8月25日，由中國(guó)信息通信研究院(以下簡(jiǎn)稱(chēng)“中國(guó)信通院”)和中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)聯(lián)合主辦的“2023云和軟件安全大會(huì)”在北京召開(kāi)。

(資料圖片)

會(huì)上，瑞數(shù)信息與中國(guó)信通院云計(jì)算與大數(shù)據(jù)研究所聯(lián)合撰寫(xiě)的《云上WAAP發(fā)展洞察報(bào)告(2023)》(以下簡(jiǎn)稱(chēng)“報(bào)告”)正式發(fā)布。報(bào)告旨在通過(guò)分析WAAP解決方案的優(yōu)勢(shì)及核心能力要求，幫助安全從業(yè)者更好地了解WAAP全貌;通過(guò)分析構(gòu)建全方位的WAAP安全防護(hù)體系架構(gòu)和典型應(yīng)用場(chǎng)景，為企業(yè)應(yīng)用WAAP提供良好的落地思路。

隨著企業(yè)深度用云以及云原生應(yīng)用的快速普及，云上復(fù)雜性提升，導(dǎo)致網(wǎng)絡(luò)攻擊面倍增，伴生出新的安全風(fēng)險(xiǎn)。一方面，Web、H5、APP、小程序等多樣的接入渠道帶來(lái)應(yīng)用安全風(fēng)險(xiǎn)加劇，數(shù)據(jù)安全問(wèn)題凸顯，同時(shí)API接口攻擊、分布式拒絕服務(wù)(DDoS)攻擊、Bot攻擊等新型攻擊方式層出不窮，傳統(tǒng)安全解決方案已難以滿(mǎn)足日益復(fù)雜的安全需求;另一方面，我國(guó)各級(jí)監(jiān)管日趨嚴(yán)格，企業(yè)在應(yīng)用業(yè)務(wù)上云的過(guò)程中，面臨著嚴(yán)峻的數(shù)據(jù)安全考驗(yàn)，應(yīng)用漏洞風(fēng)險(xiǎn)導(dǎo)致的安全隱患和嚴(yán)重后果已被上升至法律層面。

在此背景下，傳統(tǒng)Web應(yīng)用防護(hù)系統(tǒng)(WAF)技術(shù)亟待革新。報(bào)告指出，WAAP作為下一代Web安全防護(hù)解決方案，正在成為未來(lái)安全防護(hù)發(fā)展方向。

WAAP，即Web Application and API Protection的縮寫(xiě)，指Web應(yīng)用程序與API保護(hù)。WAAP是一種綜合性的多層防護(hù)解決方案，由以下四部分構(gòu)成：Web應(yīng)用程序防火墻(WAF)、API保護(hù)、分布式拒絕服務(wù)攻擊(DDoS)防御、Bot訪(fǎng)問(wèn)管理。

報(bào)告顯示，WAAP可通過(guò)多層防護(hù)規(guī)則提供可靠、安全的Web應(yīng)用程序和API保護(hù)平臺(tái)，讓企業(yè)免受各種網(wǎng)絡(luò)攻擊，例如：SQL注入、跨站腳本攻擊、跨站請(qǐng)求偽造、撞庫(kù)、爬蟲(chóng)、DDoS攻擊、API接口濫用等，為企業(yè)業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全保駕護(hù)航。

與傳統(tǒng)WAF相比，WAAP存在的優(yōu)勢(shì)包括兩方面：一是實(shí)現(xiàn)Web應(yīng)用程序和API的統(tǒng)一管理。二是進(jìn)行多維度統(tǒng)一防護(hù)，從Web應(yīng)用安全防護(hù)、DDoS攻擊防御、Bot管理到API安全防護(hù)等多緯度構(gòu)建Web應(yīng)用安全防御體系。

2、WAAP應(yīng)具備五大核心能力

隨著WAAP理念的提出，國(guó)內(nèi)外WAF廠(chǎng)商迅速跟進(jìn)，我國(guó)WAF廠(chǎng)商和云服務(wù)商逐步構(gòu)建Bot防護(hù)功能和API防護(hù)能力，加速落地切實(shí)可行的WAAP安全防護(hù)體系。但如何具備完善的WAAP防護(hù)能力，考驗(yàn)著各大廠(chǎng)商的技術(shù)和產(chǎn)品能力。

報(bào)告指出，WAAP不是簡(jiǎn)單的將各項(xiàng)能力并行考慮，企業(yè)進(jìn)行安全體系設(shè)計(jì)時(shí)，應(yīng)考慮如何將功能進(jìn)行協(xié)作，以及如何對(duì)底層的系統(tǒng)資源和流量進(jìn)行合理調(diào)度分配。因此，WAAP核心能力要求主要集中在Web應(yīng)用程序防護(hù)、DDoS防御、Bot管理和API安全防護(hù)四部分，同時(shí)對(duì)平臺(tái)的底層聯(lián)動(dòng)性提出要求。

? Web應(yīng)用程序防護(hù)能力

Web應(yīng)用程序防護(hù)是指針對(duì)Web安全攻擊而做的各種防御措施。主要功能應(yīng)包括：Web攻擊防護(hù)(如：SQL注入、命令注入、XSS跨站、Webshell上傳、Web服務(wù)器漏洞攻擊等)、CC攻擊防護(hù)、漏洞虛擬補(bǔ)丁、網(wǎng)頁(yè)防篡改、訪(fǎng)問(wèn)合規(guī)性檢測(cè)等。Web攻擊防護(hù)可以采用規(guī)則匹配、流量學(xué)習(xí)、語(yǔ)義分析、威脅情報(bào)等技術(shù)，實(shí)現(xiàn)更精準(zhǔn)的防護(hù)。

? DDoS防御能力

分布式拒絕服務(wù)(DDoS)防御是指保護(hù)Web應(yīng)用程序和API應(yīng)用免受DDoS攻擊，支持對(duì)DDoS攻擊的異常監(jiān)測(cè)、攻擊防護(hù)和彈性管理。DDoS攻擊防護(hù)可以從請(qǐng)求速度限制、TCP檢測(cè)與代理檢測(cè)、HTTP客戶(hù)端驗(yàn)證、威脅情報(bào)等幾方面進(jìn)行防護(hù)。

? Bot管理能力

Bot管理是指支持對(duì)各種Bot識(shí)別、防護(hù)和行為管理，可以對(duì)惡意Bot進(jìn)行甄別處理，對(duì)善意Bot進(jìn)行放行。Bot攻擊防護(hù)可以從客戶(hù)端驗(yàn)證、驗(yàn)證碼挑戰(zhàn)、行為分析、威脅情報(bào)等幾方面進(jìn)行防護(hù)。

? API安全防護(hù)能力

API安全防護(hù)是指在A(yíng)PI資產(chǎn)識(shí)別的基礎(chǔ)上，對(duì)API運(yùn)行狀態(tài)、異常訪(fǎng)問(wèn)行為、敏感信息和安全攻擊進(jìn)行監(jiān)測(cè)，從而實(shí)現(xiàn)對(duì)API資產(chǎn)的全方位管控。API安全防護(hù)可以從API流量分析、特征識(shí)別、行為分析、敏感信息檢測(cè)、威脅情報(bào)等幾方面進(jìn)行識(shí)別與防護(hù)。

? 底層聯(lián)動(dòng)性

底層聯(lián)動(dòng)性是指WAAP的核心能力之間可以實(shí)現(xiàn)數(shù)據(jù)共享、攻擊聯(lián)防。在實(shí)現(xiàn)面向不同防護(hù)場(chǎng)景采用有針對(duì)性防護(hù)技術(shù)的基礎(chǔ)上，還可以進(jìn)行技術(shù)復(fù)用，以達(dá)到提升檢測(cè)防護(hù)效率，降低維護(hù)成本的目的。底層聯(lián)動(dòng)性體現(xiàn)在可以從可編程性、報(bào)文統(tǒng)一檢測(cè)、數(shù)據(jù)共享、聯(lián)防聯(lián)控四個(gè)方面進(jìn)行調(diào)度。

三、WAAP安全防護(hù)體系建設(shè)思路

作為一種讓?xiě)?yīng)用安全防護(hù)亟需更加主動(dòng)、高效、融合、智能的一站式WAAP解決方案，WAAP架構(gòu)是以AI智能分析技術(shù)為底座，通過(guò)多種技術(shù)手段和統(tǒng)一的策略管理平臺(tái)，提供多云混合云中一致的應(yīng)用安全服務(wù)能力。對(duì)此，報(bào)告提出了WAAP安全防護(hù)體系建設(shè)思路：

? 全業(yè)務(wù)渠道接入

WAAP解決方案覆蓋幾乎所有的業(yè)務(wù)接入渠道，包括Web、APP、API、微信、小程序等，可實(shí)現(xiàn)全業(yè)務(wù)渠道防護(hù);通過(guò)用戶(hù)賬號(hào)、設(shè)備指紋等唯一標(biāo)識(shí)和全量訪(fǎng)問(wèn)記錄，將各業(yè)務(wù)接入渠道的數(shù)據(jù)進(jìn)行融合，實(shí)現(xiàn)用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)追蹤和透視。

? 全功能融合

以“AI智能”技術(shù)為核心，結(jié)合規(guī)則匹配、流量學(xué)習(xí)、客戶(hù)端驗(yàn)證、行為分析和威脅情報(bào)技術(shù)，打造多檢測(cè)引擎協(xié)同工作機(jī)制。

? 核心技術(shù)

一是以“客戶(hù)端驗(yàn)證”技術(shù)為核心，實(shí)現(xiàn)Bot識(shí)別、客戶(hù)端環(huán)境驗(yàn)證、客戶(hù)端操作行為驗(yàn)證，幫助企業(yè)安全團(tuán)隊(duì)實(shí)現(xiàn)變被動(dòng)防護(hù)為主動(dòng)防護(hù)，突破被動(dòng)防護(hù)困局。

二是AI智能引擎，高效協(xié)同防御。通過(guò)流量學(xué)習(xí)、行為分析、機(jī)器學(xué)習(xí)等技術(shù)，結(jié)合第三方漏洞庫(kù)、威脅情報(bào)等信息，發(fā)現(xiàn)高度隱蔽的攻擊，有效提高檢測(cè)率，降低誤漏報(bào)，實(shí)現(xiàn)對(duì)業(yè)務(wù)威脅的透視。

? 核心建設(shè)內(nèi)容

WAAP安全防護(hù)體系建設(shè)時(shí)，應(yīng)從頂層設(shè)計(jì)角度出發(fā)，考慮統(tǒng)一建設(shè)、協(xié)同工作，避免各能力獨(dú)立建設(shè)帶來(lái)的資源消耗和性能消耗。具體建設(shè)內(nèi)容包含以下五個(gè)方面：一是客戶(hù)端采集;二是業(yè)務(wù)接入;三是檢測(cè)引擎;四是智能策略;五是核心能力。

與此同時(shí)，報(bào)告還深入分析了WAAP的典型應(yīng)用場(chǎng)景和案例，并展望了WAAP未來(lái)發(fā)展趨勢(shì)，力圖讓業(yè)界從業(yè)者更好地了解WAAP全貌，緊跟安全防護(hù)最新趨勢(shì)，推動(dòng)WAAP安全新技術(shù)進(jìn)一步落地實(shí)踐。

瑞數(shù)信息作為報(bào)告的聯(lián)合撰寫(xiě)方，是中國(guó)動(dòng)態(tài)安全技術(shù)的創(chuàng)新者和Bots自動(dòng)化攻擊防御領(lǐng)域的專(zhuān)業(yè)廠(chǎng)商，提供覆蓋Web、APP、云和API資產(chǎn)的全渠道應(yīng)用、業(yè)務(wù)、數(shù)據(jù)及云安全等在內(nèi)的安全產(chǎn)品及服務(wù)。此前，瑞數(shù)信息已被Gartner、IDC等國(guó)際知名咨詢(xún)機(jī)構(gòu)連續(xù)幾年列入云安全領(lǐng)域、API安全領(lǐng)域的代表廠(chǎng)商，同時(shí)也是國(guó)內(nèi)首批榮獲中國(guó)信通院云原生API安全和WAAP能力認(rèn)證的安全廠(chǎng)商，足見(jiàn)瑞數(shù)信息在云WAAP安全領(lǐng)域的強(qiáng)勁實(shí)力。

未來(lái)瑞數(shù)信息還將持續(xù)創(chuàng)新技術(shù)、產(chǎn)品和服務(wù)，提升用戶(hù)云WAAP安全能力，為企業(yè)有效抵御新興威脅、合規(guī)建設(shè)應(yīng)用安全和數(shù)據(jù)安全打下堅(jiān)實(shí)基礎(chǔ)。

欲知更多《云上WAAP發(fā)展洞察報(bào)告(2023)》內(nèi)容，點(diǎn)擊二維碼下載報(bào)告!

關(guān)鍵詞：