云上WAAP发展洞察报告（2023）

版权声明 本报告版权属于瑞数信息技术（上海）有限公司、中国信息通信研究院云计算与大数据研究所，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：瑞数信息技术（上海）有限公司、中国信息通信研究院云计算与大数据研究所”。违反上述声明者，编者将追究其相关法律责任。 参编人员 马蔚彦、吴剑刚、李忆晨、卫斌 一、WAAP成为未来安全防护发展方向1 （一）企业加速上云步伐，安全态势严峻1 1.安全建设向云上应用业务延伸，相关监管日趋严格1 2.业务接入渠道日趋丰富，安全风险加剧2 3.企业面临严峻安全防护挑战，新型攻击方式层出不穷3 4.传统安全解决方案难以满足日益复杂的安全需求4 （二）WAAP成为下一代Web安全防护解决方案5 1.WAAP的定义5 2.WAAP的构成5 3.WAAP的优势7 4.WAAP的发展8 二、WAAP核心能力要求9 （一）Web应用程序防护能力9 （二）DDoS防御能力11 （三）Bot管理能力12 （四）API安全防护能力14 （五）底层联动性16 三、WAAP安全防护体系建设思路17 （一）安全建设体系架构17 （二）WAAP典型应用场景分析20 四、WAAP未来发展展望22 附录WAAP典型应用案例26 （1）APP新人礼包防护案例26 （2）业务外挂防护案例27 （3）安全攻击防护案例28 （4）支付API滥用防护案例29 图1WAAP安全建设体系架构18 图2WAAP核心建设内容参考19 图3APP新人礼包防护案例26 图4业务外挂防护案例27 图5安全攻击防护案例28 一、WAAP成为未来安全防护发展方向 （一）企业加速上云步伐，安全态势严峻 1.安全建设向云上应用业务延伸，相关监管日趋严格 当前企业数字化进程不断加速，企业安全建设向云上应用延伸。企业上云已成大势所趋，云上安全成为企业数字化转型趋势下不可忽视的重要因素。中国信通院发布的《云计算白皮书（2023年）》显示，我国云计算市场持续高速增长，2022年云计算市场规模达4550亿元。其中，公有云市场规模增长40.93%至3256亿元，私有云市场增长25.3%至1294亿元。预计2025年我国云计算整体市场规模将突破万亿元。在大模型、算力等需求刺激下，市场仍将保持稳定增长。随着云时代的到来，企业上云成为越来越多企业的选择，Web或APP服务成为企业核心业务的载体，Web应用攻击已成为企业面临的主要安全问题之一。 我国各级监管机构高度重视数据安全和网络信息安全，并出台多项“数据安全”和“网络安全”相关的政策文件。“十四五”规划指出，应“加强网络安全风险评估和审查。加强网络安全基础设施建设，强化跨领域网络安全信息共享和工作协同，提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力”。《中华人民共和国网络安全法》指出，应“保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改”。《中华人民共和国数据安全法》强调，开展数据处理活动“应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采 取处置措施，按照规定及时告知用户并向有关主管部门报告”。多项政策文件的落地和执行体现出我国对网络安全和数据安全的督察力度日益增大，这也意味着企业的安全建设标准日益提升。企业在应用业务上云的过程中，面临着严峻的数据安全考验，应用漏洞风险导致的安全隐患和严重后果已被上升至法律层面。 2.业务接入渠道日趋丰富，安全风险加剧 新技术的蓬勃发展驱动业务创新变革，业务接入渠道愈加丰富。用户需求不断升级，驱动企业加速数字化转型进程，而技术转型是其中必不可少的一环。新技术的诞生使得传统业务接入方式趋向多样化和复杂化发展，常见业务渠道包括Web、H5、APP、小程序等。一方面，新渠道的发展为传统行业数字化转型带来新活力。不再拘泥于终端设备和操作系统，用户可实现跨端接入，享受应用的自动更新，一定程度上增加了操作便捷性，提高用户粘性。另一方面，多样的接入渠道导致应用安全风险加剧，数据安全问题凸显。随着业务渠道愈发开放，攻击者开发出更多更先进的攻击工具对企业业务进行攻击，传统防护技术已经无法满足现有安全防护需求。复杂化和多样化的业务接入渠道深度依赖于API之间的相互调用，由API接口带来的应用敞口风险和风险管控链条不断扩大，导致利用API接口漏洞进行攻击的事件与日俱增。攻击者还可通过逆向APP和小程序客户端应用代码，绕过设备限制，直接对API接口展开攻击，窃取业务敏感数据。各类工具化、智能化、拟人化的Bot攻击也给云上业务带来威胁，导致安全风险进一步加剧。 3.企业面临严峻安全防护挑战，新型攻击方式层出不穷 数字化时代，企业信息化建设的步伐明显加快。与此同时，应用安全也面临多重威胁。随着多类型应用兴起，攻击事件与日俱增，常见的攻击方式包括API接口攻击、分布式拒绝服务（DDoS）攻击、Bot攻击等。 在API攻击方面，API是企业数字化转型的关键组成部分，攻击者可以利用各种不同的手段攻击API并窃取敏感数据或者干扰企业的业务流程。Gartner在《如何建立有效的API安全策略》报告中预测，API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介，到2024年，API滥用和相关数据泄露将几乎翻倍。 在DDoS攻击方面，DDoS攻击成本低廉且难以防御，已成为各类攻击中最大的威胁之一。DDoS攻击可能直接导致网站宕机、服务器瘫痪、消耗大量带宽或内存。据《2022年DDoS攻击威胁报告》显示，2022年DDoS攻击次数同比增长8%，已连续4年持续呈现增长态势；百G以上大流量攻击愈发普遍，攻击峰值创历史新高，达到1.45Tbps。 在Bot攻击方面，Bot攻击已成为最主要的攻击手段，且趋向拟人化发展，难以辨别隐藏其中的恶意特征。Bot即Robot（机器人）的简称，可以看作自动完成某项任务的智能软件。Bot攻击包括漏洞扫描、零日漏洞探测、爬虫、撞库等。据《2022年Web安全观察报告》显示，2022年，Bot攻击平均每秒发生约5175次，攻击量为2021 年的1.93倍。 4.传统安全解决方案难以满足日益复杂的安全需求 云上应用程序和API可以通过公共互联网访问，这使得它们成为攻击者的主要目标。攻击者可以获取敏感数据，从而进行非法获利。然而，云上应用程序及API保护却是一个具有挑战性的任务，传统的安全解决方案不能对其进行有效保护，主要原因如下： 一是基于签名的Web攻击检测不再有效。针对网络应用程序的威胁处于不断变化的过程中，使用基于签名的检测易被绕过。而对于Web漏洞探测、零日攻击，以及没有漏洞规则特征的模拟合法行为的Bot自动化工具攻击，例如撞库、暴力破解、批量注册、恶意爬虫、低频多源攻击等行为，难以设定规则和特征签名进行识别，所以传统防护效果并不理想。新一代Web安全解决方案需要具备有效的Bot攻击防护能力，可以实现对各种自动化工具的防护，有助于企业及时防护不断变化的应用安全威胁。 二是加密流量导致恶意攻击更难以识别。如今超过一半的网络流量使用TLS加密。这种加密方式有利于保护隐私，但却使检测恶意内容和攻击特征更加困难。新一代Web安全解决方案需要规避依赖内容识别攻击的机制，通过检测客户端请求环境的真实性，实现对各种非法客户端访问的防护。 三是基于信誉库和威胁情报的防护技术时效性和覆盖面不足。信誉库和威胁情报需要持续积累和更新，其覆盖面有限。例如，Bot作为新兴威胁，对Web应用和API保护带来不容小觑的挑战，但对于Bot的威胁情报库尚未完备，仍需持续积累。随着攻击手段多样化、 智能化发展，威胁情报的有效周期也在缩短，企业一方面需要更加及时有效的威胁情报，另一方面也需要实时的Bot识别和API防护技术，实现对应用和数据安全的全面防护。 四是对现代应用架构的适应力不足，云原生应用敏捷和开发运维的一体化特性，让Web防护规则难以进行及时调优。在敏捷开发和运维过程中，现代Web应用和API接口处于持续变化的状态，尽管云Web应用防火墙可以快速形成针对新型漏洞的安全防御策略并进行全网更新，但其无法进行智能化和自动化的人工调整优化，难以适应现代应用的快速变化。 （二）WAAP成为下一代Web安全防护解决方案 1.WAAP的定义 WAAP，即WebApplicationandAPIProtection的缩写，指Web应用程序与API保护。WAAP是一种综合性的多层防护解决方案，用于保护Web应用程序和API免受各种网络攻击，例如SQL注入、跨站脚本攻击、跨站请求伪造、撞库、爬虫、DDoS攻击、API接口滥用等。WAAP可通过多层防护规则提供可靠、安全的Web应用程序和API保护平台，为企业业务连续性和数据安全保驾护航。 2.WAAP的构成 WAAP，作为多层防护解决方案，由以下四部分构成，分别是Web应用程序防火墙(WAF)、API保护、分布式拒绝服务攻击(DDoS)防御及Bot访问管理。 Web应用程序防火墙是Web应用程序安全防护的主要手段。目 前我国主流Web应用程序防火墙主要分成三种形式，分别是硬件WAF、软件WAF和云WAF。硬件WAF部署简易，通常以串行的形式部署在Web服务器前，它可承受较大的吞吐量，但是成本较高。软件WAF部署成本低，但占用内存较多。而云WAF继承了软件WAF和硬件WAF的核心功能，部署简单，维护成本低，用户不需要在自己的网络中安装软件程序或部署硬件设备，就可以对网站实施安全防护。云WAF的主要功能包括SQL注入防护、XSS防护、防篡改、防撞库、防盗链、防暗链、防数据泄露、防扫描、防CC攻击等。同时WAF支持攻击态势展示及攻击报告下载，对于攻击行为溯源也起到重要的作用。据IDC统计，2022年，我国云WAF市场整体同比增长10.8%，市场规模达到2.23亿美元，实现了对硬件WAF市场规模的超越。 API保护是防止应用程序接口遭受攻击，例如API攻击、API滥用、API欺诈、API敏感数据泄露等，从而确保企业信息安全和业务可持续性。为了适应数字化进程的快速发展，政府、企业都会开放大量的API，由此造成的数据安全风险敞口，传统的API安全体系并不能完全应对解决。企业亟需建立健全的API安全防护体系，持续梳理API资产、落地API保护策略、实时监测API接口状态、迅速响应安全事件，从而全面保护API的安全性和可靠性。IDC在《中国API安全市场洞察，2022》报告中指出，API的安全防护市场在中国还处于初步发展阶段，产品和技术能力还需进一步加强。目前，国内众多网络安全厂商、数据安全厂商、云计算服务商、专业的API安全厂商纷 纷布局API安全市场，且各厂商结合自己的技术积累和行业优势推出了各具特色的产品和解决方案。 分布式拒绝服务攻击(DDoS)防御是指及时发现大规模攻击的异常流量，并对其进行清洗。常见的DDoS攻击类型包括网络型攻击、应用型攻击、扫描窥探型攻击、协议漏洞型攻击等。近年来，新兴产业蓬勃发展，产生大量的设备接入以及带宽需求，部分资源容易沦为攻击资源，从而出现巨大风险。据IDC统计，2022年，我国公有云抗DDoS市场规模达2.7亿美元，较上年增长13.2%。由于DDoS攻击成本低、针对性强、损失高等特点，全球DDoS攻击不断增多。端云一体防护可为DDoS防御提供新思路，从而解决部署在私有云或自有机房的业务遭受大型DDoS攻击的问题。 Bot访问管理是指对流量中的自动化攻击进行识别，控制自动化流量并过滤恶意流量，从而保护Web应用程序和API免受Bot攻击。Bot流量，指对Web网站或API接口通过工具脚本、爬虫程序等操作进行访问的自动化程序流量。恶意Bot通常利用代理或秒拨IP等手段，对信息数据进行爬取，损害企业和用户的正当利益。 3.WAAP的优势 2021年，Gartner将多年来发布的WAF魔力象限改为了WAAP魔力象限，进一步扩展了安全防护范围和安全深度。面对愈加复杂的We