8月25日,由中国信息通信研究院(以下简称“中国信通院”)和中国通信标准化协会联合主办的“2023云和软件安全大会”在北京召开。
会上,瑞数信息与中国信通院云计算与大数据研究所联合撰写的《云上WAAP发展洞察报告(2023)》(以下简称“报告”)正式发布。报告旨在通过分析WAAP解决方案的优势及核心能力要求,帮助安全从业者更好地了解WAAP全貌;通过分析构建全方位的WAAP安全防护体系架构和典型应用场景,为企业应用WAAP提供良好的落地思路。
瑞数信息CTO马蔚彦参与《云上WAAP发展洞察报告(2023)》发布仪式
瑞数信息技术总监吴剑刚进行《云上WAAP发展洞察报告(2023)》解读
一、WAAP成为未来安全防护发展方向
随着企业深度用云以及云原生应用的快速普及,云上复杂性提升,导致网络攻击面倍增,伴生出新的安全风险。一方面,Web、H5、APP、小程序等多样的接入渠道带来应用安全风险加剧,数据安全问题凸显,同时API接口攻击、分布式拒绝服务(DDoS)攻击、Bot攻击等新型攻击方式层出不穷,传统安全解决方案已难以满足日益复杂的安全需求;另一方面,我国各级监管日趋严格,企业在应用业务上云的过程中,面临着严峻的数据安全考验,应用漏洞风险导致的安全隐患和严重后果已被上升至法律层面。
在此背景下,传统Web应用防护系统(WAF)技术亟待革新。报告指出,WAAP作为下一代Web安全防护解决方案,正在成为未来安全防护发展方向。
WAAP,即Web Application and API Protection的缩写,指Web应用程序与API保护。WAAP是一种综合性的多层防护解决方案,由以下四部分构成:Web应用程序防火墙(WAF)、API保护、分布式拒绝服务攻击(DDoS)防御、Bot访问管理。
报告显示,WAAP可通过多层防护规则提供可靠、安全的Web应用程序和API保护平台,让企业免受各种网络攻击,例如:SQL注入、跨站脚本攻击、跨站请求伪造、撞库、爬虫、DDoS攻击、API接口滥用等,为企业业务连续性和数据安全保驾护航。
与传统WAF相比,WAAP存在的优势包括两方面:一是实现Web应用程序和API的统一管理。二是进行多维度统一防护,从Web应用安全防护、DDoS攻击防御、Bot管理到API安全防护等多纬度构建Web应用安全防御体系。
二、WAAP应具备五大核心能力
随着WAAP理念的提出,国内外WAF厂商迅速跟进,我国WAF厂商和云服务商逐步构建Bot防护功能和API防护能力,加速落地切实可行的WAAP安全防护体系。但如何具备完善的WAAP防护能力,考验着各大厂商的技术和产品能力。
报告指出,WAAP不是简单的将各项能力并行考虑,企业进行安全体系设计时,应考虑如何将功能进行协作,以及如何对底层的系统资源和流量进行合理调度分配。因此,WAAP核心能力要求主要集中在Web应用程序防护、DDoS防御、Bot管理和API安全防护四部分,同时对平台的底层联动性提出要求。
Web应用程序防护能力
Web应用程序防护是指针对Web安全攻击而做的各种防御措施。主要功能应包括:Web攻击防护(如:SQL注入、命令注入、XSS跨站、Webshell上传、Web服务器漏洞攻击等)、CC攻击防护、漏洞虚拟补丁、网页防篡改、访问合规性检测等。Web攻击防护可以采用规则匹配、流量学习、语义分析、威胁情报等技术,实现更精准的防护。
DDoS防御能力
分布式拒绝服务(DDoS)防御是指保护Web应用程序和API应用免受DDoS攻击,支持对DDoS攻击的异常监测、攻击防护和弹性管理。DDoS攻击防护可以从请求速度限制、TCP检测与代理检测、HTTP客户端验证、威胁情报等几方面进行防护。
Bot管理能力
Bot管理是指支持对各种Bot识别、防护和行为管理,可以对恶意Bot进行甄别处理,对善意Bot进行放行。Bot攻击防护可以从客户端验证、验证码挑战、行为分析、威胁情报等几方面进行防护。
API安全防护能力
API安全防护是指在API资产识别的基础上,对API运行状态、异常访问行为、敏感信息和安全攻击进行监测,从而实现对API资产的全方位管控。API安全防护可以从API流量分析、特征识别、行为分析、敏感信息检测、威胁情报等几方面进行识别与防护。
底层联动性
底层联动性是指WAAP的核心能力之间可以实现数据共享、攻击联防。在实现面向不同防护场景采用有针对性防护技术的基础上,还可以进行技术复用,以达到提升检测防护效率,降低维护成本的目的。底层联动性体现在可以从可编程性、报文统一检测、数据共享、联防联控四个方面进行调度。
三、WAAP安全防护体系建设思路
作为一种让应用安全防护亟需更加主动、高效、融合、智能的一站式WAAP解决方案,WAAP架构是以AI智能分析技术为底座,通过多种技术手段和统一的策略管理平台,提供多云混合云中一致的应用安全服务能力。对此,报告提出了WAAP安全防护体系建设思路:
全业务渠道接入
WAAP解决方案覆盖几乎所有的业务接入渠道,包括Web、APP、API、微信、小程序等,可实现全业务渠道防护;通过用户账号、设备指纹等唯一标识和全量访问记录,将各业务接入渠道的数据进行融合,实现用户访问数据追踪和透视。
全功能融合
以“AI智能”技术为核心,结合规则匹配、流量学习、客户端验证、行为分析和威胁情报技术,打造多检测引擎协同工作机制。
核心技术
一是以“客户端验证”技术为核心,实现Bot识别、客户端环境验证、客户端操作行为验证,帮助企业安全团队实现变被动防护为主动防护,突破被动防护困局。
二是AI智能引擎,高效协同防御。通过流量学习、行为分析、机器学习等技术,结合第三方漏洞库、威胁情报等信息,发现高度隐蔽的攻击,有效提高检测率,降低误漏报,实现对业务威胁的透视。
核心建设内容
WAAP安全防护体系建设时,应从顶层设计角度出发,考虑统一建设、协同工作,避免各能力独立建设带来的资源消耗和性能消耗。具体建设内容包含以下五个方面:一是客户端采集;二是业务接入;三是检测引擎;四是智能策略;五是核心能力。
与此同时,报告还深入分析了WAAP的典型应用场景和案例,并展望了WAAP未来发展趋势,力图让业界从业者更好地了解WAAP全貌,紧跟安全防护最新趋势,推动WAAP安全新技术进一步落地实践。
瑞数信息作为报告的联合撰写方,是中国动态安全技术的创新者和Bots自动化攻击防御领域的专业厂商,提供覆盖Web、APP、云和API资产的全渠道应用、业务、数据及云安全等在内的安全产品及服务。此前,瑞数信息已被Gartner、IDC等国际知名咨询机构连续几年列入云安全领域、API安全领域的代表厂商,同时也是国内首批荣获中国信通院云原生API安全和WAAP能力认证的安全厂商,足见瑞数信息在云WAAP安全领域的强劲实力。
未来瑞数信息还将持续创新技术、产品和服务,提升用户云WAAP安全能力,为企业有效抵御新兴威胁、合规建设应用安全和数据安全打下坚实基础。
