引言:
随着现代Web应用程序的发展、应用程序环境和威胁的代际转变,应用的去中心化和分布式趋势明显,Bot和自动攻击的日益复杂化,移动应用使用量的增加和现代应用开发带来的API端点的激增,极大地扩展了威胁面,并引入了来自第三方集成不可预见的风险。
数字化转型的步伐加快,威胁形势的变化速度也在加快。2022年上半年,全球Web应用程序和API攻击数量显著增加,攻击尝试次数已超过90亿次,比2021年上半年增加了3倍。分布式拒绝服务(DDoS)攻击的规模继续扩大、复杂性继续提升。
面对日趋复杂严峻的网络与数据安全态势,需要一种更新的技术集合来解决此类难题,大模型和Agent技术开启了全面自动化的新时代,安全市场不断发展的成果,将满足这些需求!
图商业、高科技和金融服务是受Web应用程序和API攻击影响最为严重的垂直行业
一、网络与数据安全形势
01 Web应用程序和API防护挑战
Web应用程序不断发展,变得更加复杂,这为企业带来了新的应用程序安全挑战。现代Web应用程序和微服务越来越多地依赖API进行几乎所有的交互,从而扩大了攻击面,为黑客提供了新的潜在入口点。目前,已知的软件漏洞数量已超过180,000个,而且每年还在新发现数千个漏洞。
02 API攻击引发以风险的关注
开放式Web应用程序安全项目(OWASP)发布了API十大安全漏洞名单,从新的名单中可以看出,API攻击占据的比重日益加大。
图:新的 API 十大安全漏洞中包含更多与API相关的攻击,并着重强调了授权问题(在前五大攻击中占据四席)
03 传统安全架构的防护窘境
随着应用程序攻击面的扩大,网络犯罪分子发起了越来越复杂的多媒介攻击。攻击者经常使用自动爬虫程序、僵尸网络和漏洞扫描器,借此成功入侵IT环境并接管用户帐户,从而窃取数据,破坏业务运营,并发起破坏性的网络攻击。面对复杂攻击,传统堆叠式、积木式、城防式的安全架构,存在漏洞多、兼容性差、笨重不灵活、缺少高效协同劣势,无法有效应对越来越复杂的攻击。
网络安全面对的往往不单单是网络安全,现代应用的无边界化,传统网络安全防护体系已不能适应新的威胁,网络安全与数据安全问题错综复杂,任意一个漏洞都可能直接造成数据安全泄漏。因此,企业必须寻求可以更全面地应对日常安全威胁的集成解决方案,一种更新的方案,将安全性融入持续集成/部署过程中。
图 传统“积木式、城防式架构”任意层漏洞都可直接造成数据泄漏
二、安全市场新技术方向及趋势分析
2023年9月,Gartner发布2023年数据安全五大新兴技术,在此文中,Gartner认为,应对量子计算威胁、安全工具的融合和集成以及管理未知的影子IT数据是当务之急。
01 单点解决方案存在明显短板
据统计数据显示,50%的大公司和42%的中小型公司(SMB)认为,与旧版系统的兼容性问题是采用安全流程和安全技术的一大障碍。
当今企业大多倾向于从多家供应商购买单个产品或单点解决方案,然后选择功能最好、成本最低的产品来满足不同方面的安全要求。但是,这种方法会使基础设施碎片化,从长期来看,这反而需要付出更高的成本和大量的时间进行管理。此外,碎片化的安全环境还可能会存在缺口,不仅让攻击者有机可乘,而且会导致额外的成本。
图 对采用安全解决方案时存在多种障碍表示认同的大公司和中小型公司的比例
02 安全工具的融合与集成效能更高
广泛使用各种安全产品与安全工具固然很好,但构建立体防护会是更好的选择。企业开始寻求融合与集成安全解决方案,而不是购买大量不能交互操作且很难管理的技术。虽然集成解决方案的初期成本较高,但是此类系统更有可能预防 安全漏洞,而且从长期来看所需的维护和管理成本会更少。将安全解决方案融入运营流程,并采用更有效的工具。这些措施所能达到的效果,将远远超过单纯采用单点解决方案。
综合各方考虑,选择安全工具融合与集成的架构是值得的,这比购买大量单点解决方案更高效、更简单。
图 中国的企业和其他国家/地区的企业对各种威胁防御工具的使用情况(单位:百分比)
03 AI Agent是开启全面自动化的关键技术
大模型的出现,自主智能体(AI Agent)正逐渐成为全面自动化的新趋势,AI智能体(AI Agent)是一种具备环境感知、决策制定和行动执行能力的智能存在。与传统AI的主要区别在于其能够针对目标进行思考、决策和行动。只需一个目标,它就能自行规划和实施策略,利用外界反馈和自我思考实现任务。Agent的关键特点是感知环境、自主决策、具备行动能力,设定明确的目标和任务,适应环境及学习能力。
图 AI Agent(AI 智能体)
三、WAAP-网络与数据安全工具融合与集成方案
图 通付盾WAAP解决方案
通付盾WAAP是一种能够不断自我学习和适应最新攻击行为的网络与数据安全防护技术集合,是一款具有可视化拖拽功能的自动化编排安全体系产品,是一个融合AI Agent(AI智能体)、Web应用防护、API安全、Bot管理、DDOS缓解、风险智能决策等功能的安全工具集成解决方案。通付盾WAAP采用现代技术自适应体系,融合策略、模型、图谱分析进行实时甄别欺诈及批量风险决策,自适应引擎可对复杂环境变化进行快速配置及管理,能够自主分析网络中传输的数据和流量,有效识别并智能拦截恶意攻击,保障现代应用网络与数据安全。
01 解决传统Web防护短板
现代Web应用程序的发展,恶意攻击者用来破坏应用程序安全性的技术也在不断发展。有了新的功能和特性,攻击者有更多的表面积可以尝试和瞄准。敏捷方法和DevOps实践的采用也导致开发、软件更新和新功能发布的步伐迅速加快。
这些发展趋势也导致传统的Web应用防火墙(WAF)无法跟上安全需求。WAF通常依赖于手动调整和持续维护,并且通常只监控开放Web应用程序安全项目(OWASP Top 10)列出的前10大最严重威胁。所有这一切意味着当今的开发人员、应用程序安全团队和DevOps需要一个更好的解决方案来提供可随Web应用程序部署扩展的安全性。
02 集成融合形成立体防护
Web应用程序安全市场不断发展以跟上新数字经济的步伐。虽然Web 应用程序防火墙(WAF)已被证明是缓解应用程序漏洞的有效工具,但 API的激增和攻击者复杂程度的提高引发了WAF、API安全、机器人防御、DDoS缓解和应用程序基础设施保护的融合。WAAP解决方案可保护应用程序免遭泄露、停机和欺诈。
竞争激烈的数字环境促使组织采用现代软件开发来在市场中取得领先地位,从而实现快速发布周期以引入新功能以及集成、前端用户界面和后端API的混搭。因此,新的数字经济需要Web应用程序安全进入新时代,以安全地释放创新、有效管理风险并降低运营复杂性。
03 WAAP是网络与数据安全工具的融合与集成
传统Web安全防护更多的点在网络安全层面,针对数据安全需要另外的数据安全产品来补充,一方面,面对不断变化的网络威胁,针对传统Web防护,需要进化与革新,另一方面也需要提供统一的整体防护。WAAP全称是Web应用程序与API保护,它是一个网络安全实现的集合,通过一系列自动伸缩的、云原生的安全模型来保护API和Web应用程序,同时降低机器人扫描的风险,每个模型都有不同的策略来提高安全性,帮助客户提高应用程序的性能与防护能力。以往要解决这些Web问题分别要不同产品和服务获得保护,但是通过WAAP解决方案,可由一个产品或服务就可以提供统一的整体防护,并由一个厂商为解决方案提供支持。
四、WAAP解决的问题
WAAP解决方案通过集成各种安全控制措施来保护应用,从而降低系统入侵、数据泄露、帐户接管和应用停机的风险,包括:
·Web应用防火墙(WAF)
·Bot管理
·API安全
·DDoS缓解
图 Web应用和API保护(WAAP)
WAAP通过对API进行漏洞扫描和修复,发现及管理数据资产,及时发现并修复API中的安全漏洞;
通过对API访问进行控制和监控,防止未经授权的访问和恶意攻击;
通过Web动态防御,隐藏攻击入口,提升站点内容保护力度,提高攻击者的攻击成本;
通过基于特征、行为、人机识别等模型,识别与拦截自动化攻击,防范数据爬取,保护数据资产;
通过智能决策,动态应用配置,防范应用层DDOS,降低服务负载,防止过量攻击;
通过体系化的安全模型及防护措施,加强API安全管理,防御自动化攻击,防范数据泄露。
五、WAAP解决方案的作用
01 减少应用程序漏洞
保护应用程序免受关键风险(例如OWASP Top10中列出的威胁),针对注入和跨站点脚本(XSS)等常见漏洞提供防护措施,并缓解针对复杂软件供应链、第三方集成和跨云安全配置错误的新兴风险。
02 API安全
通过敏感数据的深度发现和分类来检测API,为所有API资产,并提供持续保护,对所有端点的全面API发现和敏感数据分类,消除数据泄漏和API滥用的威胁。
03 减少机器人和滥用行为
正如企业采用自动化来提高流程效率一样,攻击者也利用机器人和自动化来扩大攻击规模、绕过安全对策并接管客户帐户。WAAP解决方案保持弹性并自动适应攻击者的变化,而不依赖于以往常规的安全控制,从而确保业务成功。
04 防御DDoS攻击
各种规模的组织都面临着遭受拒绝服务攻击的风险。这些攻击的共同目标是破坏性能和可用性,但攻击本身各不相同。WAAP解决方案可连接到任何架构,以对抗对业务面临的DoS和DDoS攻击。
六、企业上线WAAP方案利益分析
01 实现广泛的防护
获得针对所有网站、应用程序和API提供的全面保护,使其免受广泛的网络威胁,包括自动僵尸网络、基于API的攻击、注入攻击和大规模拒绝服务攻击等。
02 减少API攻击面
自动发现并保护API免受漏洞影响,降低API攻击面风险,可自动持续分析流量以发现已知、未知和不断变化的API(包括其端点、定义和特征),然后使用简单易行的工作流来保护API免受DDoS、注入和撞库攻击的侵扰。比如OWASP十大威胁、OWASP十大API威胁,等等。
03 用更少的资源完成更多的工作
通过单一解决方案管理WAAP保护、爬虫程序监测和抵御、DDoS防护Web优化、API加速等。
04 自定义WAAP规则
针对突发业务安全问题可提供应急调整,安全团队可以短时间用较少工作量轻松生成自定义规则,以管理标准保护措施未涵盖的情形。
05 阻止DDOS攻击
WAAP能立即阻止应用层DDoS攻击,降低服务负载,防止过量攻击。
06 灵活展现动态分析
WAAP提供多维动态可视化分析的数据可视化工具,可视化工具制作的分析报表,能够灵活、高效地满足不同浏览者的数据分析需求,帮助浏览者层层分析、掌握数据发展变化、锁定问题产生原因,辅助决策,帮助用户快速解决问题。
07 自动更新WAAP保护措施
自动更新到自适应安全引擎中,从而提高安全防护效果,同时尽可能减少管理开销和操作阻碍。
七、WAAP中应用的技术
01 Agent智能体技术
自适应是应用现代应用的重要能力,针对复杂多变的应用防护态势,利用传统僵硬的配置与应对显然不能满足现代应用防护需求。Agent能够感知其环境并在一段时间内对其采取行动以实现自身目标的技术应用,Agent可通过传感器感知环境(收集信息)并通过执行器作用于该环境(采取行动)的事物,可实现复杂流程自动化。智能体模拟,更加拟人可信,针对复杂场景,Agent可提高场景的适应及决策能力,提升决策效率及准确性。
02 API资产发现技术
数据安全保护的基础要求就是摸清被保护的数据资产,数据资产梳理的关键技术首先是数据发现,摸清数据资产底数,形成完整的数据资产视图,对数据进行全面的、细粒度的安全管理。API资产发现技术,可自动地发现业务潜在的API接口,失联的接口、遗留API和历史API,从API资产盘点,到API路径折叠与规范化,再到进一步的敏感数据暴露面清点。通过对API接口进行梳理和盘点,让运营者快速掌握API资产现状,同时实时感知每个API接口的访问情况,综合进行监控。。。。查看全文》》》
点击下方链接,了解完整内容:
八、总结
现代Web应用的兴起,引发Web应用安全、API安全、运行安全、网络安全及业务欺诈安全等问题聚合出现。自动化攻击技术的不断发展,也让攻击的难度降低,进一步加剧了Web与API安全问题的严重性。保护网络与数据安全问题,需要突破传统架构局限,升级现有架构与安全防护能力,依靠网络与数据安全工具的融合与集成方案-WAAP,提升各安全工具间的兼容性,加强各组件协同性能,降低运维成本,提高效率,增强企业应用程序防护及数据保护能力,更好地保障Web应用与API的可靠性和稳定性,确保数据的完整性和安全性,切实做到立体防御,降本增效。
-END-