8月25日,由中國信息通信研究院(以下簡稱“中國信通院”)和中國通信標準化協會聯合主辦的“2023云和軟件安全大會”在北京召開。
會上,瑞數信息與中國信通院云計算與大數據研究所聯合撰寫的《云上WAAP發展洞察報告(2023)》(以下簡稱“報告”)正式發布。報告旨在通過分析WAAP解決方案的優勢及核心能力要求,幫助安全從業者更好地了解WAAP全貌;通過分析構建全方位的WAAP安全防護體系架構和典型應用場景,為企業應用WAAP提供良好的落地思路。
瑞數信息CTO馬蔚彥參與《云上WAAP發展洞察報告(2023)》發布儀式
瑞數信息技術總監吳劍剛進行《云上WAAP發展洞察報告(2023)》解讀
一、WAAP成為未來安全防護發展方向
隨著企業深度用云以及云原生應用的快速普及,云上復雜性提升,導致網絡攻擊面倍增,伴生出新的安全風險。一方面,Web、H5、APP、小程序等多樣的接入渠道帶來應用安全風險加劇,數據安全問題凸顯,同時API接口攻擊、分布式拒絕服務(DDoS)攻擊、Bot攻擊等新型攻擊方式層出不窮,傳統安全解決方案已難以滿足日益復雜的安全需求;另一方面,我國各級監管日趨嚴格,企業在應用業務上云的過程中,面臨著嚴峻的數據安全考驗,應用漏洞風險導致的安全隱患和嚴重后果已被上升至法律層面。
在此背景下,傳統Web應用防護系統(WAF)技術亟待革新。報告指出,WAAP作為下一代Web安全防護解決方案,正在成為未來安全防護發展方向。
WAAP,即Web Application and API Protection的縮寫,指Web應用程序與API保護。WAAP是一種綜合性的多層防護解決方案,由以下四部分構成:Web應用程序防火墻(WAF)、API保護、分布式拒絕服務攻擊(DDoS)防御、Bot訪問管理。
報告顯示,WAAP可通過多層防護規則提供可靠、安全的Web應用程序和API保護平臺,讓企業免受各種網絡攻擊,例如:SQL注入、跨站腳本攻擊、跨站請求偽造、撞庫、爬蟲、DDoS攻擊、API接口濫用等,為企業業務連續性和數據安全保駕護航。
與傳統WAF相比,WAAP存在的優勢包括兩方面:一是實現Web應用程序和API的統一管理。二是進行多維度統一防護,從Web應用安全防護、DDoS攻擊防御、Bot管理到API安全防護等多緯度構建Web應用安全防御體系。
二、WAAP應具備五大核心能力
隨著WAAP理念的提出,國內外WAF廠商迅速跟進,我國WAF廠商和云服務商逐步構建Bot防護功能和API防護能力,加速落地切實可行的WAAP安全防護體系。但如何具備完善的WAAP防護能力,考驗著各大廠商的技術和產品能力。
報告指出,WAAP不是簡單的將各項能力并行考慮,企業進行安全體系設計時,應考慮如何將功能進行協作,以及如何對底層的系統資源和流量進行合理調度分配。因此,WAAP核心能力要求主要集中在Web應用程序防護、DDoS防御、Bot管理和API安全防護四部分,同時對平臺的底層聯動性提出要求。
Web應用程序防護能力
Web應用程序防護是指針對Web安全攻擊而做的各種防御措施。主要功能應包括:Web攻擊防護(如:SQL注入、命令注入、XSS跨站、Webshell上傳、Web服務器漏洞攻擊等)、CC攻擊防護、漏洞虛擬補丁、網頁防篡改、訪問合規性檢測等。Web攻擊防護可以采用規則匹配、流量學習、語義分析、威脅情報等技術,實現更精準的防護。
DDoS防御能力
分布式拒絕服務(DDoS)防御是指保護Web應用程序和API應用免受DDoS攻擊,支持對DDoS攻擊的異常監測、攻擊防護和彈性管理。DDoS攻擊防護可以從請求速度限制、TCP檢測與代理檢測、HTTP客戶端驗證、威脅情報等幾方面進行防護。
Bot管理能力
Bot管理是指支持對各種Bot識別、防護和行為管理,可以對惡意Bot進行甄別處理,對善意Bot進行放行。Bot攻擊防護可以從客戶端驗證、驗證碼挑戰、行為分析、威脅情報等幾方面進行防護。
API安全防護能力
API安全防護是指在API資產識別的基礎上,對API運行狀態、異常訪問行為、敏感信息和安全攻擊進行監測,從而實現對API資產的全方位管控。API安全防護可以從API流量分析、特征識別、行為分析、敏感信息檢測、威脅情報等幾方面進行識別與防護。
底層聯動性
底層聯動性是指WAAP的核心能力之間可以實現數據共享、攻擊聯防。在實現面向不同防護場景采用有針對性防護技術的基礎上,還可以進行技術復用,以達到提升檢測防護效率,降低維護成本的目的。底層聯動性體現在可以從可編程性、報文統一檢測、數據共享、聯防聯控四個方面進行調度。
三、WAAP安全防護體系建設思路
作為一種讓應用安全防護亟需更加主動、高效、融合、智能的一站式WAAP解決方案,WAAP架構是以AI智能分析技術為底座,通過多種技術手段和統一的策略管理平臺,提供多云混合云中一致的應用安全服務能力。對此,報告提出了WAAP安全防護體系建設思路:
全業務渠道接入
WAAP解決方案覆蓋幾乎所有的業務接入渠道,包括Web、APP、API、微信、小程序等,可實現全業務渠道防護;通過用戶賬號、設備指紋等唯一標識和全量訪問記錄,將各業務接入渠道的數據進行融合,實現用戶訪問數據追蹤和透視。
全功能融合
以“AI智能”技術為核心,結合規則匹配、流量學習、客戶端驗證、行為分析和威脅情報技術,打造多檢測引擎協同工作機制。
核心技術
一是以“客戶端驗證”技術為核心,實現Bot識別、客戶端環境驗證、客戶端操作行為驗證,幫助企業安全團隊實現變被動防護為主動防護,突破被動防護困局。
二是AI智能引擎,高效協同防御。通過流量學習、行為分析、機器學習等技術,結合第三方漏洞庫、威脅情報等信息,發現高度隱蔽的攻擊,有效提高檢測率,降低誤漏報,實現對業務威脅的透視。
核心建設內容
WAAP安全防護體系建設時,應從頂層設計角度出發,考慮統一建設、協同工作,避免各能力獨立建設帶來的資源消耗和性能消耗。具體建設內容包含以下五個方面:一是客戶端采集;二是業務接入;三是檢測引擎;四是智能策略;五是核心能力。
與此同時,報告還深入分析了WAAP的典型應用場景和案例,并展望了WAAP未來發展趨勢,力圖讓業界從業者更好地了解WAAP全貌,緊跟安全防護最新趨勢,推動WAAP安全新技術進一步落地實踐。
瑞數信息作為報告的聯合撰寫方,是中國動態安全技術的創新者和Bots自動化攻擊防御領域的專業廠商,提供覆蓋Web、APP、云和API資產的全渠道應用、業務、數據及云安全等在內的安全產品及服務。此前,瑞數信息已被Gartner、IDC等國際知名咨詢機構連續幾年列入云安全領域、API安全領域的代表廠商,同時也是國內首批榮獲中國信通院云原生API安全和WAAP能力認證的安全廠商,足見瑞數信息在云WAAP安全領域的強勁實力。
未來瑞數信息還將持續創新技術、產品和服務,提升用戶云WAAP安全能力,為企業有效抵御新興威脅、合規建設應用安全和數據安全打下堅實基礎。
(新聞稿 2023-09-01)