虑。
2015年8月,碳基体在《商用WAF-Imperva SecureSphere分析》中指出,该产品的安全功能缺失或存在质疑。其中,社工、社工库、钓鱼等WAF基础安全功能的缺失,主要表现在以下几个方面:逻辑漏洞——针对业务流程的攻击,非常规访问流程明确WAF不能做的,是否有可替代方案,是否单独成反欺诈产品?是否提供接口调用其检测结果?被攻陷后(接入安全产品前或安全产品未能防住的攻击)隐藏的后门,造成的破坏是否能被发现?显然,Imperva SecureSphere没能给出肯定的答案。
而质疑则集中在该产品对未知攻击的捕获、识别、评估上是否有宣传的那么牛上,主要集中在以下三个方面:1、捕获异常的能力:模型的准确率、召回率。2、识别异常的能力:是哪种0-day/未公开漏洞。3、评估异常的能力,影响了多少个系统?造成多大的危害?
这些问题的答案碳基体没有明确给出,但2015年10月来自民间的技术大神在对Imperva的WAF主力产品Incapsula发起抵御xss攻击能力的实验测试中,Imperva Incapsula被绕过,详情如下:
2016年10月,勾陈安全实验室对WAF的测试中发现,Imperva在命令注入环节存在明显的疏漏。常见系统命令,不能在默认策略下准确识别。这一点让测试人员不能理解,明明特征库里是有这一类特征的,可为何检出率如此低?
更要命的是在NSS Lab对WAF产品对比评级中发现,性能并不占优的Imperva SecureSphere却以3至7倍的溢价雄踞售价榜榜首。对此,Imperva的回应是质疑NSS Lab的测试几乎不涉及行业公认的安全标准,言外之意是NSS Lab太业余。
2017年6月,国内媒体发布的Imperva SecureSphere和长亭SafeLine对比测试结果显示:WAF基准定律测试中,Imperva的SecureSphere误报数量是长亭雷池(SafeLine)的8倍;产品功能比较测试中,Imperva SecureSphere存在基础检测能力弱对用户学习能力以依赖高的弊端,和默认规则集仅需要101个字符即可绕过的性能缺陷;本地化程度不高的Imperva SecureSphere在用户体验环节更糟糕的一塌糊涂。
下一代WAF之争Imperva出局?
究其根源,Imperva的WAF产品还停留以规则防御为主的老旧模式上,在Web安全形势异常严峻的当下,市场急需WAF产品基于AI和MI层面的技术创新,改被动防御为主动拦截,赋予WAF产品自适应、自学习、自进化的能力。这点,业内公认的WAF评测机构Gartner看的很明白,它在2016年发布的魔力象限报告中直言:“Enterprises Need a Next-Generation WAF, but the Vendors Are Missing”(市场需要下一代WAF)。
事实上早在2014年,Imperva列出了WAF应具备的十大特性:充分了解Web应用、领先黑客一步、逃逸拦截技术(Thwart Evasion Techniques)、防止自动攻击和僵尸网络、支持本地和云端部署、自动化和规模化运营……但在今看来显然Imperva自己的WAF产品并不完全具备这些特性。
业内普遍认为,下一代 WAF 要从下面三个维度形成突破,操作上简单易用、核心上聪明智能、功能上业务导向。其中,聪明智能指产品拥有更加智能的攻击检测判断能力,主要方向集中在语义分析技术、机器学习技术和自学习技术方面;Web业务安全现状决定了,WAF产品要具备防刷单、撞库、API Abuse、bot detection and management 等功能。这就要求 WAF 必须能与当前业务模型进行结合。不仅要理解当前业务模型,还要能做出智能的判断和动作;而简单易用是对WAF产品用户体验度的一个综合要求。WAF用户只有不断使用、不断调整才能达到最佳效果,因此如果WAF产品本身界面复杂,使用门槛高,就很难解决,这点在Imperva等进入中国的外国安全企业提供的WAF产品上表现的尤为突出。
遗憾的是在下一代WAF之争打响竞争如火如荼的阶段,业内看到了国外的Fortinet、Denyall、Signal Science以及中国本土的长亭科技,但Imperva好像还停留在了魔力象限报告的褒奖上,丝毫未在意其已经在下一代WAF产品的竞争中已然落后。
频传卖身的Imperva将成“暗雷”?
2016年8月,国内首家定位于企业级信息安全市场的专业新媒体“安全牛”援引国外媒体的报道,称数据中心安全公司Imperva财报令人失望,激进的投资方施压迫其寻找买家。思科系统、IBM、雷神或赛门铁克都是这家以WAF、抗DDoS及数据库安全为主营业务的以色列安全公司的潜在买家,看到这个意向收购名单是不是会倒吸一口凉气?
IBM、思科是牢牢把控中国互联网基础建设的“八大金刚”成员,美国著名军火商雷神赫然在列,则彻底让心系国家安全的有识之士内心咯噔一下。要知道雷神可是世界第五大国防合约商,在斯诺登爆出美国监控全世界之后,服务于中情局、五角大楼之类的机构,光想想就令人不寒而栗了好吗。
在没有网络安全就没有国家安全的严峻形势下,Imperva这家在国内拥有诸多敏感客户的安全公司潜在巨大运营风险意味着什么?相信这是国家相关政府机构、部门及广大使用Imperva产品的企业客户需要重新以及慎重评估的,明枪易躲暗雷难防,这显然不是谁踩谁倒霉的逻辑,而是谁都不能踩。
评论 {{userinfo.comments}}
{{child.content}}
{{question.question}}
提交