2023年度 互联网安全报告 「体系化主动安全」建设指南 引言 目录CONTENTS 2 第一章威胁泛化:Web安全态势分析与应对指南 1.12023年Web威胁态势分析 3 1.1.1全球Web应用程序攻击超7千亿次,呈持续增长态势3 8 9 1.1.2生成式AI威胁崛起,Web安全威胁多维度升高5 1.1.3企业传统Web防护体系挑战严峻 1.2Web安全体系建设指南 1.2.1从传统WAF向WAAP防护体系升级9 1.2.2WAAP防护体系架构实施建议9 11 1.2.3WAAP防护体系实践案例 第二章重塑边界:办公网络安全态势分析与应对指南 2.12023年企业办公网络威胁态势分析 2.1.1勒索软件攻击事件翻倍增长 2.1.2数据泄露事件增加44% 13 13 15 2.1.3对企业的影响16 2.1.4现有办公安全方案的挑战17 18 18 20 2.2企业办公安全建设指南 2.2.1办公安全设计原则 2.2.2SASE一体化办公安全方案 2.2.3SASE方案实施建议21 第三章思考讨论:降本增效背景下的体系化主动安全能力建设 3.1企业安全战略转型趋势观察 3.1.1网络安全政策及法规现状 23 23 3.1.2成本导向的合规痛点 24 25 3.1.3从合规驱动到业务驱动:安全战略转型的必然之路 3.2体系化主动安全能力建设思考25 26 29 3.2.1基于网络安全能力成熟度的“实战化”安全体系完善 3.2.2基于云端+本地协同的主动安全运营体系 附录 34 第四章总结与展望33 引言 2023年全球网络威胁形式依然十分严峻。与往年相比,2023年曝光的通用安全漏洞数量再创新高,其中包含了大量遭黑客积极利用的高风险漏洞。网络黑灰产团伙仍十分的活跃,DDoS攻击、Web应用攻击、API攻击、网络爬虫、业务欺诈等几种活跃性攻击的趋势有增无减。屡见不鲜的针对于高价值企业的定向攻击勒索、数据窃取等事件,则将网络安全风险的严峻程度推向了新的高度。 对企业来说,新的变化往往也意味着引入新的风险。数字化转型的进一步深入、IT基础设施的升级迭代、业务全球化过程中办公模式的转变等等也带来了不断变化增长的风险暴露面,数据的流向更加不可捉摸;攻击者也在升级,瞄准业务层、身份层的攻击让传统基于特征的防御模式已难以应对;生成式AI技术的发展也在推动着攻击技术的快速进步,这让网络防御更加充满了不确定性和复杂性。为此,企业在构建安全体系时不仅要充分考虑防御的全面性,尽量去覆盖保护所有潜在的网络攻击面,也要考虑如何去构建更加积极主动的安全防御能力,才能够适应不断变化升级的网络威胁。 传统安全建设思路是通过堆叠各种不同保护层级与防御形态的安全产品去构建防御体系,为了管理这些分散安全能力,安全人员需要在多个安全产品控制台之间去切换操作,这对安全效率是一种严重阻碍。为了解决这一问题并让安全产品之间能够协同运作、形成主动安全防御能力,安全管理人员试图再引入具备统一集中管理与安全能力编排的工具以整合企业分散安全能力,但是由于缺乏安全专家、不同供应商的产品异构性、接口封闭等因素,这些单点安全能力往往很难能协同运作。 继续基于传统的烟囱式安全能力简单叠加模式进行防御,已难以满足当前企业对于追求安全效果的期望;经济环境的不确定性也使得企业需要在收紧支出的同时,重新评估当前繁杂的安全工具对IT支出的占用。安全负责人需要寻找具备真正的“体系化主动安全能力”且兼具经济性的安全解决方案。“体系化”要包含防御的全面性、统一集中管理、灵活场景覆盖等构建原则;“主动性”则是要求具备对于未知风险的防御能力,能够及时自动的对网络威胁进行响应处置。 本次报告也将围绕“体系化主动安全能力建设”这一主题,基于网宿安全平台提供的攻防数据、企业侧的安保实践,以及全球网络安全趋势的分析预测,帮助广大企业用户建立“体系化主动安全”防御机制。 第一章威胁泛化:Web安全态势分析与应对指南 本章节通过对2023年网宿安全平台检测到的网络攻击行为与事件进行统计分析,结合企业当前数字化和云化进程、生成式AI等新技术的兴起,探讨传统Web安全解决方案暴露出的瓶颈,及以一体化Web应用和API保护(WAAP)应对新威胁形势的必要性。 1.1. 章节后半部分,将基于网宿安全实践,提供一体化WAAP建设指南,帮助企业通过统一管理攻击面和纵深防御策略,提升整体Web安全防护能力。 2023年Web威胁态势分析 1.1.1.全球Web应用程序攻击超7千亿次,持续快速增长 2023年 2022年 亿 1000 900 800 700 600 500 400 300 200 100 0 1月2月3月4月5月6月7月8月9月10月11月12月 从网宿安全平台代理的所有Web应用程序流量来看,2023年被检测到的攻击请求数量为7309亿,占比达到20%,相比2022 年的5602亿次增加了30%。通过下图2023年和2022年攻击趋势对比可以看出,全球Web应用程序攻击仍在持续增长。 我们发现增长主要源于以下几方面: 针对境外目标的DDoS攻击在2023年增长了近220% 2023年,全球应用层DDoS攻击次数达到4500亿次,同比增长26%。下图表明,2023年针对境外目标的攻击增长明显高于境内。针对境外目标的攻击在2023年增长了近220%,境外攻击为总增长贡献了90%以上的份额。我们分析推测这一趋 远程文件包含 第三方组件漏洞 非法下载 命令注入 缓冲区溢出 SQL注入 文件上传 XSS跨站 其他 HTTP协议违背 2023年 2022年 亿4000 3000 2000 1000 0 境内 境外 自动化攻击进一步普及,促使漏洞利用攻击增长8% 2023年 2022年 亿 350 300 250 200 150 100 50 0 根据网宿安全平台数据统计,2023年共检测到416亿次Web应用漏洞利用攻击,同比2022年增长8%。其中HTTP协议违背依旧排名第一,但相对2022年下降了3.8%,从这个数字变化上可以猜测整体攻击高度的变化,攻击逐步摆脱“一眼看破”的低级攻击,更多地利用自动化工具甚至生成式AI技术构造更为聪明的攻击,同时也带来了攻击数量增长。 直播电商兴起、文旅行业复苏,恶意Bot请求增长172% 后疫情时代,人们使用在线购物的比重持续增加,也衍生了直播电商等新兴购物形式,同时压抑已久的线下演艺活动得到释放。电商、演艺行业在线业务流量增加也伴随了大量爬虫、欺诈流量增加。2023年网宿安全平台检测到的电商、文旅行业恶意Bot请求数达到462亿,占全平台Bot请求数比例为22%,相比2022年的170亿、10%分别增长172%、120%。 电商&文旅 总量 亿3000 2500 2000 1500 1000 500 0 2023年 2022年 1.1.2.生成式AI威胁崛起,Web安全威胁多维度升高 数字化时代,业务接入渠道日益丰富、API大量应用,导致Web应用风险暴露面显著扩大,Web安全威胁多维度升高,已成为显而易见的事实。2023年,以下风险变化趋势值得关注: API攻击占比继续走高,多维度应用安全风险加剧,数据安全问题凸显 2022年,网宿安全平台数据针对API的攻击占比首次突破50%,达到58.4%,2023年进一步上升到了63%。进一步分析,我们发现这一数字正是Web安全风险多维度上升的直观体现。 2022年 针对传统Web攻击 API为目标的攻击 2023年 针对传统Web攻击 API为目标的攻击 一方面,自动化攻击是针对API攻击的最常用手段,究其原因是API承载着关键数据和业务,利用僵尸网络针对API发起DDoS攻击能直中要害造成核心业务停摆,利用自动化Bots针对API发起Bot攻击,能够快速获取高价值数据,或通过欺诈获益。 网宿安全平台数据显示,针对API的攻击类型占比如下: DDoS攻击:56%Bot攻击:30% 漏洞利用攻击:12%其他:2% 另一方面,利用API漏洞进一步实施勒索等攻击,导致数据泄露等严重后果,给企业带来巨大威胁和损失。例如:2023年5月MOVEit0day漏洞被Cl0p组织利用入侵并进行勒索攻击,超过9300万人的个人数据被泄露,影响2706个组织。 攻击手段更隐蔽、更智能化 抗,同时攻击者也能以最低成本最大化攻击收益。 Bot攻击方面,随着生成式AI的爆发式兴起,自动化攻击的手段越来越隐蔽。为此我们在2023年优化了Bot智能识别能力, 进一步融合基础特征、访问行为、情报、交互检测等更多维度、基于AI技术落地识别模型,从目前深受Bot困扰的行业来 DDoS攻击方面,网宿安全演武实验室研究发现,攻击者的攻击方式变得更为精巧,攻击目标的业务特点,在业务低峰期仅发起较低的攻击量级,在高峰期突然提高攻击量级对业务造成更大冲击,较强的随机性使企业安全团队难以及时响应和对 看,Bot智能识别能力已经贡献了超40%的Bot识别率,而且这一比例还在上升。 请求量 基础检测 智能化检测 1月2月3月4月5月6月7月8月9月10月11月12月 新型攻击威胁层出不穷 继基于HTTP/2RapidRest漏洞的严重HTTPDDoS攻击之后,我们在2023年发现又一基于HTTP/2ContinuationFlood的新型威胁。攻击者利用这一攻击原理,可以轻松发起大规模的DDoS攻击。其攻击峰值RPS(每秒请求数)相比传统HTTPFlood可实现一个数量级突破,从千万级到亿级。 生成式AI威胁不容忽视 2023年生成式AI技术取得了显著进步,同许多技术创新一样,生成式AI在提升效率的同时,也会成为攻击者武器库的一部分。在Web安全领域,我们发现生成式AI能通过以下方式助长攻击威胁: 1)让现有攻击更隐蔽,逃避检测 网宿安全演武实验室研究发现,使用生成式AI能够比常见的FUZZ工具生成语法和逻辑结构上更加复杂和隐蔽的攻击Payload,一部分已经能够绕过当前针对FUZZ工具的检测手段。类似地,生成式对抗网络(GANs)可以用来生成复杂的恶意软件变种,使得传统的基于签名的恶意软件检测方法失效。 2)自动化攻击生成 通过训练生成式AI模型理解和生成攻击代码,已经能够自动生成针对特定应用软件的攻击代码。例如,使用Transformer等自然语言处理技术,可以对已知的攻击策略和漏洞信息进行学习,进而生成专门针对新发现的漏洞的攻击代码。 3)渗透测试自动化 通过AI可以将渗透测试过程部分环节自动化,并被训练用以模拟攻击者的行为和策略,更高效地发现并利用系统漏洞。 4)增强攻击的持续对抗能力 经过特定领域训练过的大模型可以生成多阶段攻击脚本,使得攻击能够在被发现和部分阻断后继续进行,增加了防守方的应对难度。 1.1.3.企业传统Web防护体系挑战严峻 传统WAF的核心问题包括: 对于Bot、API攻击等以数据为核心载体和目标的新型攻击,需要通过大数据和AI技术构建智能化的动态对抗能力。而威胁情报则是构建此能力的核心基础数据之一,传统WAF存在数据孤岛、或与新型攻击相关的先进情报(如:IP信誉库、指纹库)缺乏整合,对于恶意Bot流量、API滥用导致数据泄露等风险态势无法及时感知并快速防御。 缺乏全面的威胁情报,无法全面感知风险态势和及时防御新兴威胁 企业越来越多地采用混合云和多云部署,传统WAF在多样化环境中的部署和管理变得复杂,难以提供一致的安全保护。另外,现代应用基于Devops模式快速迭代开发,传统WAF难以快速适应应用的变化和扩展,影响了安全防护的有效性。 难以适应云原生架构和Devops模式下Web应用快速迭代 安全团队本就需要处理大量安全事件和告警,而传统WAF规则需要不断更新维护和误报处理的重复性工作进一步加重了工作负担,导致真正发生严重安全事件时无法快速响应。 安全团队负载高,安全事件响应速