《瑞數信息：云上WAAP發展洞察報告（2023）（34頁）.pdf》由會員分享，可在線閱讀，更多相關《瑞數信息：云上WAAP發展洞察報告（2023）（34頁）.pdf（34頁珍藏版）》請在三個皮匠報告上搜索。

1、 版版 權權 聲聲 明明 本報告版權屬于瑞數信息技術（上海）有限公司、中國本報告版權屬于瑞數信息技術（上海）有限公司、中國信息通信研究院云計算信息通信研究院云計算與大數據研究所，并受法律保護。轉與大數據研究所，并受法律保護。轉載、摘編或利用其它方式使用本報告文字或者觀點的，應注載、摘編或利用其它方式使用本報告文字或者觀點的，應注明“來源：瑞數信息技術（上海）有限公司、中國信息通信明“來源：瑞數信息技術（上海）有限公司、中國信息通信研究院云計算與大數據研究所”。違反上述聲明者，編者將追研究院云計算與大數據研究所”。違反上述聲明者，編者將追究其相關法律責任。究其相關法律責任。參參 編編 人人 員員

2、 馬蔚彥、吳劍剛、李憶晨、衛斌 目目 錄錄 一、WAAP 成為未來安全防護發展方向.1（一）企業加速上云步伐，安全態勢嚴峻.1 1.安全建設向云上應用業務延伸，相關監管日趨嚴格.1 2.業務接入渠道日趨豐富，安全風險加劇.2 3.企業面臨嚴峻安全防護挑戰，新型攻擊方式層出不窮.3 4.傳統安全解決方案難以滿足日益復雜的安全需求.4（二）WAAP 成為下一代 Web 安全防護解決方案.5 1.WAAP 的定義.5 2.WAAP 的構成.5 3.WAAP 的優勢.7 4.WAAP 的發展.8 二、WAAP 核心能力要求.9（一）Web 應用程序防護能力.9（二）DDoS 防御能力.11（三）Bot

3、 管理能力.12（四）API 安全防護能力.14（五）底層聯動性.16 三、WAAP 安全防護體系建設思路.17（一）安全建設體系架構.17（二）WAAP 典型應用場景分析.20 四、WAAP 未來發展展望.22 附錄 WAAP 典型應用案例.26（1）APP 新人禮包防護案例.26（2）業務外掛防護案例.27（3）安全攻擊防護案例.28（4）支付 API 濫用防護案例.29 圖圖 目目 錄錄 圖 1 WAAP 安全建設體系架構.18 圖 2 WAAP 核心建設內容參考.19 圖 3 APP 新人禮包防護案例.26 圖 4 業務外掛防護案例.27 圖 5 安全攻擊防護案例.28 云上 WAAP

4、 發展洞察報告（2023）1 一、WAAP 成為未來安全防護發展方向（一）企業加速上云步伐，安全態勢嚴峻（一）企業加速上云步伐，安全態勢嚴峻 1.安全建設向云上應用業務延伸，相關監管日趨嚴格安全建設向云上應用業務延伸，相關監管日趨嚴格 當前企業數字化進程不斷加速，企業安全建設向云上應用延伸。企業上云已成大勢所趨，云上安全成為企業數字化轉型趨勢下不可忽視的重要因素。中國信通院發布的 云計算白皮書（2023 年）顯示，我國云計算市場持續高速增長，2022 年云計算市場規模達 4550 億元。其中，公有云市場規模增長 40.93%至 3256 億元，私有云市場增長25.3%至 1294 億元。預計

5、2025 年我國云計算整體市場規模將突破萬億元。在大模型、算力等需求刺激下，市場仍將保持穩定增長。隨著云時代的到來，企業上云成為越來越多企業的選擇，Web 或 APP 服務成為企業核心業務的載體，Web 應用攻擊已成為企業面臨的主要安全問題之一。我國各級監管機構高度重視數據安全和網絡信息安全，并出臺多項“數據安全”和“網絡安全”相關的政策文件?！笆奈濉币巹澲赋?，應“加強網絡安全風險評估和審查。加強網絡安全基礎設施建設，強化跨領域網絡安全信息共享和工作協同，提升網絡安全威脅發現、監測預警、應急指揮、攻擊溯源能力”。中華人民共和國網絡安全法指出，應“保障網絡免受干擾、破壞或者未經授權的訪問，防止

6、網絡數據泄露或者被竊取、篡改”。中華人民共和國數據安全法強調，開展數據處理活動“應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施；發生數據安全事件時，應當立即采云上 WAAP 發展洞察報告（2023）2 取處置措施，按照規定及時告知用戶并向有關主管部門報告”。多項政策文件的落地和執行體現出我國對網絡安全和數據安全的督察力度日益增大，這也意味著企業的安全建設標準日益提升。企業在應用業務上云的過程中，面臨著嚴峻的數據安全考驗，應用漏洞風險導致的安全隱患和嚴重后果已被上升至法律層面。2.業務接入業務接入渠道渠道日趨日趨豐富，安全風險加劇豐富，安全風險加劇 新技術的蓬勃發展驅動業

7、務創新變革，業務接入渠道愈加豐富。用戶需求不斷升級，驅動企業加速數字化轉型進程，而技術轉型是其中必不可少的一環。新技術的誕生使得傳統業務接入方式趨向多樣化和復雜化發展，常見業務渠道包括 Web、H5、APP、小程序等。一方面，新渠道的發展為傳統行業數字化轉型帶來新活力。不再拘泥于終端設備和操作系統，用戶可實現跨端接入，享受應用的自動更新，一定程度上增加了操作便捷性，提高用戶粘性。另一方面，多樣的接入渠道導致應用安全風險加劇，數據安全問題凸顯。隨著業務渠道愈發開放，攻擊者開發出更多更先進的攻擊工具對企業業務進行攻擊，傳統防護技術已經無法滿足現有安全防護需求。復雜化和多樣化的業務接入渠道深度依賴于

8、 API 之間的相互調用，由 API 接口帶來的應用敞口風險和風險管控鏈條不斷擴大，導致利用 API 接口漏洞進行攻擊的事件與日俱增。攻擊者還可通過逆向 APP 和小程序客戶端應用代碼，繞過設備限制，直接對 API 接口展開攻擊，竊取業務敏感數據。各類工具化、智能化、擬人化的 Bot 攻擊也給云上業務帶來威脅，導致安全風險進一步加劇。云上 WAAP 發展洞察報告（2023）3 3.企業面臨嚴峻安全防護挑戰，新型攻擊方式層出不窮企業面臨嚴峻安全防護挑戰，新型攻擊方式層出不窮 數字化時代，企業信息化建設的步伐明顯加快。與此同時，應用安全也面臨多重威脅。隨著多類型應用興起，攻擊事件與日俱增，常見的攻

9、擊方式包括 API 接口攻擊、分布式拒絕服務（DDoS）攻擊、Bot 攻擊等。在 API 攻擊方面，API 是企業數字化轉型的關鍵組成部分，攻擊者可以利用各種不同的手段攻擊 API 并竊取敏感數據或者干擾企業的業務流程。Gartner 在如何建立有效的 API 安全策略報告中預測，API 濫用將成為導致企業 Web 應用程序數據泄露的最常見攻擊媒介，到 2024 年，API 濫用和相關數據泄露將幾乎翻倍。在 DDoS 攻擊方面，DDoS 攻擊成本低廉且難以防御，已成為各類攻擊中最大的威脅之一。DDoS 攻擊可能直接導致網站宕機、服務器癱瘓、消耗大量帶寬或內存。據2022 年 DDoS 攻擊威脅

10、報告顯示，2022 年 DDoS 攻擊次數同比增長 8%，已連續 4 年持續呈現增長態勢；百 G 以上大流量攻擊愈發普遍，攻擊峰值創歷史新高，達到1.45Tbps。在 Bot 攻擊方面，Bot 攻擊已成為最主要的攻擊手段，且趨向擬人化發展，難以辨別隱藏其中的惡意特征。Bot 即 Robot（機器人）的簡稱，可以看作自動完成某項任務的智能軟件。Bot 攻擊包括漏洞掃描、零日漏洞探測、爬蟲、撞庫等。據2022 年 Web 安全觀察報告 顯示，2022 年，Bot 攻擊平均每秒發生約 5175 次，攻擊量為 2021年的 1.93 倍。云上 WAAP 發展洞察報告（2023）4 4.傳統安全解決方案

11、難以滿足日益復雜的安全需求傳統安全解決方案難以滿足日益復雜的安全需求 云上應用程序和 API 可以通過公共互聯網訪問，這使得它們成為攻擊者的主要目標。攻擊者可以獲取敏感數據，從而進行非法獲利。然而，云上應用程序及 API 保護卻是一個具有挑戰性的任務，傳統的安全解決方案不能對其進行有效保護，主要原因如下：一是基于簽名的 Web 攻擊檢測不再有效。針對網絡應用程序的威脅處于不斷變化的過程中，使用基于簽名的檢測易被繞過。而對于Web 漏洞探測、零日攻擊，以及沒有漏洞規則特征的模擬合法行為的Bot 自動化工具攻擊，例如撞庫、暴力破解、批量注冊、惡意爬蟲、低頻多源攻擊等行為，難以設定規則和特征簽名進行

12、識別，所以傳統防護效果并不理想。新一代 Web 安全解決方案需要具備有效的 Bot 攻擊防護能力，可以實現對各種自動化工具的防護，有助于企業及時防護不斷變化的應用安全威脅。二是加密流量導致惡意攻擊更難以識別。如今超過一半的網絡流量使用 TLS 加密。這種加密方式有利于保護隱私，但卻使檢測惡意內容和攻擊特征更加困難。新一代 Web 安全解決方案需要規避依賴內容識別攻擊的機制，通過檢測客戶端請求環境的真實性，實現對各種非法客戶端訪問的防護。三是基于信譽庫和威脅情報的防護技術時效性和覆蓋面不足。信譽庫和威脅情報需要持續積累和更新，其覆蓋面有限。例如，Bot 作為新興威脅，對 Web 應用和 API

13、保護帶來不容小覷的挑戰，但對于Bot 的威脅情報庫尚未完備，仍需持續積累。隨著攻擊手段多樣化、云上 WAAP 發展洞察報告（2023）5 智能化發展，威脅情報的有效周期也在縮短，企業一方面需要更加及時有效的威脅情報，另一方面也需要實時的 Bot 識別和 API 防護技術，實現對應用和數據安全的全面防護。四是對現代應用架構的適應力不足，云原生應用敏捷和開發運維的一體化特性，讓 Web 防護規則難以進行及時調優。在敏捷開發和運維過程中，現代 Web 應用和 API 接口處于持續變化的狀態，盡管云 Web 應用防火墻可以快速形成針對新型漏洞的安全防御策略并進行全網更新，但其無法進行智能化和自動化的人

14、工調整優化，難以適應現代應用的快速變化。（二）（二）WAAP 成為下一代成為下一代 Web 安全防護解決方案安全防護解決方案 1.WAAP 的定義的定義 WAAP，即 Web Application and API Protection 的縮寫，指 Web 應用程序與 API 保護。WAAP 是一種綜合性的多層防護解決方案，用于保護 Web 應用程序和 API 免受各種網絡攻擊，例如 SQL 注入、跨站腳本攻擊、跨站請求偽造、撞庫、爬蟲、DDoS 攻擊、API 接口濫用等。WAAP 可通過多層防護規則提供可靠、安全的 Web 應用程序和API 保護平臺，為企業業務連續性和數據安全保駕護航。2.

15、WAAP 的構成的構成 WAAP，作為多層防護解決方案，由以下四部分構成，分別是 Web應用程序防火墻(WAF)、API 保護、分布式拒絕服務攻擊(DDoS)防御及 Bot 訪問管理。Web 應用程序防火墻是 Web 應用程序安全防護的主要手段。目云上 WAAP 發展洞察報告（2023）6 前我國主流 Web 應用程序防火墻主要分成三種形式，分別是硬件WAF、軟件 WAF 和云 WAF。硬件 WAF 部署簡易，通常以串行的形式部署在 Web 服務器前，它可承受較大的吞吐量，但是成本較高。軟件 WAF 部署成本低，但占用內存較多。而云 WAF 繼承了軟件 WAF和硬件 WAF 的核心功能，部署簡

16、單，維護成本低，用戶不需要在自己的網絡中安裝軟件程序或部署硬件設備，就可以對網站實施安全防護。云 WAF 的主要功能包括 SQL 注入防護、XSS 防護、防篡改、防撞庫、防盜鏈、防暗鏈、防數據泄露、防掃描、防 CC 攻擊等。同時WAF 支持攻擊態勢展示及攻擊報告下載，對于攻擊行為溯源也起到重要的作用。據 IDC 統計，2022 年，我國云 WAF 市場整體同比增長10.8%，市場規模達到 2.23 億美元，實現了對硬件 WAF 市場規模的超越。API 保護是防止應用程序接口遭受攻擊，例如 API 攻擊、API 濫用、API 欺詐、API 敏感數據泄露等，從而確保企業信息安全和業務可持續性。為了

17、適應數字化進程的快速發展，政府、企業都會開放大量的 API，由此造成的數據安全風險敞口，傳統的 API 安全體系并不能完全應對解決。企業亟需建立健全的 API 安全防護體系，持續梳理API 資產、落地 API 保護策略、實時監測 API 接口狀態、迅速響應安全事件，從而全面保護 API 的安全性和可靠性。IDC 在中國 API 安全市場洞察，2022報告中指出，API 的安全防護市場在中國還處于初步發展階段，產品和技術能力還需進一步加強。目前，國內眾多網絡安全廠商、數據安全廠商、云計算服務商、專業的 API 安全廠商紛云上 WAAP 發展洞察報告（2023）7 紛布局 API 安全市場，且各廠

18、商結合自己的技術積累和行業優勢推出了各具特色的產品和解決方案。分布式拒絕服務攻擊(DDoS)防御是指及時發現大規模攻擊的異常流量，并對其進行清洗。常見的 DDoS 攻擊類型包括網絡型攻擊、應用型攻擊、掃描窺探型攻擊、協議漏洞型攻擊等。近年來，新興產業蓬勃發展，產生大量的設備接入以及帶寬需求，部分資源容易淪為攻擊資源，從而出現巨大風險。據 IDC 統計，2022 年，我國公有云抗 DDoS 市場規模達 2.7 億美元，較上年增長 13.2%。由于 DDoS 攻擊成本低、針對性強、損失高等特點，全球 DDoS 攻擊不斷增多。端云一體防護可為 DDoS 防御提供新思路，從而解決部署在私有云或自有機房

19、的業務遭受大型 DDoS 攻擊的問題。Bot 訪問管理是指對流量中的自動化攻擊進行識別，控制自動化流量并過濾惡意流量，從而保護 Web 應用程序和 API 免受 Bot 攻擊。Bot 流量，指對 Web 網站或 API 接口通過工具腳本、爬蟲程序等操作進行訪問的自動化程序流量。惡意 Bot 通常利用代理或秒撥 IP 等手段，對信息數據進行爬取，損害企業和用戶的正當利益。3.WAAP 的優勢的優勢 2021 年，Gartner 將多年來發布的 WAF 魔力象限改為了 WAAP魔力象限，進一步擴展了安全防護范圍和安全深度。面對愈加復雜的Web 環境、不斷增多的應用和層出不窮的攻擊手段，傳統 WAF

20、 存在一定防護局限性，而 WAAP 可抵御日益復雜的網絡攻擊，已成為抵御威脅的多層防護解決方案。云上 WAAP 發展洞察報告（2023）8 與傳統 WAF 相比，WAAP 存在的優勢包括兩方面。一是實現 Web應用程序和 API 的統一管理。WAAP 可滿足企業任何 Web 應用程序和 API 的安全防護需要，構建全方位應用安全防護體系，為企業提供多種業務接入的方式，包括 Web、API 和 H5 頁面等的安全防護，提供可視化報告管理，實現 Web 安全一體化管理。二是進行多維度統一防護。從 Web 應用安全防護、DDoS 攻擊防御、Bot 管理到 API 安全防護等多緯度構建Web應用安全防

21、御體系，自適應業務快速變化，有效識別與阻擋模擬正常業務操作的自動化攻擊、網頁零日漏洞探測等業務及應用的攻擊行為，輕松解決業務面臨的撞庫、惡意注冊、惡意爬蟲、應用 DDoS 等攻擊行為。4.WAAP 的發展 隨著企業數字化進程不斷加速，應用安全面臨多重威脅，新型攻擊方式層出不窮。企業正面臨嚴峻的安全防護挑戰，亟需尋找更可靠、全面的安全解決方案。在此情況下，WAAP 應運而生。隨著 WAAP 理念的提出，國內外 WAF 廠商迅速跟進，通過收購動作完善 WAAP 能力。例如，2019 年 1 月，Radware 收購了 Bot 緩解行業的先驅之一ShieldSquare。Bot 管理是 WAF 安全

22、的延伸，Radware 已將 WAF 與Bot 管理技術進行整合，通過指紋識別對動態 IP 攻擊提供防護，以抵御盜用數據、撞庫攻擊、暴力破解攻擊等行為，從而完善其 WAAP 能力。我國 WAF 廠商和云服務商逐步構建 Bot 防護功能和 API 防護能力，加速落地切實可行的 WAAP 安全防護體系，既有新興的專注WAAP 解決方案的廠商出現，傳統 WAF 廠商和云服務商也逐步構建云上 WAAP 發展洞察報告（2023）9 Bot 防護功能和 API 防護能力。據 Gartner 預測，到 2024 年，70%實施多云戰略的企業將青睞云 Web 應用程序和 API 保護平臺（WAAP）服務；到

23、2026 年，超過 40%的擁有 C 端應用程序的企業，將依靠WAAP 來緩解僵尸攻擊。二、WAAP 核心能力要求 WAAP 核心能力要求主要集中在 Web 應用程序防護、DDoS 防御、Bot 管理和 API 安全防護四部分，同時對平臺的底層聯動性提出要求。WAAP 不是簡單的將各項能力并行考慮，企業進行安全體系設計時，應考慮如何將功能進行協作，以及如何對底層的系統資源和流量進行合理調度分配。如果流量被反復解析，會造成資源的重復消耗，導致性能下降、影響用戶體驗、增加運行成本。因此企業需要考慮如何有效的優化和管理資源，以實現最小化解析，提升檢測效率。本報告提出 WAAP 的核心能力要求，供讀者

24、參考。（一）（一）Web 應用程序防護能力應用程序防護能力 Web應用程序防護是指針對Web安全攻擊而做的各種防御措施。主要功能應包括：Web 攻擊防護（如：SQL 注入、命令注入、XSS 跨站、Webshell 上傳、Web 服務器漏洞攻擊等）、CC 攻擊防護、漏洞虛擬補丁、網頁防篡改、訪問合規性檢測等。根據 Gartner 調查顯示，信息安全攻擊有 75%發生在 Web 應用層而非網絡層面上，約三分之二的 Web 站點都相當脆弱，易受攻擊，Web 應用攻擊依然是最主要的攻擊方式。Web 攻擊防護可以采用規則匹配、流量學習、語義分析、威脅情報等技術，實現更精準的防護。具體技術原理如下：云上

25、WAAP 發展洞察報告（2023）10 1.規則匹配技術。WAF 規則匹配技術的工作原理是對接收到的數據包進行規則匹配過濾，將漏洞特征與設備自身的特征庫進行匹配比對，如果與現有漏洞知識庫的攻擊代碼相同，則將其判定為惡意代碼，從而進行阻斷，有效防范已知的安全問題。對于基于規則匹配的 WAF，需要對規則庫進行及時更新。2.流量學習技術。WAF 流量學習技術的工作原理是對業務流量進行采集學習，對網站的 URL、業務請求參數等進行學習，建立正常業務流量模型，自動發現異常流量的訪問行為；持續學習保持流量模型的更新，實現對異常流量的檢測，從而應對各類復雜的業務場景，實現精準的業務防御能力。3.語義分析技術

26、。WAF 語義分析是一種基于自然語言進行語義信息分析的方法，采用詞法分析、句法分析、語法解析、威脅語義評分機制對攻擊行為進行檢測、防御，針對實際業務接近于零誤報；同時也能有效防護通過編碼混淆而繞過規則的攻擊代碼，顯著提高 0day檢出率，降低誤報率、漏報率。4.威脅情報技術。威脅情報技術是指 WAF 可以內置或和威脅情報系統對接，通過威脅情報系統提供的信息，實現對惡意 IP、域名的識別；用于識別和檢測威脅的失陷標識，如文件 HASH、IP、域名、程序運行路徑、注冊表項等，以及相關的歸屬標簽。Web 應用程序防護通過采用多種技術路線，趨向主動化和智能化發展。WAF 的各種防護技術都不是孤立的，針

27、對不同的攻擊場景，每種防護技術的效果也不同，均有其適用的場景。通過規則匹配對已知云上 WAAP 發展洞察報告（2023）11 漏洞攻擊檢測、語義分析對未知漏洞攻擊檢測、流量學習深度發現異常攻擊等多種防護手段組合，可實現主動化和智能化防護。威脅情報幫助快速獲取惡意 IP 或者域名，從而實現快速攔截。（二）（二）DDoS 防御能力防御能力 分布式拒絕服務（DDoS）防御是指保護 Web 應用程序和 API 應用免受 DDoS 攻擊，支持對 DDoS 攻擊的異常監測、攻擊防護和彈性管理。DDoS 防御應支持多種 DDoS 攻擊類型，如：網絡型攻擊、應用型攻擊、掃描窺探型攻擊、協議漏洞型攻擊等。DDo

28、S 攻擊是最普遍的 Web 和 API 應用攻擊。DDoS 攻擊防護可以從請求速度限制、TCP 檢測與代理檢測、HTTP 客戶端驗證、威脅情報等幾方面進行防護。具體技術原理如下：1.請求限速技術。請求速度限制是指對請求端進行限速來實現防護，對請求數據包發送的速度進行檢查。某些 DDoS 攻擊在數據包上沒有明顯攻擊特性，從而無法進行特征匹配。在進行流量清洗時，發現請求次數超過特定的閾值，即可直接中斷該會話并將來源加入黑名單。2.TCP 檢測技術。TCP 檢測與代理檢測是指對 TCP 連接三方握手過程進行檢測，檢測客戶端向服務器發送的 TCP SYN 數據包、服務器發回的 SYN ACK 數據包和

29、答復的 ACK 數據包。通過檢測服務器是否收到 ACK 數據包，來識別 DDoS 攻擊。3.HTTP 客戶端驗證技術。HTTP 客戶端驗證是指對客戶端真實性進行驗證，實現對非法客戶端請求的攔截，從而實現對 DDoS 攻擊云上 WAAP 發展洞察報告（2023）12 的防護。在頁面的 WEB 服務中，通過檢查客戶端是否支持 JavaScript，或者通過 JavaScript 發送簡單的運算操作，來驗證請求來源是否為真實的瀏覽器客戶端。如果為攻擊工具發送，則不會返回正常的運算結果，而是將此類請求丟棄，不會讓其發送到 Web 服務器，從而實現DDoS 攻擊防護。4.威脅情報技術。威脅情報技術是指

30、DDoS 防御利用威脅情報系統提供的惡意 IP、域名等進行快速有效的 DDoS 攻擊限流。數據安全面臨前所未有的威脅挑戰，但許多企業對 DDoS 攻擊威脅的發現識別和響應處置能力較弱，既缺乏具備分析研判能力的專業技術人員，又缺乏有效技術防范手段。企業客戶期望云上應用具備全面的 DDoS 攻擊防御能力，不僅包含應用層的 DDoS 攻擊防護，也包含在網絡層提供的 DDoS 緩解和大規模 DDoS 攻擊下的流量清洗能力。這使得 WAAP 服務與其相關聯的云安全服務互相結合，提供更完整有效的防護能力。（三）（三）Bot 管理能力管理能力 Bot 管理是指支持對各種 Bot 識別、防護和行為管理，可以對

31、惡意 Bot 進行甄別處理，對善意 Bot 進行放行。善意 Bot 包括搜索引擎、測速工具、自動化測試工具。惡意 Bot 包括掃描探測、爬蟲、惡意注冊、暴力破解、薅羊毛等惡意網絡行為。據 Imperva 統計，全球范圍內 90的安全事件是由惡意 Bot 引起的。由于自動化攻擊手段持續升級，一方面自動化攻擊工具不斷迭代，另一方面自動化攻擊逐漸操作擬人化、手段擬人化、隱藏惡意特征，使得傳統 WAF 對 Bot 自動云上 WAAP 發展洞察報告（2023）13 化攻擊的識別與防護難度越來越大。Bot 攻擊防護可以從客戶端驗證、驗證碼挑戰、行為分析、威脅情報等幾方面進行防護。具體技術原理如下：1.客戶

32、端驗證技術?？蛻舳蓑炞C是指在客戶端插入 JavaScript 或者埋點，對客戶端真實性進行驗證，以區分是否為真實瀏覽器客戶端，或是偽造客戶端的工具。通過檢查客戶端是否支持 JavaScript 運行，并且通過 JavaScript 對客戶端環境和用戶行為進行采集，驗證請求來源是否由 Bot 發起，從而實現對 Bot 的識別和管理。2.驗證碼挑戰技術。驗證碼（CAPTCHA）技術是一種常見的防止Bot 攻擊的技術手段，用戶在訪問網站或進行某些操作時，輸入由系統生成的隨機字符或圖像。驗證碼的種類多種多樣，包括文本驗證碼、圖像驗證碼、聲音驗證碼等。驗證碼的作用是通過要求用戶主動進行輸入，從而確認其為

33、真實的人類用戶，阻止 Bot 的自動化操作。3.行為分析技術。行為分析技術是指對客戶端訪問行為進行分析，通過 IP、設備指紋、賬號等唯一標識客戶端，結合規則、機器學習等技術，識別出異常的操作行為和 Bot 操作，對于用戶操作較多的網站是一種可靠的 Bot 識別手段。4.威脅情報技術。威脅情報技術是指 Bot 防護可以和威脅情報系統對接，通過惡意 IP、欺詐賬號、設備指紋、惡意 Bot 等威脅情報信息，實現對自動化攻擊的防護。Bot 的各種防護技術并不孤立，而是針對不同的攻擊場景，通過不同防護技術組合，達到不同的防護效果。Bot 防護能力的核心與 Web云上 WAAP 發展洞察報告（2023）1

34、4 應用程序防護重點有所不同，后者重在漏洞攻擊防護，前者重在 Bot識別判定，有無惡意行為和是否為漏洞利用的 Bot 攻擊均在識別和管理范圍內。目前，攻擊和威脅的變化速度遠超 Bot 防護手段，Bot 防護技術需在動態性和主動性上加強，以增加對攻擊方響應的不確定性，從而達到干擾、緩解和阻止 Bot 行為的目的，實現更好和更持續的防護效果。（四）（四）API 安全防護能力安全防護能力 API 安全防護是指在 API 資產識別的基礎上，對 API 運行狀態、異常訪問行為、敏感信息和安全攻擊進行監測，從而實現對 API 資產的全方位管控。API 攻擊已經是目前主要的攻擊渠道。隨著云計算、大數據、人工

35、智能的蓬勃發展，越來越多的應用開發深度依賴于 API之間的相互調用。與此同時，隨著全球云上業務快速發展，API 作為系統間的通信橋梁，也正成為攻擊者重點光顧的目標，其安全漏洞隨著調用量增多而暴露無遺。API 安全防護可以從 API 流量分析、特征識別、行為分析、敏感信息檢測、威脅情報等幾方面進行識別與防護。具體技術原理如下：1.流量分析技術。流量分析是指對應用流量進行解析和分析，從解析的應用流量中自動識別出 API 接口、安全攻擊、安全缺陷、敏感數據等，建立異常行為識別模型，自動發現異常訪問行為。2.特征識別技術。特征識別技術是指對發送和接收到的數據包進行特征識別，將漏洞特征、敏感數據特征與防

36、護系統的特征庫進行匹配比對，如果匹配結果與現有漏洞知識庫的攻擊代碼相同，則認為這云上 WAAP 發展洞察報告（2023）15 是惡意代碼；匹配到敏感數據，則識別到敏感信息，這種方法能夠有效防范已知的安全問題。3.行為分析技術。行為分析技術是指對 API 客戶端訪問行為進行分析，通過 IP、令牌、賬號等唯一標識客戶端，結合規則和機器學習等技術，建立 API 訪問基線、異常訪問模型，對偏離基線的訪問行為和命中異常訪問模型的行為進行識別，從而對異常業務攻擊行為進行防護。4.敏感信息檢測技術。敏感信息檢測是指對 API 接口的請求報文和回傳報文進行檢測，識別報文中的敏感信息，如：姓名、手機號、銀行卡、

37、身份證號等；可以通過正則表達式、特征匹配等方式進行敏感信息檢測，對 API 傳輸中的敏感數據進行識別和管控，防止敏感數據泄露。5.威脅情報技術。威脅情報技術是指 API 安全防護和威脅情報系統對接，通過威脅情報系統提供的信息，實現對惡意 IP、域名等的識別，用于識別和檢測威脅的失陷標識，如 IP、域名、賬號等。API安全防護可結合Web應用及API的特點采用多種技術路線，從而達到更好的防護效果。API 安全防護的各種技術并非新的技術類別，但其核心要求是分析和識別具有 API 相關特點的攻擊行為。在流量學習和技術分析場景中，API 安全防護需要首先識別 API 資產，以幫助企業發現影子 API，

38、未鑒權 API 等隱患，這是與 Web 應用防護的最大差別。在內容和行為識別上，API 安全更加關注返回信息中的敏感數據、API 的缺陷、參數異常、以及 API 濫用行為。針對不同的云上 WAAP 發展洞察報告（2023）16 API 安全需求，每種防護技術的側重點不同。（五）底層聯動性（五）底層聯動性 底層聯動性是指 WAAP 的核心能力之間可以互聯互通。Web 應用程序防護（WAF）、DDoS 防御、Bot 管理和 API 安全防護核心能力之間可以實現數據共享、攻擊聯防。在實現面向不同防護場景采用有針對性防護技術的基礎上，還可以進行技術復用，以達到提升檢測防護效率，降低維護成本的目的。作為

39、聯防解決方案，WAAP 對保護 Web應用程序和 API 接口有重要意義，它可以最大限度降低層層防護導致的延時、降低防護成本，實現更高效率的聯防聯控。底層聯動性可以從可編程性、報文統一檢測、數據共享、聯防聯控四個方面進行調度。具體技術原理如下：1.可編程性?？删幊绦允侵?WAAP 解決方案需要具備良好的可編程性，可提供全功能管理的 API 接口、支持文檔和 SDK，方便客戶通過 API 接口實現自動化運維，能夠在動態的 Web 應用程序和微服務環境中以編程方式進行部署、維護和監控。2.報文統一檢測。報文統一檢測是指對所有訪問 Web 應用程序和API 接口的請求報文進行統一檢測。報文統一檢測在

40、底層有許多可以共用的檢測技術，從而實現請求一旦經過 WAAP 解決方案，即可從Web 應用程序防護、DDoS 攻擊防御、Bot 管理和 API 安全防護四方面完成檢測，從而達到節約檢測成本、提高檢測效率、降低網絡延時的目的。3.數據共享。數據共享是指對 Web 應用程序防護、DDoS 防御、云上 WAAP 發展洞察報告（2023）17 Bot 管理和 API 安全防護四項核心能力中的檢測數據進行共享，當任何一項能力出現異常時，數據依然可被其他核心能力所用，支撐其他安全功能，保持一定的防護能力。將各項核心能力采集到的數據進行共享和統一分析，可大幅度提升整體安全能力。Bot 管理可以對客戶端進行深

41、度采集，識別自動化攻擊行為；Web 應用程序防護可以對請求內容進行深度檢測；API 安全可以發現應用缺陷。當對此類數據進行共享和深度分析后，可以及時發現隱藏的安全風險，建立信譽庫，發揮數據價值。4.聯防聯控。聯防聯控是指各核心能力之間可以進行聯合防控，任何一項核心能力檢測出異常時，其他核心能力可選擇直接進行防控。在 WAAP 解決方案內部可以實現信息共享，節省各防護能力之間信息交互的消耗，提升整體安全防護能力。三、WAAP 安全防護體系建設思路 Gartner 指出，到 2024 年，相較于 WAAP 設備和基礎設施即服務型 WAAP，70%的組織將更優先支持云 Web 應用程序和 API 保

42、護（WAAP）服務。（一）安全建設體系架構（一）安全建設體系架構 WAAP 架構以 AI 智能分析技術為底座，通過多種技術手段和統一的策略管理平臺，提供多云混合云中一致的應用安全服務能力。隨著 Web 應用、移動應用和 API 應用的發展，Web 敞口風險和管控鏈條在加速擴大，各類變化多端的漏洞攻擊，自動化、智能化、擬人化的 Bot 威脅，讓應用安全防護亟需更加主動、高效、融合、智能的一云上 WAAP 發展洞察報告（2023）18 站式 WAAP 解決方案。WAAP 安全建設體系架構建設如下：1.全業務渠道接入。WAAP 解決方案覆蓋幾乎所有的業務接入渠道，包括 Web、APP、API、微信、

43、小程序等，可實現全業務渠道防護；通過用戶賬號、設備指紋等唯一標識和全量訪問記錄，將各業務接入渠道的數據進行融合，實現用戶訪問數據追蹤和透視。2.全功能融合。以“AI 智能”技術為核心，結合規則匹配、流量學習、客戶端驗證、行為分析和威脅情報技術，打造多檢測引擎協同工作機制，主要分為以下兩點，一是在提供傳統 Web 安全防御能力的同時，輕松應對新興和快速變化的 Bot 攻擊、API 攻擊和 DDoS 攻擊。二是結合人機識別和業務威脅建模功能，提供對企業 Web、APP、小程序、API 業務的威脅感知和高強度對抗能力，實現應用安全全方位防護。3.核心技術。一是客戶端驗證，化被動為主動。無需依賴規則和

44、補丁，以“客戶端驗證”技術為核心，通過 JavaScript 對客戶端進行挑戰和采集，實現 Bot 識別、客戶端環境驗證、客戶端操作行為驗證，從而防止 Bot 攻擊行為。除此之外，還可以高效甄別偽裝和假冒正常圖 1 WAAP 安全建設體系架構 云上 WAAP 發展洞察報告（2023）19 行為的 Bot 攻擊，攔截已知和未知威脅，幫助企業安全團隊實現變被動防護為主動防護，突破被動防護困局。二是 AI 智能引擎，高效協同防御。通過流量學習和行為分析技術，對應用流量進行深度分析，實現 API 資產識別、攻擊檢測、異常訪問行為識別。采用機器學習技術對攻擊樣本進行訓練和學習，結合第三方漏洞庫、威脅情報

45、等信息，進行廣泛訓練和測試，從而發現高度隱蔽的攻擊，有效提高檢測率，降低誤漏報。與此同時，內置多種業務威脅建模，通過 AI 分析技術實現對業務威脅的透視。4.核心建設內容。WAAP 安全防護體系建設時，應從頂層設計角度出發，考慮統一建設、協同工作，避免各能力獨立建設帶來的資源消耗和性能消耗。各核心防護能力進行協同工作后，可實現流量一次解析，降低資源消耗和運行成本，提升性能和用戶體驗。具體建設內容包含以下五個方面：一是客戶端采集。針對 Web、H5 等 http 協議的應用，在通過WAAP 檢測引擎時，自動插入 JS 代碼，實現客戶端自動采集。針對手機 APP、小程序應用，通過集成 SDK 實現

46、對客戶端環境采集?？蛨D 2 WAAP 核心建設內容參考 云上 WAAP 發展洞察報告（2023）20 戶端采集是指對客戶端的運行環境、客戶端行為進行采集，并與客戶端提交的環境信息和行為進行對比，從而識別偽造客戶端環境的請求，完成人機識別。二是業務接入。WAAP 安全體系提供 SaaS 接入和流量鏡像接入模式。SaaS 接入方式方便企業快速部署 WAAP 解決方案，使應用接入方便、快捷；流量鏡像接入方式對現有業務無任何影響，在業務無感知的情況下即可實現部署，操作簡單，可以快速落地。三是檢測引擎。檢測引擎是 WAAP 安全防護體系的核心。檢測引擎底層采用規則匹配、流量學習、行為分析、人機識別、特征

47、檢測和機器學習技術，結合威脅情報技術和 AI 技術的深度應用，對所有流量進行深度檢測和分析，從而實現安全風險的識別。除此之外還可對檢測結果進行實時計算和處理，通過實時攔截引擎實現統一攔截，提供多維度的防護策略。四是智能策略。對 WAAP 檢測引擎檢測出的安全風險，支持定時器和按比例攔截，提供實時攔截、延時、重定向等攔截策略，從而迷惑攻擊者，通過智能策略實現持續對抗。五是核心能力。WAAP 安全防護體系具備 Web 應用程序防護能力、DDoS 防御能力、Bot 管理能力和 API 安全防護能力，可幫助企業實現應用側一體化的防護和安全管理。（二）（二）WAAP 典型應用場景分析典型應用場景分析 利

48、用傳統安全漏洞發動攻擊的難度不斷提升，攻擊者的重心從傳統的應用漏洞轉向無明顯攻擊特征，模擬合法業務操作的自動化攻擊。云上 WAAP 發展洞察報告（2023）21 攻擊者不僅可以通過自動化工具模擬用戶的正常登錄、注冊、批量交易、信息訪問、搶促銷等業務操作，還可以利用漏洞掃描、零日漏洞嗅探工具，對應用系統漏洞進行探測，使得應用安全防御面臨空前的挑戰。Web 應用程序和 API 面臨眾多攻擊場景，根據國內的情況進行匯總分析，主要分為以下幾類場景：1.惡意爬蟲防護。據統計，自動化威脅流量中 80%以上由惡意爬蟲產生。惡意爬蟲存在多種危害，當對公開和非公開數據進行拖庫式爬取時，例如爬取各類公示信息、公民

49、個人信息、信用信息等，并對數據進行聚合收集，會導致潛在大數據安全風險。由于數據的授權、來源、用途不透明，導致隱私侵權、數據濫用等問題愈發嚴重。惡意爬蟲還會影響正常的用戶體驗，當抓取數據量逐漸增大時，會對服務器造成性能壓力，嚴重時會導致系統服務器崩潰。Web 和 API 應用是惡意爬蟲的主要攻擊渠道，WAAP 解決方案中的各核心能力能有效應對爬蟲攻擊，具備良好的防護效果。2.安全攻擊防護。安全攻擊依然是 Web 應用程序和 API 應用面臨的主要攻擊之一。此類攻擊通常對目標系統進行人工滲透攻擊和漏洞掃描，并在發現漏洞后進行利用形成攻擊。借助自動化工具，攻擊者可以在短時間內以更高效、更隱蔽的方式對

50、目標進行漏洞掃描和探測，尤其是對于 0day/Nday 漏洞的全網探測，將會更為頻繁和高效。WAAP 解決方案中的 Web 應用程序防護、Bot 管理和 API 安全防護能力，針對安全攻擊有良好的防護效果。3.資源搶占防護。資源搶占類攻擊的主要目標是非法獲利。黑灰云上 WAAP 發展洞察報告（2023）22 產利用 Bot 自動化工具，對有限的資源進行搶占，成為黃牛黨的有力武器。常見的資源搶占場景包括：掛號、報名、購票、秒殺、薅羊毛等。WAAP 解決方案中的 Bot 管理、API 安全防護和 DDoS 防御能力，針對資源搶占類攻擊有良好的防護效果。4.賬號安全攻擊防護。對登錄接口進行撞庫和暴力

51、破解會對系統信息安全帶來極大的危害，幾乎所有具備登錄接口的系統都會成為攻擊目標。此類攻擊目標范圍廣泛，除了各類電商及社交系統，還包括各類辦公系統，例如辦事網廳、企業郵箱、OA 系統等。WAAP 解決方案中的 Bot 管理和 API 安全防護能力，針對賬號安全攻擊有良好的防護效果。5.拒絕服務攻擊防護。拒絕服務攻擊包括應用 DOS 和業務 DOS兩種類型。除了比較常見的分布式拒絕服務攻擊（DDOS）外，利用Bot 大量模擬正常人對系統的訪問，搶占系統資源，使得系統無法為正常用戶提供服務的業務層 DOS 也日漸興起。WAAP 解決方案中的DDoS 防御能力，針對拒絕服務攻擊有良好的防護效果。四、W

52、AAP 未來發展展望 在數字化浪潮下，企業加速轉型步伐，多類應用興起所造成的安全挑戰不斷擴大，攻擊手段頻現且難以防范，常見的 Web 及 API 攻擊事件以及防護也受到了業內的廣泛關注。新形勢下的 WAAP 安全攻防的未來展望包括以下幾點：落地指南指引為企業落地 WAAP 提供細化幫助。WAAP 相關實踐建設已初步在我國落地，企業紛紛將相關能力整合進安全防護規劃云上 WAAP 發展洞察報告（2023）23 中。在引導和鼓勵企業、安全廠商深化數字化業務的同時，還應鼓勵企業加快針對 WAAP 安全新技術的研究與實踐。WAAP 未來的發展不單純是技術或產品層面的問題，而更多聚焦于落地實施層面，這與企

53、業整體的業務、經濟、規劃方面息息相關。2023 年，中國信息通信研究院可信安全團隊聯合多家企業撰寫了 云上 Web 應用程序和 API保護（WAAP）安全能力要求，重點關注平臺整體聯動安全能力，并圍繞云 Web 應用程序防護、API 安全防護、DDoS 安全防護、Bot 防護四大能力進行規范，對助力企業不斷優化升級安全技術、落地WAAP 安全防護體系具有重要意義。將 AI 技術落地應用于以 WAAP 體系為核心的應用安全防護。WAAP 解決方案集 Web 應用安全防護、DDoS 防御、Bot 管理和 API安全防護于一體，無論是 Bot 識別、用戶行為分析，還是未知漏洞防護，都將用到 AI 智

54、能技術。機器學習通過極強的自學習能力，不斷從數據中學習，自我優化和改進。通過機器學習來識別各種威脅確定異常攻擊，并阻攔確定的攻擊請求，將極大程度降低企業安全防護成本，提高安全防護效率。未來，AI 技術也將在 WAAP 解決方案中深度應用。WAAP 解決方案將納入更多的業務接入渠道，走向應用統一防護。Gartner 提出的 WAAP 解決方案，主要覆蓋 Web 應用程序和 API 兩種業務接入渠道，但隨著移動應用的飛速發展，APP、小程序應用將成為主要的業務接入渠道。WAAP 解決方案未來將擴展到對 APP 和小程序應用的安全防護，以解決傳統安全防護技術無法防護原生 APP云上 WAAP 發展洞

55、察報告（2023）24 和原生小程序的短板，WAAP 解決方案將進一步升級，擴展到全應用統一防護。產學研開放協作共建 WAAP 安全生態。為加快企業 WAAP 安全領域體系建設，更好把握產業發展趨勢，助力企業業務安全產業健康發展，可結合產、學、研各方力量成立協作共建 WAAP 安全生態。中國信息通信研究院云大所可信安全團隊也將持續助力開放平臺建設，加強企業間溝通交流，對標優秀實踐，開展技術研究、供需對接、產業交流。結合各方技術優勢互補，助力用戶構建可信安全的 WAAP 架構，推動產業數字化進程不斷深化。云上 WAAP 發展洞察報告（2023）26 附錄 WAAP 典型應用案例 WAAP 可以有

56、效防范新型攻擊，防范效果顯著。典型應用案例如下：（1）APP 新人禮包防護案例 該案例的攻擊類型屬于黑灰產攻擊中的薅羊毛行為?；耶a對某商城平臺的新人禮包進行自動化工具薅羊毛。利用代理池、群控、接碼平臺、破解驗證碼識別，實現自動注冊，自動下單薅新人禮包券。圖 3 APP 新人禮包防護案例 針對該場景的 WAAP 防護思路可分為五個步驟。第一，APP 新人禮包業務涉及到移動 APP、H5 頁面和 API 接口多個業務接入渠道，因此，需要多業務渠道的防護。第二，應用 WAAP 的 Bot 管理能力，通過客戶端采集功能對客戶端環境進行驗證，識別是否為真實的手機APP 環境。第三，對異?？蛻舳谁h境進行識

57、別，例如群控、改機等。第四，通過 AI 智能引擎的行為分析技術，對用戶訪問行為進行分析，對于業務的異常訪問行為進行攔截。第五，對惡意請求和賬號打上異云上 WAAP 發展洞察報告（2023）27 常標簽，并輸出至風控平臺進一步處置。在該案例中，APP 新人禮包活動期間通過 WAAP 解決方案發現異常手機終端超過 14 萬，攔截的賬號超過 47 萬，實現良好的防護效果，幫助企業阻擊黑產薅羊毛行為。（2）業務外掛防護案例 該案例的攻擊類型屬于外掛工具攻擊。黑灰產代理多個 IP 地址池，短時間內切換不同的 IP 繞過傳統安全設備檢測，再利用 Token 校驗不完善的邏輯漏洞，通過高級自動化工具遍歷查詢

58、多個手機號，批量獲取用戶信息。圖 4 業務外掛防護案例 針對該場景的 WAAP 防護思路可分為三個步驟。第一，應用WAAP 的 Bot 管理能力，通過 JavaScript 對客戶端插入動態令牌，實現進行二次校驗。第二，利用瀏覽器指紋技術進行 IP 關聯分析，將短時間內切換 IP 過于頻繁的請求進行攔截。第三，完善原有業務的Token 校驗機制，加上時間戳等變量環境。云上 WAAP 發展洞察報告（2023）28 在該案例中，通過 WAAP 解決方案，發現包含 IP 復用、賬號復用在內的異常賬號總計 1 萬余個，攔截的異常請求占比超過 5%，實現良好的防護效果，幫助企業防護工具外掛帶來的攻擊行為

59、。（3）安全攻擊防護案例 該案例的攻擊類型融合了0day攻擊、Web安全攻擊和API攻擊。Web 和 API 業務暴露在互聯網上，經常遭受自動化工具無差別漏洞掃描和零日漏洞探測。例如，2021 年 12 月爆發的 Log4j 核彈級漏洞，是 2021 年最嚴重的 0day 漏洞應急響應事件，每小時都有百萬級的攻擊流量對漏洞進行探測和利用。通過對 WAAP 系統日志分析，發現Log4j2 漏洞公布之前已經存在自動化工具的批量探測行為。圖 5 安全攻擊防護案例 針對該場景的 WAAP 防護思路可分為三個步驟。第一，應用WAAP 整體解決方案的各防護能力，實現 Web 應用安全防護、Bot 攻擊防護

60、、API 安全防護和 DDoS 攻擊防御。第二，對所有的工具掃描云上 WAAP 發展洞察報告（2023）29 和探測行為實現防護。第三，通過 Web 應用程序防護能力，識別人工滲透行為。在該案例中，通過 WAAP 解決方案，每個月攔截超過 400 萬次漏洞掃描攻擊；有效攔截 Log4j 零日漏洞，攔截了 4 種 Log4j 變形攻擊，每小時攔截超上萬次漏洞探測，從而實現對零日漏洞的防護。（4）支付 API 濫用防護案例 該案例的攻擊類型屬于 API 接口濫用。博彩網站的支付中轉接口惡意利用某電商平臺的話費充值接口，變相對其賭資進行充值。針對該場景的 WAAP 防護思路可分為四個步驟。第一，通過 Bot管理能力對客戶端指紋進行驗證，嚴格限制請求充值的指紋和 IP 與支付的指紋及 IP 保持一致。第二，利用行為分析技術對用戶行為進行深度分析，對于業務邏輯不完整的請求進行攔截。第三，實時攔截ajax 令牌異常的請求。第四，利用 H5 和 SDK 關聯檢測，識別異常終端信息，實時攔截來自 root、改機、雙開多開、使用自動化工具等風險設備的請求。在該案例中，通過 WAAP 解決方案，發現請求充值的指紋和 IP與支付不一致的請求占比為 38%，異常終端超 8000 個，有效保障支付 API 接口不被濫用。云上 WAAP 發展洞察報告（2023）30