2024年应用安全趋势报告

报告 2024年应用安全趋势 目录目录 3摘要 4应用安全领域的关键发现 5范围和报告方法 6缓解流量的趋势 7数据快照：缓解流量随时间变化的情况 8商业考量和建议 9zero-day趋势 10商业考量和建议 11DDoS攻击趋势 12数据快照：最大规模的HTTPDDoS攻击 13商业考量和建议 15机器人流量趋势 数据快照：具有高机器人流量的行业 16商业考量和建议 17客户端风险 数据快照：第三方脚本和Cookie使用情况 18商业考量和建议 19影子API风险 20商业考量和建议 21总结 22Cloudflare如何提供协助 23了解更多 24附录 Cloudflare主要术语表 25尾注 Cloudflare|2024年应用安全趋势2 摘要 来说，它们是收入、效率和客户洞察的来源。 W公e众b传应达用信是息现和代提生供活基的本核服心务。的对重政要府途而径言，。它对们企是业向 然接口而，(A移P动I)也关代键表数着据一、流个程不和断基扩础大设的施攻的击应面用。未和受应保用护编的程应用崩遭溃。到利用可能导致业务中断、财务损失和关键基础设施 开和发生人成员式需AI要驱快动速的交能付力新，功放能大，了例这如个由问大题型。语言模型(LLM) C57lo0u0d万fla个reH由T世TP界请上求最，大每的天网阻络止之一20驱90动亿，次平均网每络秒威处胁理。这超一过流报告量中的探体讨量、的速洞度察和提多供样了性信为息本。《2024年应用安全趋势》 例来如越，多D被Do用S于攻发击动的D速D度oS和攻数击量，不效断率增也加越，来表越明高僵。尸而网D络D越oS攻备击适是当针的对能力W，e以b应检用测的和第阻一止大由攻数击十类万、型甚。至您数的百团万队台是机否器具 组成的恶意僵尸网络发送的流量？ 这些威胁，以避免财务损失和声誉损害？ 此自己外成，某为些大行量业D面Do临S更攻大击比的例目的标机。器您人能流以多量快。其的他速行度业响发应现 于供应链风险中？ 4C7lo.1ud个fl第ar三e还方发脚现本，。截您至的2组02织4是年否5无月意，企中业使和最组终织用平户均暴使露用 随越着多组新的织应意识用到风需险要超采出专取门不应同用的安方全法。团G队ar的tn资er源®范预围测“，越到来 2供0非27网年络，专30家%直的接网使络用安，全并功由能应将用重所新有设者计负应责用。”安全性，以 目录 而不会抑制数字创新。 不可以管指您导的您组在织哪如些何地处方理优应先用考安虑全未问来题的，我应们用都安希全望控这制份——报告 Cloudflare|2024年应用安全趋势3 应用安全领域的关键发现 数20据23收年集4期月间1：日除至非2尾02注4中年另3有月说3明1，日否的则1本2个报月告期评间估。的时间范围为 目目录录 头分布号式攻拒绝击服务(DDoS)攻击仍然 C一V个E新快zero速-da武y漏器洞化的概念 对Ent第erp三rise方和代组织码平的均使信用任47.1个第三 9恶3意%的的机器人可能是 应用层流量中占137.1。 是型针之一对，W在ebCl应ou用dfl的a最re常缓见解攻的击所类有 过传统时的的WebA应P用I防安火全墙方(WA法F)规则 代API威胁。 最WA常F用负于面保安护全模AP型I流方量法5不；然足而以，抵传御统现的 验Clo证ud(PfloaCre)发就布观仅察到22尝分试钟利后用，。2 方进脚行本49——.6个其出W站eb连应接用。平3 均向第三方资源 约其三中分大之多一数((3913.2%%))未的经流验量证来并自可机能器存人在， 恶意。4 C企o业o网k站i平e均同使意用1风1.5险个HTTP cCooookkiiee，可中能位会数使为最5终个用。户6这面些临H隐T私TP 风化险这，些应风用险的。所有者有责任监控和最小 Cloudflare|2024年应用用安安全趋势4 范应用围安全和领报域的告关键方发法现 总流体量而定言义，为C任lou何d被flaCrelo在ud数fl据are收阻集止期或间质缓询解的了流所量有（W完e整b应技用术流定量义请的参6.阅8%术。语7“表缓）解。” 目录 为4月了涵1盖日至如此20广2泛4年的范3月围，3本1日报期告间基）于，C包lo括u以dfl下ar服e务全：球网络上的聚合流量模式（2023年 具业体务的威性胁质类以型及攻和击相者关的缓目解标技。术取决于许多因素，例如应用的潜在安全漏洞、受害者2023-2024年期间针对Web应用和API的攻击部分例子： •A社n交on媒ym体o平u台sS、u政da府n机组构织和出其于他政机治构动发机动，了在全DD球o范S攻围击内。对银行、大学、医院、机场、 •（使W用e各b种应安用全防措火施墙过）滤Web应用和互联网之间的HTTP流量，以阻止广泛的实时攻击 •（缓高解级针对DD域o名S系防统护）(DNS)服务器的DDoS攻击 •(充A当PI接Ga受te、w转a换y)、路由和管理所有API调用的中介 •C由lo一u个dfl僵ar尸e网观络察发到起一，次其创中纪仅录有的2D万D台o机S攻器击，它，其们不利断用更了换HTIPTP地/2址协以议逃的避一缓个解漏措洞施，。 •T-Mobile于2023初披露，一个被利用的API导致3700万个客户账户信息泄露。 •(监Pa控geWSehbie应ld用)在客户端浏览器加载并使最终用户面临风险的第三方依赖 以威者胁上情来自报得Cl到ou第d三fla方re来网源络的的补数充据，读和 Cloudflare|2024年应用安全趋势 可以使用内联链接访问这些来源。 5 换工句具话来说阻：止此专类门攻的击攻的击多。样性使Web应用安全成为一个广泛的学科，但仍需要专门的 •（识机别器机人器管人理活）动、机器人信誉、机器人来源和其他机器人行为 •（阻速止率用限户、制机）器人或应用过度使用或滥用Web资产 缓解流量的趋势目录 图1：Cloudflare产品组别缓解的流量9 5WA3F.和9机%器人缓解 （速包率括限制OW规A则SP、暴十露大凭规据则检、查、 自定义规则、上传内容扫描等） 3HT7T.P1D%DoS规则 0其.他1% 1访.问7规%则 7IP.信2誉% 与用前层一流个量和12第个7月层期(间L7相)D比D，o2S02攻3击年比第例二有季所度上至升20(624.8年%第vs一6季%度)。，C8loudflare缓解的应WAF产品缓解也成为第一大缓解技术——取代了此前DDoS防护的地位。 缓据填解充技，术并排防名止之应所用以泄发露生敏变感化数，可据能，或是者因使为用更多Clo企u业dfl使ar用e的WA机F器规学则习来在阻披止露暴前力阻攻止击z或er凭o- day漏洞利用企图。 这有助于实施组织策略并执行其他自定义缓解措施。 Cloudflare|2024年应用安全趋势 有关这些缓解类型的定义请参阅术语表。 6 部分自定义规则的常见用例包括： WAF规则还包括自定义规则， • 允许来自搜索引擎机器人的流量 •质询恶意机器人 •仅允许来自特定国家/地区的流量 •配置令牌身份验证 •要求特定Cookie 数缓解据流量快的照趋势：缓解流量随时间变化的情况目录 在激截增至但寒20假24期年间3的月峰3值1低日于的预12期个。月内，Cloudflare观察到缓解流量（也就是攻击流量）总体上有所增加。我们还发现今年的攻击流量在2024年1月出现 图2：2023年第二季度至2024年第一季度Cloudflare全球网络缓解的HTTP流量百分比10 11 10 百分比 9 8 7 6 5 2023年5月 2023年7月 2023年9月 时间 2023年11月 2024年1月 2024年3月 Cloudflare|2024年应用安全趋势7 商缓解业方法考量和建议目录 建议 为提了供帮应助用降内低容与和扩缓展解基攻础击设。（根施据以一服组务应Cl用ou增dfl长a相re关客的户成自本行，报企告业，应其该通考过虑在在边边缘缘提 供和缓解流量平均节省了大约30%的基础设施成本。）11 流量有增无减，这是因为企业继续现代化传统应用或发布新应用以： •为全球分布的数据和用户提高应用性能 •将传统应用迁移到云、混合或多云环境 •通过AI驱动的洞察、建议和信息增强用户体验 •现代化后台流程和功能 •从各种不同的工具中构建开发管道，以便开发人员专注于编码 由无业用务W驱eb动应的用应流用量开的发需不求能将放可缓能；出因现此增，阻长止。、质询和限制（即缓解）恶意或 Cloudflare|2024年应用安全趋势8 zero-day趋势 zero-day漏洞利用（也称为zero-day威胁）正在增加，已披露CVE的武器化也在加快。 •2023年，97个zero-day漏洞在实际网络环境中遭到利用 •2022年至2023年期间披露的CVE数量增加了15% •2时0间23为年3，5超天过5000个严重漏洞被披露，但针对高危Web应用漏洞发布补丁的平均 从以针及一对些客针户的对线CV上E存利在用P尝oC试（来例看如，ACploacuhdefl、aCroeld主fu要si观on察、M到o扫bi描leI活ron动），的其漏次洞是利命用令尝注试入。，12 目录 例距如离，概C念lo验ud证fla代re码在发3布月仅42日2分19钟:4。5UTC观察到对CVE-2024-27198的利用尝试时， CVE-2024-27198漏洞时间线|3月4日 C的V持E续利活用尝动，试在活某动些的情这况一下趋可势能表取明得，攻成击功者。首先瞄准最容易的目标，而鉴于围绕老漏洞已攻击披的露速CV度E。漏洞被利用的速度通常快于人类创建WAF规则或创建和部署补丁以缓解 14:00UTC Jetbrains发2布02T3e.1a1m.4c更itie新s 14:59UTC 19:23UTC Rapid包7括发概布念博验客证文利章，用 到 19:45UTC JCeVtEb-r2a0i2n4s-公27开19披8露 C利lo用u尝dfl试are观察 Cloudflare|2024年应用安全趋势9 商ZER业O-D考AY量漏洞和建议目录 根之间据就定会义展，z开er一o-场da保y是护指和还利用没有应相用应之间补丁的可竞用赛的。漏洞。漏洞披露后，安全专家和攻击者在相新应型漏攻洞击。然手而段，造有成时问C题VE前补越丁快可发能现要和等予好以几缓个解小，时内（部甚团至队几就天有或越几多个时月间）才来发修布补。和解决 建议 更资新源的紧张W的eb组应织用应防该火优墙先(处W理AF高)部风署险，和以正保在护被那利些用无的法漏及洞时，修并补使的用应提用供。自动规则 规则识别——但它们被我们基于机器学习的分类器在“零时间”内正确检测和分类。 W前A予F以机阻器止学。习(ML)模型使得更容易在某些zero-day利用被公布和漏洞被披露之例如，对于2023年6月首次披露的一些SitecoreCVE，最初未被Cloudflare托管Cloudflare还在漏洞被公开披露之前就阻止了IvantiConnectSecure漏洞。 Cloudflare|2024年应用安全趋势10 userid:532115,docid:171353,date:2024-08-09,sgpjbg.com 图全球3-：数不据同日时期范间围段从内20的23应-04用-01层到D20D2o4-S03攻-31击体量13 2500亿 2000亿 1500亿 1000亿 500亿 DDoS攻击趋势目录 2023年5月 2023年7月 2023年9月 时间 2023年11月 2024年1月 2024年3月 2023年缓解DDoS攻击总数的32%。 身的规模也在增长，如下页所示。 D（D参o见S攻图击1）仍。然9是针对Web应用的最常见攻击类型，在缓解应用流量中占37.1 具体而言，应用层HTT