漏洞被發現到遭受攻擊利用之間的時間窗口近年來持續壓縮,而前沿AI模型的出現更加速了這一趨勢。為應對這一變化,F5本周宣布擴展其應用交付與安全平台的Web應用及API防護(WAAP)能力,新功能涵蓋三個核心領域。
AI驅動的Web應用防火牆(WAF)
該功能部署於F5分布式雲服務中,引入神經網路模型對每一條請求進行實時風險評分,徹底摒棄傳統的特徵簽名匹配機制,實現更強的行為檢測能力。
API安全本地版
面向物理隔離及受監管環境推出的本地化部署方案,提供無需依賴雲端的API發現、可視化與安全防護能力,滿足高合規要求場景下的使用需求。
虛擬補丁
整合BIG-IP Advanced WAF與F5分布式雲Web應用掃描能力,在漏洞修復工作推進的同時,於應用交付層提供實時運行時防護。
目前,AI驅動的WAF已通過分布式雲平台提供服務。F5表示,正積極推進將同等能力引入BIG-IP、Nginx Plus及Nginx開源版本,以滿足本地部署或受限網路環境用戶的需求。
F5戰略工程副總裁Joel Moses在接受Network World採訪時表示:"如果攻擊者是機器,能在數秒內構造出全新的攻擊序列,那麼你的響應手段就不能依賴簽名庫,必須建立在對行為的檢測與分析之上。"
神經網路模型賦能行為檢測
F5分布式雲中的AI驅動WAF將現有WAF功能與神經網路行為特徵分析模型相融合。系統不再將流量與已知攻擊簽名庫進行比對,而是基於多維信號為每條請求生成數值化風險評分,為安全團隊提供可操作的具體上下文資訊,而非簡單的攔截或放行二元判斷。
不依賴簽名的檢測理念在安全最佳實踐領域已倡導逾十年,各廠商也長期推廣啟發式檢測技術。Moses表示,F5的方案在規模與能力上均有別於早期啟發式檢測——早期啟發式方法的採樣窗口較小,而神經網路模型能夠在更大的採樣窗口內處理流量,並通過距離異常檢測追蹤更多路徑,對尚無已知簽名的攻擊模式更為有效。
該模型由F5人工智慧卓越中心自主研發,並非基於商業基礎模型微調而來。Moses強調:"這是我們在AI卓越中心內部開發的自有成果,專為其所承擔的任務進行了定製化調優。"
模型持續基於真實世界遙測數據進行訓練,使系統能夠在正式簽名出現之前識別新型漏洞利用模式,並在第七層阻斷CVE漏洞鏈式攻擊。
根據SecureIQLab的測試結果,F5 WAAP與F5 AI護欄的綜合安全評分達到97.09%,其中針對OWASP WAF Top 10與API Top 10關鍵風險的準確率為100%,機器人攻擊防護與第七層DoS防護均獲滿分。
Moses表示,對於已部署分布式雲平台的客戶而言,啟用AI驅動WAF後可帶來顯著的運營改變——激活該功能的客戶通常比依賴手動配置簽名規則的客戶更快進入攔截模式,同時F5的誤報率也從約18%大幅降至約1%。
虛擬補丁:應對新興威脅的有力工具
AI驅動WAF的另一重要價值在於大幅提升針對新興威脅的虛擬補丁能力。
虛擬補丁一直是WAF部署的重要組成部分,但當前的威脅態勢已發生根本性轉變。前沿AI模型發現並利用漏洞的速度,遠超大多數企業將修複方案推進至開發與測試完成的速度。BIG-IP Advanced WAF與F5分布式雲Web應用掃描的組合,能夠在漏洞被識別的第一時間於應用交付層施加虛擬補丁,在軟體修復經歷開發和測試周期的過程中提供持續運行時防護。
Moses將虛擬補丁定位為修復窗口期內的輔助工具,而非替代根本性代碼修復的手段。他表示:"它是你手中的一件武器,能否發揮強大作用,取決於你所在組織推進修復的速度快慢。"
Q&A
Q1:F5的AI驅動WAF與傳統WAF有什麼區別?
A:傳統WAF依賴已知攻擊簽名庫進行流量比對,而F5的AI驅動WAF採用神經網路模型,對每條請求基於多維信號進行實時風險評分,能夠檢測尚無已知簽名的新型攻擊模式。該模型還持續基於真實遙測數據訓練,並通過距離異常檢測追蹤更多攻擊路徑。測試數據顯示,啟用後誤報率從約18%降至約1%,綜合安全評分達97.09%。
Q2:F5虛擬補丁功能是如何工作的?它能替代正式的代碼修復嗎?
A:F5虛擬補丁整合了BIG-IP Advanced WAF與分布式雲Web應用掃描能力,在漏洞被識別的第一時間於應用交付層施加運行時防護,覆蓋軟體修複方案完成開發與測試的整個周期。但F5戰略工程副總裁Joel Moses明確指出,虛擬補丁是修復窗口期內的輔助工具,不能替代對底層代碼的根本性修復。
Q3:F5 API安全本地版適合哪些場景使用?
A:F5 API安全本地版專為物理隔離(air-gapped)及受嚴格監管的合規環境設計,提供完全本地化部署的API發現、可視化與安全防護能力,整個過程無需依賴雲端。該方案適合金融、政府、醫療等對數據出境和網路隔離有嚴格要求的行業用戶使用。
