securesphere waf presentation4-10应用程序防火墙.pptxVIP

;议程;Imperva SecureSphere行业中最好的Web应用防火墙;CONFIDENTIAL - Imperva;82% 的Web应用存在安全漏洞1 75% 的互联网攻击是针对Web应用的2 攻击手段变得更加复杂多变 利用Google搜索引擎来进行漏洞扫描发现和攻击已经屡见不鲜 各种应用层的攻击不断飙升: 七层DDoS, CSRF, botnets,大规模SQL注入;大多数的Web应用存在着严重的安全漏洞 URGENT vulnerabilities: 30% CRITICAL vulnerabilities: 71% HIGH vulnerabilities: 64% 测试和修补的过程不能够没有完全解决问题 在修补完成后进行重新评估，很多严重的漏洞仍然存在;PCI DSS #6.6 中关于Web应用安全保护的实践方法中明确建议使用WAF;;Signatures can detect Cross Site Scripting (XSS) patterns like “script” and “” BUT They cannot always see where the string occurred in the application (in the body, in a form field, in the header) They do not decode UTF or URL encoded content They cannot compare requests to expected user behavior So, XSS patterns must match exactly; easy for hackers to evade;How Will You Protect Your Critical Apps?;评估一下安全状态;Web应用安全;; Web Worm Detection ;精准的安全策略需要充分对应用和协议的理解: 每一个 URL, 目录,参数, 方法 和 cookie XML, SOAP, Web服务 动态内容, JavaScript 预期应用的使用行为 Cookie可以被修改吗? 特殊字符是否可以被使用? 表单选项是否是必须的还是可选的? 精准的保护需要可以自动的识别应用程序的变化，而不是通过手工干预;;应用程序的动态建模（Dynamically Profile）;动态建模的快速收敛;应用用户跟踪;;;ThreatRadar: 取证信息; Network ;;跨站脚本攻击示例;IP 地域安全策略和法规遵从;ThreatRadar防欺诈服务;集中化管理欺诈和网页安全;最新针对自动化攻击的安全策略;;Imperva Application Defense Center (ADC) ;业界领先的Web应用安全方案 ;Secure Web Development 安全Web应用开发;;虚拟补丁缩短空窗期;基于扫描的结果设置 SecureSphere 的安全策略 监控漏洞利用攻击 按时修复和测试漏洞;使用虚拟补丁即时修复;确保应用的完整性;企业级管理和报告;统一、可扩展管理体系;实时控制面板;提供安全事件的完整视图;图形化的安全报告;数据泄露报告;部署和设备;Imperva SecureSphereTypical Full Deployment Scenario;Web Application Firewall;;;;可扩展的集中化管理;竞争力分析;竞争力分析;- CONFIDENTIAL -;- CONFIDENTIAL -;Imperva公司数据安全国内部分案例(1);Imperva公司数据安全国内部分案例（2）;