云上WAAP发展洞察报告（2023）

版权声明 本报告版权属于瑞数信息技术（上海）有限公司、中国信息通信研究院云计算与大数据研究所，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：瑞数信息技术（上海）有限公司、中国信息通信研究院云计算与大数据研究所”。违反上述声明者，编者将追究其相关法律责任。 参编人员 马蔚彦、吴剑刚、李忆晨、卫斌 目录 二、WAAP核心能力要求....................................................................................9 （一）Web应用程序防护能力............................................................................9（二）DDoS防御能力........................................................................................11（三）Bot管理能力............................................................................................12（四）API安全防护能力...................................................................................14（五）底层联动性...............................................................................................16 三、WAAP安全防护体系建设思路..................................................................17 （一）安全建设体系架构...................................................................................17（二）WAAP典型应用场景分析......................................................................20四、WAAP未来发展展望..................................................................................22附录WAAP典型应用案例................................................................................26（1）APP新人礼包防护案例............................................................................26（2）业务外挂防护案例.....................................................................................27（3）安全攻击防护案例.....................................................................................28（4）支付API滥用防护案例............................................................................29 图目录 图1 WAAP安全建设体系架构.........................................................................18图2 WAAP核心建设内容参考.........................................................................19图3 APP新人礼包防护案例.............................................................................26图4业务外挂防护案例.....................................................................................27图5安全攻击防护案例.....................................................................................28 一、WAAP成为未来安全防护发展方向 （一）企业加速上云步伐，安全态势严峻 1.安全建设向云上应用业务延伸，相关监管日趋严格 当前企业数字化进程不断加速，企业安全建设向云上应用延伸。企业上云已成大势所趋，云上安全成为企业数字化转型趋势下不可忽视的重要因素。中国信通院发布的《云计算白皮书（2023年）》显示，我国云计算市场持续高速增长，2022年云计算市场规模达4550亿元。其中，公有云市场规模增长40.93%至3256亿元，私有云市场增长25.3%至1294亿元。预计2025年我国云计算整体市场规模将突破万亿元。在大模型、算力等需求刺激下，市场仍将保持稳定增长。随着云时代的到来，企业上云成为越来越多企业的选择，Web或APP服务成为企业核心业务的载体，Web应用攻击已成为企业面临的主要安全问题之一。 我国各级监管机构高度重视数据安全和网络信息安全，并出台多项“数据安全”和“网络安全”相关的政策文件。“十四五”规划指出，应“加强网络安全风险评估和审查。加强网络安全基础设施建设，强化跨领域网络安全信息共享和工作协同，提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力”。《中华人民共和国网络安全法》指出，应“保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改”。《中华人民共和国数据安全法》强调，开展数据处理活动“应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采 取处置措施，按照规定及时告知用户并向有关主管部门报告”。多项政策文件的落地和执行体现出我国对网络安全和数据安全的督察力度日益增大，这也意味着企业的安全建设标准日益提升。企业在应用业务上云的过程中，面临着严峻的数据安全考验，应用漏洞风险导致的安全隐患和严重后果已被上升至法律层面。 2.业务接入渠道日趋丰富，安全风险加剧 新技术的蓬勃发展驱动业务创新变革，业务接入渠道愈加丰富。用户需求不断升级，驱动企业加速数字化转型进程，而技术转型是其中必不可少的一环。新技术的诞生使得传统业务接入方式趋向多样化和复杂化发展，常见业务渠道包括Web、H5、APP、小程序等。一方面，新渠道的发展为传统行业数字化转型带来新活力。不再拘泥于终端设备和操作系统，用户可实现跨端接入，享受应用的自动更新，一定程度上增加了操作便捷性，提高用户粘性。另一方面，多样的接入渠道导致应用安全风险加剧，数据安全问题凸显。随着业务渠道愈发开放，攻击者开发出更多更先进的攻击工具对企业业务进行攻击，传统防护技术已经无法满足现有安全防护需求。复杂化和多样化的业务接入渠道深度依赖于API之间的相互调用，由API接口带来的应用敞口风险和风险管控链条不断扩大，导致利用API接口漏洞进行攻击的事件与日俱增。攻击者还可通过逆向APP和小程序客户端应用代码，绕过设备限制，直接对API接口展开攻击，窃取业务敏感数据。各类工具化、智能化、拟人化的Bot攻击也给云上业务带来威胁，导致安全风险进一步加剧。 3.企业面临严峻安全防护挑战，新型攻击方式层出不穷 数字化时代，企业信息化建设的步伐明显加快。与此同时，应用安全也面临多重威胁。随着多类型应用兴起，攻击事件与日俱增，常见的攻击方式包括API接口攻击、分布式拒绝服务（DDoS）攻击、Bot攻击等。 在API攻击方面，API是企业数字化转型的关键组成部分，攻击者可以利用各种不同的手段攻击API并窃取敏感数据或者干扰企业的业务流程。Gartner在《如何建立有效的API安全策略》报告中预测，API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介，到2024年，API滥用和相关数据泄露将几乎翻倍。 在DDoS攻击方面，DDoS攻击成本低廉且难以防御，已成为各类攻击中最大的威胁之一。DDoS攻击可能直接导致网站宕机、服务器瘫痪、消耗大量带宽或内存。据《2022年DDoS攻击威胁报告》显示，2022年DDoS攻击次数同比增长8%，已连续4年持续呈现增长态势；百G以上大流量攻击愈发普遍，攻击峰值创历史新高，达到1.45Tbps。 在Bot攻击方面，Bot攻击已成为最主要的攻击手段，且趋向拟人化发展，难以辨别隐藏其中的恶意特征。Bot即Robot（机器人）的简称，可以看作自动完成某项任务的智能软件。Bot攻击包括漏洞扫描、零日漏洞探测、爬虫、撞库等。据《2022年Web安全观察报告》显示，2022年，Bot攻击平均每秒发生约5175次，攻击量为2021年的1.93倍。 4.传统安全解决方案难以满足日益复杂的安全需求 云上应用程序和API可以通过公共互联网访问，这使得它们成为攻击者的主要目标。攻击者可以获取敏感数据，从而进行非法获利。然而，云上应用程序及API保护却是一个具有挑战性的任务，传统的安全解决方案不能对其进行有效保护，主要原因如下： 一是基于签名的Web攻击检测不再有效。针对网络应用程序的威胁处于不断变化的过程中，使用基于签名的检测易被绕过。而对于Web漏洞探测、零日攻击，以及没有漏洞规则特征的模拟合法行为的Bot自动化工具攻击，例如撞库、暴力破解、批量注册、恶意爬虫、低频多源攻击等行为，难以设定规则和特征签名进行识别，所以传统防护效果并不理想。新一代Web安全解决方案需要具备有效的Bot攻击防护能力，可以实现对各种自动化工具的防护，有助于企业及时防护不断变化的应用安全威胁。 二是加密流量导致恶意攻击更难以识别。如今超过一半的网络流量使用TLS加密。这种加密方式有利于保护隐私，但却使检测恶意内容和攻击特征更加困难。新一代Web安全解决方案需要规避依赖内容识别攻击的机制，通过检测客户端请求环境的真实性，实现对各种非法客户端访问的防护。 三是基于信誉库和威胁情报的防护技术时效性和覆盖面不足。信誉库和威胁情报需要持续积累和更新，其覆盖面有限。例如，Bot作为新兴威胁，对Web应用和API保护带来不容小觑的挑战，但对于Bot的威胁情报库尚未完备，仍需持续积累。随着攻击手段多样化、 智能化发展，威胁情报的有效周期也在缩短，企业一方面需要更加及时有效的威胁情报，另一方面也需要实时的Bot识别和API防护技术，实现对应用和数据安全的全面防护。 四是对现代应用架构的适应力不足，云原生应用敏捷和开发运维的一体化特性，让Web防护规则难以进行及时调优。在敏捷开发和运维过程中，现代Web应用和API接口处于持续变化的状态，尽管云Web应用防火墙可以快速形成针对新型漏洞的安全防御策略并进行全网更新，但其无法进行智能化和自动化的人工调整优化，难以适应现代应用的快速变化。 （二）WAAP成为下一代Web安全防护解决方案 1.WAAP的定义 WAAP，即Web Application and APIProtection的缩写，指Web应用程序与API保护。WAAP是一种综合性的多层防护解决方案，用于保护Web应用程序和API免受各种网络攻击，例如SQL注入、跨站脚本攻击、跨站请求伪造、撞库、爬