2024年应用安全趋势报告

2024年应用安全趋势 目录 17客户端风险数据快照：第三方脚本和 Cookie 使用情况18商业考量和建议19影子 API 风险20商业考量和建议21总结22Cloudflare 如何提供协助23了解更多24附录Cloudflare 主要术语表25尾注 3摘要4应用安全领域的关键发现5范围和报告方法6缓解流量的趋势7数据快照：缓解流量随时间变化的情况8商业考量和建议9zero-day 趋势10商业考量和建议11DDoS 攻击趋势12数据快照：最大规模的 HTTP DDoS 攻击13商业考量和建议15机器人流量趋势数据快照：具有高机器人流量的行业16商业考量和建议 摘要 不管您的组织如何处理应用安全问题，我们都希望这份报告可以指导您在哪些地方优先考虑未来的应用安全控制——而不会抑制数字创新。 例如，DDoS 攻击的速度和数量不断增加，表明僵尸网络越来越多被用于发动 DDoS 攻击，效率也越来越高。而 DDoS攻击是针对 Web 应用的第一大攻击类型。您的团队是否具备适当的能力，以检测和阻止由数十万、甚至数百万台机器组成的恶意僵尸网络发送的流量？ Web 应用是现代生活的核心。对政府而言，它们是向公众传达信息和提供基本服务的重要途径。对企业来说，它们是收入、效率和客户洞察的来源。 然而，移动关键数据、流程和基础设施的应用和应用编程接口 (API) 也代表着一个不断扩大的攻击面。未受保护的应用遭到利用可能导致业务中断、财务损失和关键基础设施崩溃。 此外，某些行业面临更大比例的机器人流量。其他行业发现自己成为大量 DDoS 攻击的目标。您能以多快的速度响应这些威胁，以避免财务损失和声誉损害？ 开发人员需要快速交付新功能，例如由大型语言模型 (LLM)和生成式 AI驱动的能力，放大了这个问题。 Cloudflare 还发现，截至 2024 年 5 月，企业和组织平均使用47.1 个第三方脚本。您的组织是否无意中使最终用户暴露于供应链风险中？ Cloudflare 由世界上最大的网络之一驱动，平均每秒处理超过5700 万个 HTTP 请求，每天阻止 2090 亿次网络威胁。这一流量的体量、速度和多样性为本《2024年应用安全趋势》报告中探讨的洞察提供了信息。 随着新的应用风险超出专门应用安全团队的资源范围，越来越多组织意识到需要采取不同的方法。Gartner®预测“到2027 年，30% 的网络安全功能将重新设计应用安全性，以供非网络专家直接使用，并由应用所有者负责。” 应用安全领域的关键发现 数据收集期间：除非尾注中另有说明，否则本报告评估的时间范围为2023 年 4 月 1 日至 2024 年 3 月 31 日的 12 个月期间。 CVE 快速武器化 对第三方代码的信任 头号攻击 93% 的机器人可能是恶意的 分布式拒绝服务 (DDoS) 攻击仍然是针对 Web 应用的最常见攻击类型之一，在 Cloudflare 缓解的所有应用层流量中占37.1。1 Enterprise 和组织平均使用 47.1 个第三方脚本——其 Web 应用平均向第三方资源进行49.6 个出站连接。3 一个新 zero-day 漏洞的概念验证 (PoC) 发布仅 22 分钟后，Cloudflare 就观察到尝试利用。2 约三分之一 (31.2%) 的流量来自机器人，其中大多数 (93%) 未经验证并可能存在恶意。4 过时的 API 安全方法 Cookie 同意风险 企业网站平均使用 11.5 个HTTPcookie，中位数为 5 个。6这些 HTTPCookie 可能会使最终用户面临隐私风险，应用的所有者有责任监控和最小化这些风险。 传统的 Web 应用防火墙 (WAF) 规则最常用于保护 API 流量5；然而，传统的WAF 负面安全模型方法不足以抵御现代 API 威胁。 应用安全领域的关键发现 范围和报告方法 总体而言，Cloudflare 在数据收集期间缓解了所有 Web 应用流量的 6.8%。7“缓解”流量定义为任何被 Cloudflare 阻止或质询的流量（完整技术定义请参阅术语表）。具体的威胁类型和相关缓解技术取决于许多因素，例如应用的潜在安全漏洞、受害者业务的性质以及攻击者的目标。 为了涵盖如此广泛的范围，本报告基于 Cloudflare 全球网络上的聚合流量模式（2023 年4 月 1 日至 2024 年 3 月 31 日期间），包括以下服务： •使用各种安全措施过滤 Web 应用和互联网之间的 HTTP 流量，以阻止广泛的实时攻击（Web 应用防火墙）•缓解针对域名系统 (DNS) 服务器的 DDoS 攻击（高级 DDoS 防护）•充当接受、转换、路由和管理所有 API 调用的中介(API Gateway)•监控 Web 应用在客户端浏览器加载并使最终用户面临风险的第三方依赖(Page Shield)•识别机器人活动、机器人信誉、机器人来源和其他机器人行为（机器人管理）•阻止用户、机器人或应用过度使用或滥用 Web 资产（速率限制） 2023-2024 年期间针对 Web 应用和 API 的攻击部分例子： •Anonymous Sudan组织出于政治动机，在全球范围内对银行、大学、医院、机场、社交媒体平台、政府机构和其他机构发动了 DDoS 攻击。•Cloudflare 观察到一次创纪录的 DDoS 攻击，其利用了 HTTP/2 协议的一个漏洞，由一个僵尸网络发起，其中仅有 2 万台机器，它们不断更换 IP 地址以逃避缓解措施。•T-Mobile 于 2023 初披露，一个被利用的 API 导致 3700 万个客户账户信息泄露。 换句话说：此类攻击的多样性使 Web 应用安全成为一个广泛的学科，但仍需要专门的工具来阻止专门的攻击。 缓解流量的趋势 与前一个 12 个月期间相比，2023 年第二季度至 2024 年第一季度，Cloudflare 缓解的应用层流量和第 7 层 (L7) DDoS 攻击比例有所上升 (6.8% vs 6%)。8 WAF 产品缓解也成为第一大缓解技术——取代了此前 DDoS 防护的地位。 缓解技术排名之所以发生变化，可能是因为更多企业使用 WAF 规则来阻止暴力攻击或凭据填充，并防止应用泄露敏感数据，或者使用 Cloudflare 的机器学习在披露前阻止 zero-day 漏洞利用企图。 WAF 规则还包括自定义规则，这有助于实施组织策略并执行其他自定义缓解措施。 部分自定义规则的常见用例包括： •允许来自搜索引擎机器人的流量•仅允许来自特定国家/地区的流量•质询恶意机器人•配置令牌身份验证•要求特定 Cookie 缓解流量的趋势 数据快照：缓解流量随时间变化的情况 在截至 2024 年 3 月 31 日的 12 个月内，Cloudflare 观察到缓解流量（也就是攻击流量）总体上有所增加。我们还发现今年的攻击流量在 2024 年 1 月出现激增但寒假期间的峰值低于预期。 缓解方法 商业考量和建议 流量有增无减，这是因为企业继续现代化传统应用或发布新应用以： •为全球分布的数据和用户提高应用性能•将传统应用迁移到云、混合或多云环境•通过 AI 驱动的洞察、建议和信息增强用户体验•现代化后台流程和功能•从各种不同的工具中构建开发管道，以便开发人员专注于编码 建议 为了帮助降低与扩展基础设施以服务应用增长相关的成本，企业应该考虑在边缘提供应用内容和缓解攻击。（根据一组 Cloudflare 客户自行报告，其通过在边缘提供和缓解流量平均节省了大约 30% 的基础设施成本。）11 由业务驱动的应用开发不能放缓；因此，阻止、质询和限制（即缓解）恶意或无用 Web 应用流量的需求将可能出现增长。 zero-day 趋势 例如，Cloudflare 在 3 月 4 日 19:45 UTC 观察到对 CVE-2024-27198 的利用尝试时，距离概念验证代码发布仅 22 分钟。 zero-day 漏洞利用（也称为 zero-day 威胁）正在增加，已披露 CVE 的武器化也在加快。 •2023 年，97 个 zero-day漏洞在实际网络环境中遭到利用•2022 年至 2023 年期间披露的 CVE 数量增加了 15%•2023 年，超过 5000 个严重漏洞被披露，但针对高危 Web 应用漏洞发布补丁的平均时间为35 天 从针对客户的 CVE 利用尝试来看，Cloudflare 主要观察到扫描活动，其次是命令注入，以及一些针对线上存在 PoC（例如 Apache、Coldfusion、MobileIron）的漏洞利用尝试。12 CVE 利用尝试活动的这一趋势表明，攻击者首先瞄准最容易的目标，而鉴于围绕老漏洞的持续活动，在某些情况下可能取得成功。 已披露 CVE 漏洞被利用的速度通常快于人类创建 WAF 规则或创建和部署补丁以缓解攻击的速度。 ZERO-DAY 漏洞 商业考量和建议 根据定义，zero-day 是指还没有相应补丁可用的漏洞。漏洞披露后，安全专家和攻击者之间就会展开一场保护和利用应用之间的竞赛。 在新型攻击手段造成问题前越快发现和予以缓解，内部团队就有越多时间来修补和解决相应漏洞。然而，有时 CVE 补丁可能要等好几个小时（甚至几天或几个月）才发布。 建议 资源紧张的组织应该优先处理高风险和正在被利用的漏洞，并使用提供自动规则更新的 Web 应用防火墙 (WAF) 部署，以保护那些无法及时修补的应用。 WAF机器学习 (ML)模型使得更容易在某些 zero-day 利用被公布和漏洞被披露之前予以阻止。 例如，对于 2023 年 6 月首次披露的一些 Sitecore CVE，最初未被 Cloudflare 托管规则识别——但它们被我们基于机器学习的分类器在“零时间”内正确检测和分类。Cloudflare 还在漏洞被公开披露之前就阻止了Ivanti Connect Secure 漏洞。 DDoS 攻击趋势 DDoS 攻击仍然是针对 Web 应用的最常见攻击类型，在缓解应用流量中占 37.1（参见图 1）。9 具体而言，应用层 HTTP DDoS 攻击同比增长 93%，环比增长 51%。14 例如，2024 年 3 月 7 日瑞典加入北约后，Cloudflare观察到针对瑞典的 DDoS 攻击增加了 466%。这与 2023 年芬兰加入北约时观察到的 DDoS 模式一致。15DDoS 攻击本身的规模也在增长，如下页所示。 我们在 2024 年 2 月和 3 月观察到容量耗尽攻击大幅增加。13仅在 2024年第一季度，Cloudflare 的自动防御系统就缓解了 450 万次 DDoS 攻击，相当于 Cloudflare 在2023 年缓解 DDoS 攻击总数的 32%。 DDOS 攻击 数据快照：最大规模的 HTTP DDoS 攻击 2023 年，Cloudflare 缓解了一次超大容量的 DDoS 攻击，其峰值达到每秒 2.01 亿个请求 (rps)——三倍于以往观察到的最大攻击。16 在“HTTP/2 Rapid Reset”攻击中，威胁行为者利用了 HTTP/2 协议中的一个 zero-day 漏洞。HTTP/2 协议对互联网和所有网站的工作至关重要。 这一漏洞利用有可能使几乎所有支持 HTTP/2 的服务器或应用瘫痪，凸显了利用漏洞发动的 DDoS 攻击对未受保护的企业有多大威胁。 来源：Cloudflare 2023 年第四季度 DDoS 威胁趋势报告17 DDOS 攻击 商业考量和建议 HTTP/2 Rapid Reset 和其他大型 DDoS 攻击表明，目前 DDoS 攻击由僵尸网络更高效地发动。 例如，网络犯罪团伙在暗网上以低廉的价格提供 DDoS 即服务，甚至提供“订阅和节省”套餐及支持档次。 截至 2023 年，许多提供