1、2024 年應用安全趨勢報告2Cloudflare|2024 年應用安全趨勢目錄3摘要4應用安全領域的關鍵發現5范圍和報告方法6緩解流量的趨勢7數據快照：緩解流量隨時間變化的情況8商業考量和建議9zero-day 趨勢10商業考量和建議11DDoS 攻擊趨勢12數據快照：最大規模的 HTTP DDoS 攻擊13商業考量和建議15機器人流量趨勢數據快照：具有高機器人流量的行業16商業考量和建議17客戶端風險數據快照：第三方腳本和 Cookie 使用情況18商業考量和建議19影子 API 風險20商業考量和建議21總結22Cloudflare 如何提供協助23 了解更多24附錄Cloudflare

2、 主要術語表25尾注目錄3Cloudflare|2024 年應用安全趨勢目錄Web 應用是現代生活的核心。對政府而言，它們是向公眾傳達信息和提供基本服務的重要途徑。對企業來說，它們是收入、效率和客戶洞察的來源。然而，移動關鍵數據、流程和基礎設施的應用和應用編程 接口(API)也代表著一個不斷擴大的攻擊面。未受保護的應用遭到利用可能導致業務中斷、財務損失和關鍵基礎設施 崩潰。開發人員需要快速交付新功能，例如由大型語言模型(LLM)和生成式 AI 驅動的能力，放大了這個問題。Cloudflare 由世界上最大的網絡之一驅動，平均每秒處理超過 5700 萬個 HTTP 請求，每天阻止 2090 億次

3、網絡威脅。這一流量的體量、速度和多樣性為本 2024 年應用安全趨勢報告中探討的洞察提供了信息。摘要例如，DDoS 攻擊的速度和數量不斷增加，表明僵尸網絡越來越多被用于發動 DDoS 攻擊，效率也越來越高。而 DDoS 攻擊是針對 Web 應用的第一大攻擊類型。您的團隊是否具備適當的能力，以檢測和阻止由數十萬、甚至數百萬臺機器組成的惡意僵尸網絡發送的流量？此外，某些行業面臨更大比例的機器人流量。其他行業發現自己成為大量 DDoS 攻擊的目標。您能以多快的速度響應這些威脅，以避免財務損失和聲譽損害？Cloudflare 還發現，截至 2024 年 5 月，企業和組織平均使用 47.1 個第三方腳

4、本。您的組織是否無意中使最終用戶暴露于供應鏈風險中？隨著新的應用風險超出專門應用安全團隊的資源范圍，越來越多組織意識到需要采取不同的方法。Gartner 預測“到 2027 年，30%的網絡安全功能將重新設計應用安全性，以供非網絡專家直接使用，并由應用所有者負責?！辈还苣慕M織如何處理應用安全問題，我們都希望這份報告可以指導您在哪些地方優先考慮未來的應用安全控制 而不會抑制數字創新。4 4Cloudflare|2024 年應用安全趨勢目錄目錄頭號攻擊分布式拒絕服務(DDoS)攻擊仍然是針對 Web 應用的最常見攻擊類型之一，在 Cloudflare 緩解的所有應用層流量中占 37.1。1 93

5、%的機器人可能是 惡意的約三分之一(31.2%)的流量來自機器人，其中大多數(93%)未經驗證并可能存在惡意。4CVE 快速武器化一個新 zero-day 漏洞的概念 驗證(PoC)發布僅 22 分鐘后，Cloudflare 就觀察到嘗試利用。2 對第三方代碼的信任Enterprise 和組織平均使用 47.1 個第三方腳本其 Web 應用平均向第三方資源進行 49.6 個出站連接。3Cookie 同意風險企業網站平均使用 11.5 個 HTTP cookie，中位數為 5 個。6 這些 HTTP Cookie 可能會使最終用戶面臨隱私 風險，應用的所有者有責任監控和最小化這些風險。應用安全領

6、域的關鍵發現過時的 API 安全方法傳統的 Web 應用防火墻(WAF)規則最常用于保護 API 流量5；然而，傳統的 WAF 負面安全模型方法不足以抵御現代 API 威脅。4數據收集期間：除非尾注中另有說明，否則本報告評估的時間范圍為 2023 年 4 月 1 日至 2024 年 3 月 31 日的 12 個月期間。目錄Cloudflare|2024 年應用安全趨勢5Cloudflare|2024 年應用安全趨勢目錄總體而言，Cloudflare 在數據收集期間緩解了所有 Web 應用流量的 6.8%。7“緩解”流量定義為任何被 Cloudflare 阻止或質詢的流量（完整技術定義請參閱術語

7、表）。具體的威脅類型和相關緩解技術取決于許多因素，例如應用的潛在安全漏洞、受害者業務的性質以及攻擊者的目標。2023-2024 年期間針對 Web 應用和 API 的攻擊部分例子：Anonymous Sudan 組織出于政治動機，在全球范圍內對銀行、大學、醫院、機場、社交媒體平臺、政府機構和其他機構發動了 DDoS 攻擊。Cloudflare 觀察到一次創紀錄的 DDoS 攻擊，其利用了 HTTP/2 協議的一個漏洞，由一個僵尸網絡發起，其中僅有 2 萬臺機器，它們不斷更換 IP 地址以逃避緩解措施。T-Mobile 于 2023 初披露，一個被利用的 API 導致 3700 萬個客戶賬戶信息

8、泄露。換句話說：此類攻擊的多樣性使 Web 應用安全成為一個廣泛的學科，但仍需要專門的工具來阻止專門的攻擊。為了涵蓋如此廣泛的范圍，本報告基于 Cloudflare 全球網絡上的聚合流量模式（2023 年 4 月 1 日至 2024 年 3 月 31 日期間），包括以下服務：使用各種安全措施過濾 Web 應用和互聯網之間的 HTTP 流量，以阻止廣泛的實時攻擊（Web 應用防火墻）緩解針對域名系統(DNS)服務器的 DDoS 攻擊（高級 DDoS 防護）充當接受、轉換、路由和管理所有 API 調用的中介(API Gateway)監控 Web 應用在客戶端瀏覽器加載并使最終用戶面臨風險的第三方依

9、賴(Page Shield)識別機器人活動、機器人信譽、機器人來源和其他機器人行為（機器人管理）阻止用戶、機器人或應用過度使用或濫用 Web 資產（速率限制）范圍和報告方法應用安全領域的關鍵發現以上來自 Cloudflare 網絡的數據和威脅情報得到第三方來源的補充，讀者可以使用內聯鏈接訪問這些來源。56Cloudflare|2024 年應用安全趨勢目錄與前一個 12 個月期間相比，2023 年第二季度至 2024 年第一季度，Cloudflare 緩解的應用層流量和第 7 層(L7)DDoS 攻擊比例有所上升(6.8%vs 6%)。8WAF 產品緩解也成為第一大緩解技術取代了此前 DDoS

10、防護的地位。緩解技術排名之所以發生變化，可能是因為更多企業使用 WAF 規則來阻止暴力攻擊或憑據填充，并防止應用泄露敏感數據，或者使用 Cloudflare 的機器學習在披露前阻止 zero-day 漏洞利用企圖。WAF 規則還包括自定義規則，這有助于實施組織策略并執行其他自定義緩解措施。部分自定義規則的常見用例包括：允許來自搜索引擎機器人的流量 僅允許來自特定國家/地區的流量 質詢惡意機器人 配置令牌身份驗證 要求特定 Cookie圖 1：Cloudflare 產品組別緩解的流量9緩解流量的趨勢有關這些緩解類型的定義請參閱術語表。53.9%WAF 和機器人緩解（包括 OWASP 十大規則、速

11、率限制規則、暴露憑據檢查、自定義規則、上傳內容掃描等）37.1%HTTP DDoS 規則0.1%其他1.7%訪問規則7.2%IP 信譽67Cloudflare|2024 年應用安全趨勢目錄在截至 2024 年 3 月 31 日的 12 個月內，Cloudflare 觀察到緩解流量（也就是攻擊流量）總體上有所增加。我們還發現今年的攻擊流量在 2024 年 1 月出現激增但寒假期間的峰值低于預期。數據快照：緩解流量隨時間變化的情況緩解流量的趨勢2023 年 5 月2023 年 7 月2023 年 9 月2023 年 11 月2024 年 1 月2024 年 3 月圖 2：2023 年第二季度至 2

12、024 年第一季度 Cloudflare 全球網絡緩解的 HTTP 流量百分比10111098765百分比時間8Cloudflare|2024 年應用安全趨勢目錄商業考量和建議緩解方法流量有增無減，這是因為企業繼續現代化傳統應用或發布新應用以：為全球分布的數據和用戶提高應用性能 將傳統應用遷移到云、混合或多云環境 通過 AI 驅動的洞察、建議和信息增強用戶體驗 現代化后臺流程和功能 從各種不同的工具中構建開發管道，以便開發人員專注于編碼由業務驅動的應用開發不能放緩；因此，阻止、質詢和限制（即緩解）惡意或無用 Web 應用流量的需求將可能出現增長。建議為了幫助降低與擴展基礎設施以服務應用增長相關

13、的成本，企業應該考慮在邊緣提供應用內容和緩解攻擊。（根據一組 Cloudflare 客戶自行報告，其通過在邊緣提供和緩解流量平均節省了大約 30%的基礎設施成本。）119Cloudflare|2024 年應用安全趨勢目錄zero-day 漏洞利用（也稱為 zero-day 威脅）正在增加，已披露 CVE 的武器化也在加快。2023 年，97 個 zero-day 漏洞在實際網絡環境中遭到利用 2022 年至 2023 年期間披露的 CVE 數量增加了 15%2023 年，超過 5000 個嚴重漏洞被披露，但針對高危 Web 應用漏洞發布補丁的平均時間為 35 天 從針對客戶的 CVE 利用嘗試

14、來看，Cloudflare 主要觀察到掃描活動，其次是命令注入，以及一些針對線上存在 PoC（例如 Apache、Coldfusion、MobileIron）的漏洞利用嘗試。12CVE 利用嘗試活動的這一趨勢表明，攻擊者首先瞄準最容易的目標，而鑒于圍繞老漏洞的持續活動，在某些情況下可能取得成功。已披露 CVE 漏洞被利用的速度通?？煊谌祟悇摻?WAF 規則或創建和部署補丁以緩解攻擊的速度。zero-day 趨勢CVE-2024-27198 漏洞時間線|3 月 4 日Jetbrains 發布 Teamcities 2023.11.4 更新Jetbrains 公開披露 CVE-2024-27198

15、Rapid7 發布博客文章，包括概念驗證利用Cloudflare 觀察到利用嘗試14:00 UTC14:59 UTC19:23 UTC19:45 UTC例如，Cloudflare 在 3 月 4 日 19:45 UTC 觀察到對 CVE-2024-27198 的利用嘗試時，距離概念驗證代碼發布僅 22 分鐘。10Cloudflare|2024 年應用安全趨勢目錄商業考量和建議ZERO-DAY 漏洞根據定義，zero-day 是指還沒有相應補丁可用的漏洞。漏洞披露后，安全專家和攻擊者之間就會展開一場保護和利用應用之間的競賽。在新型攻擊手段造成問題前越快發現和予以緩解，內部團隊就有越多時間來修補和

16、解決相應漏洞。然而，有時 CVE 補丁可能要等好幾個小時（甚至幾天或幾個月）才發布。建議資源緊張的組織應該優先處理高風險和正在被利用的漏洞，并使用提供自動規則更新的 Web 應用防火墻(WAF)部署，以保護那些無法及時修補的應用。WAF 機器學習(ML)模型使得更容易在某些 zero-day 利用被公布和漏洞被披露之前予以阻止。例如，對于 2023 年 6 月首次披露的一些 Sitecore CVE，最初未被 Cloudflare 托管規則識別但它們被我們基于機器學習的分類器在“零時間”內正確檢測和分類。Cloudflare 還在漏洞被公開披露之前就阻止了 Ivanti Connect Sec

17、ure 漏洞。11Cloudflare|2024 年應用安全趨勢目錄DDoS 攻擊趨勢DDoS 攻擊仍然是針對 Web 應用的最常見攻擊類型，在緩解應用流量中占 37.1（參見圖 1）。9我們在 2024 年 2 月和 3 月觀察到容量耗盡攻擊大幅增加。13 僅在 2024年第一季度，Cloudflare 的自動防御系統就緩解了 450 萬次 DDoS 攻擊，相當于 Cloudflare 在 2023 年緩解 DDoS 攻擊總數的 32%。具體而言，應用層 HTTP DDoS 攻擊同比增長 93%，環比增長 51%。14例如，2024 年 3 月 7 日瑞典加入北約后，Cloudflare 觀

18、察到針對瑞典的 DDoS 攻擊增加了 466%。這與 2023 年芬蘭加入北約時觀察到的 DDoS 模式一致。15 DDoS 攻擊本身的規模也在增長，如下頁所示。2023 年 5 月2023 年 7 月2023 年 9 月2023 年 11 月2024 年 1 月2024 年 3 月圖 3：不同時間段內的應用層 DDoS 攻擊體量13 全球-數據日期范圍從 2023-04-01 到 2024-03-312500 億2000 億1500 億1000 億500 億每日請求時間12Cloudflare|2024 年應用安全趨勢目錄2023 年，Cloudflare 緩解了一次超大容量的 DDoS 攻

19、擊，其峰值達到每秒 2.01 億個請求(rps)三倍于以往觀察到的最大攻擊。16 在“HTTP/2 Rapid Reset”攻擊中，威脅行為者利用了 HTTP/2 協議中的一個 zero-day 漏洞。HTTP/2 協議對互聯網和所有網站的工作至關重要。這一漏洞利用有可能使幾乎所有支持 HTTP/2 的服務器或應用癱瘓，凸顯了利用漏洞發動的 DDoS 攻擊對未受保護的企業有多大威脅。數據快照：最大規模的 HTTP DDoS 攻擊DDOS 攻擊來源：Cloudflare 2023 年第四季度 DDoS 威脅趨勢報告170 rps300 萬 rps800 萬 rps1700 萬 rps2600 萬

20、 rps2.01 億 rps2019年份20202021202220235000 萬 rps1 億 rps請求/秒1.5 億 rps2 億 rps圖 4：Cloudflare 觀察到的最大 HTTP DDoS 攻擊（按年）13Cloudflare|2024 年應用安全趨勢目錄商業考量和建議DDOS 攻擊HTTP/2 Rapid Reset 和其他大型 DDoS 攻擊表明，目前 DDoS 攻擊由僵尸網絡更高效地發動。例如，網絡犯罪團伙在暗網上以低廉的價格提供 DDoS 即服務，甚至提供“訂閱和節省”套餐及支持檔次。截至 2023 年，許多提供 DDoS 即服務的網站對持續一小時的 DDoS 攻擊

21、收費低至 10 美元，而使用其僵尸網絡一整天收費 35-170 美元。鑒于發動 DDoS 攻擊變得如此簡單，以下行業的企業應特別警惕并維持高級 DDoS 防護。1游戲/泛娛樂2IT 和互聯網3加密貨幣4計算機軟件5營銷和廣告6電信7零售8成人娛樂9銀行、金融服務和保險10制造業圖 5：受到最多 L7 DDoS 攻擊的行業（基于占總體互聯網流量的比例）1814Cloudflare|2024 年應用安全趨勢目錄商業考量和建議（續）DDOS 攻擊對于由公共云提供的 DDoS 保護，云服務提供商通常位于組織的應用和基礎設施前，將所有流量引導到一個清洗中心進行“清洗”。僅合法流量會發回給客戶。這個操作可

22、以“按需”或“始終開啟”方式激活。但是通常存在以下限制：按需云清洗依賴于人工干預，增加了緩解響應時間。提供商也可能按攻擊流量的字節數收費，成本隨時間推移而增加。許多始終開啟的 DDoS 供應商依賴遠程清洗中心，這可能會導致明顯的延遲。建議要實現基于云的 DDoS 防御的全部優勢，請尋找具備如下能力、可擴展和“始終開啟”的服務：盡可能靠近攻擊源的地方自動吸收惡意流量，以減少終端用戶延遲和業務停機 時間 不計量、無限制的 DDoS 攻擊緩解，不會因攻擊流量激增而額外收費 針對所有 DDoS 攻擊類型的集中式自主保護15Cloudflare|2024 年應用安全趨勢目錄平均而言，Cloudflare

23、 處理的所有應用流量中，機器人占三分之一（31.2%）。19 這一比例在過去三年中保持相對穩定（徘徊在 30%左右）?！皺C器人流量”一詞可能帶有貶義，但實際上機器人流量不一定是好是壞；它完全取決于機器人的用途。一些機器人是“善意的”，執行所需的服務，例如客戶服務聊天機器人和授權的搜索引擎爬蟲。但一些機器人濫用在線產品或服務，需要予以阻止。不同的應用所有者可能對他們認為的“惡意”機器人有不同的標準。例如，一些組織可能希望阻止競爭對手為降低價格而部署的內容抓取機器人，而一個不銷售產品或服務的組織則可能不那么關心內容抓取活動。Cloudflare 將已知、善意的機器人歸類為“經驗證機器人”。然而，我

24、們發現的機器人中，絕大多數(93%)是未經驗證的機器人，并且可能是惡意的。20未經驗證的機器人通常是為破壞性和有害目的而創建的，例如囤積庫存、發動 DDoS 攻擊或試圖通過暴力破解或憑據填充方式接管帳戶。（已驗證機器人是已知安全的機器人，例如搜索引擎爬蟲）。惡意機器人如不加以阻止可能會導致嚴重的問題：性能影響：過多的機器人流量會給 Web 服務器帶來沉重的負擔，減慢或拒絕對合法用戶的服務。機器人流量趨勢 業務中斷：機器人可以快速從網站抓取或下載內容，傳播垃圾內容或囤積線上商店庫存 數據盜竊和賬戶接管：機器人可以竊取信用卡數據、登錄憑據并接管賬戶行業制造/消費品加密貨幣安全與調查計算機與網絡安全

25、美國聯邦政府制藥研究音樂石油與能源休閑旅游0%20%40%網站機器人流量每日占比中位數60%68.5%64.8%52.2%48.2%45.9%43.4%41.2%39.1%36.9%35.7%70%圖 6：機器人流量每日占比中位數最高的行業21數據快照：具有高機器人流量的行業利用機器人的攻擊者主要關注那些可能為他們帶來高額財務收益的行業。16Cloudflare|2024 年應用安全趨勢目錄如上圖所示，在分析哪些行業面臨最大的機器人問題時，我們發現制造和消費品企業網站處理的所有流量中有驚人的 68.5%來自機器人。21 我們的發現證實了消費品行業零售商觀察到的情況（例如，在人類還未來得及將鞋子

26、或游戲主機放入購物車之前，庫存囤積機器人就已經將貨品搶購一空），損害了品牌信任。另一方面，在線銷售實物商品較少的行業，例如保險或酒店業，所處理的機器人流量比例更接近互聯網平均水平31.2%。21建議 如果您所在的行業往往會面臨更多機器人流量，請考慮增加對機器人管理的投資，以先發制人地阻止憑據填充、內容抓取、垃圾內容、庫存囤積和來自惡意機器人的其他威脅。尋找具備以下功能的機器人管理服務：通過對海量多樣化的數據應用行為分析、機器學習和指紋識別技術，規?；?準確識別機器人 與企業的其他 Web 應用安全和性能服務（例如 WAF、CDN、DDoS）輕松集成 允許好的機器人（例如屬于搜索引擎的機器人）繼

27、續到達您的網站，同時將惡意流量拒之門外商業考量和建議機器人流量17Cloudflare|2024 年應用安全趨勢目錄大多數組織的 Web 應用依賴于來自第三方提供商的不同程序或代碼片段（通常為 JavaScript 形式）。使用第三方腳本可加速現代 Web 應用的開發，并允許組織更快 地將功能推向市場，而無需自行構建所有新的應用功能。事實上，Cloudflare 的典型企業客戶平均使用 47.1 個第三方腳本，中位數為 20.0 個第三方腳本。22 由于 SaaS 提供商通常有數千個子域，平均值遠高于中位數。以下是 Cloudflare 客戶最常使用的一些第三方腳本：23第三方軟件依賴雖然有用

28、，但它們通常由最終用戶的瀏覽器直接加載（即在客戶端加載），使組織及其客戶面臨風險，因為組織無法直接控制其安全措施。例如，在零售領域，根據 Verizon 的 2024 年數據泄露調查報告，18%的數據泄露事件源自 Magecart 式攻擊?？蛻舳孙L險數據快照：第三方腳本和 Cookie 使用情況 Google(Tag Manager,Analytics,Ads,Translate,reCAPTCHA,YouTube)Meta(Facebook Pixel,Instagram)Cloudflare(Web Analytics)jsDelivr New Relic Appcues Microsof

29、t(Clarity,Bing,LinkedIn)jQuery WordPress Pinterest UNPKG 抖音 Hotjar Google(Analytics,Ads)Microsoft(Clarity,Bing,LinkedIn)Meta(Facebook Pixel)Hotjar Kaspersky Sentry Criteo tawk.to OneTrust New Relic 貝寶平均而言，每個網站有 49.6 個到 JavaScript 函數及其目的地的連接，中位數為 15.0 個。24這些連接中的每一個也構成潛在的客戶端安全風險。以下是 Cloudflare 客戶最常用的一

30、些第三方連接：25平均而言，我們客戶的網站使用了 11.5 個 Cookie，中位數為 5 個。僅一個組織就使用了 131 個 Cookie。26 與瀏覽器加載的第三方腳本和連接類似，Cookie 也帶來客戶端風險和合規風險。具體來說，Cookie 可能會使網站訪客面臨安全風險，例如 Cookie 篡改，即攻擊者修改客戶端 Cookie 以執行會話劫持等攻擊，以實現賬戶接管或欺詐。雖然第三方腳本和 Cookie 將繼續存在，但 Web 應用所有者日益要對這些腳本可能使其最終用戶面臨的風險負責更不用說合規責任后果了。18Cloudflare|2024 年應用安全趨勢目錄商業考量和建議客戶端風險攻

31、擊者可以通過各種方式獲得修改網站所用 JavaScript 組件代碼的權限，例如使用被盜的賬戶憑據或利用 zero-day 或未修補的漏洞。然后，他們利用這一特權訪問權限對每個使用該 JavaScript 代碼的網站發起下游攻擊。根據 PCI DSS 4.0（將于 2025 年 3 月生效）的新要求，擁有支付頁面的組織需要監控第三方腳本攻擊，并保護其最終用戶免受瀏覽器供應鏈攻擊。如果一個組織未能滿足用戶的隱私期望，Cookie 也會帶來也客戶端和合規風險（例如前述的 Cookie 篡改）。例如，GDPR 的 電子隱私指令 要求網站所有者明確說明正在使用的 Cookie 及其 目的（而且，在某些

32、情況下，將這些 Cookie 存儲到用戶的瀏覽器中之前獲取用戶的 同意）。建議與客戶端腳本一樣，網站管理員、開發人員或合規團隊成員并不總是知道其網站正在使用哪些 Cookie。因此，尋找一種服務來自動消除第三方腳本風險，并提供一個完整的單一儀表板視圖來顯示您的網站正在使用的所有第一方 Cookie。19Cloudflare|2024 年應用安全趨勢目錄消費者和最終用戶期待動態的 Web 和移動體驗而這些體驗是由 API 驅動的。對于企業來說，API 提供了競爭優勢更強的業務智能、更快的云部署、整合新的 AI 能力，等等。然而，API 目前在 Cloudflare 處理的動態互聯網流量占比超過一

33、半(58%)27，由于允許外部方訪問應用，帶來了新的風險。然而，對許多人來說，API 安全已經落后于 API 部署的快節奏：機器人操作者可以直接攻擊例如賬戶創建、表單填寫和付款等工作流程背后的 API，以竊取憑據和其他信息；AI 模型的 API 也容易遭受攻擊。但是您無法保護看不到的東西。而且許多組織缺乏準確的 API 清單，即便他們相信自己可以正確識別 API 流量。影子 API 風險通過使用我們的專有機器學習模型（它不僅掃描已知的 API 調用，還掃描所有 HTTP 請求，以識別可能未被考慮的 API 流量），我們發現組織擁有的公共 API 端點比他們知道的多 33%。（這個數字是中位數，

34、它是通過比較通過基于機器學習的發現和根據客戶提供的會話標識符檢測到的 API 端點的數量計算得出的。）28這表明近三分之一的 API 是“影子 API”可能沒有得到適當的盤點和保護20Cloudflare|2024 年應用安全趨勢目錄商業考量和建議API 風險Web 應用和 API 經常一起工作，例如一個電子商務網站使用 API 來處理支付。然而，API 的獨特屬性構成了獨特的攻擊面：盡管 API 與 Web 應用相比構成不同的安全挑戰，但我們發現，通過某種第 7 層安全機制防御的 API 流量中，有 66.6%主要是通過傳統的消極安全 WAF 規則來保護，而不是使用積極安全模型的專門 API

35、 規則。29 傳統的 WAF 消極安全模型方法可能無法檢測所有針對 API 的攻擊流量，特別是端點枚舉或身份驗證劫持等特定于 API 的攻擊。用于保護 API 端點的任何 WAF 應具有現代的 API 專用功能，可以執行積極的安全模型。建議隨著企業通過 API 提供更多服務，它們應該利用專為 API 安全和管理而設計的工具增強 Web 應用安全工具（例如 WAF 和 DDoS）。高級 API 安全使用無監督機器學習，幫助企業：發現影子 API：持續掃描企業環境中的每個公共 API，甚至是那些不受管理或未受保護的 API 防止數據泄露：通過持續掃描響應有效負載的敏感數據來阻止數據泄漏 創建積極的

36、安全模型：通過僅接受符合 OpenAPI 模式的流量來保護 API，同時阻止格式錯誤的請求和 HTTP 異常交互對象數據格式請求和響應結構典型威脅 Web 應用人對系統靈活（例如 JavaScript、HTML、CSS）靈活，并返回視圖DDoS、惡意機器人、OWASP 十大 Web 應用風險 現代 API系統對系統結構化和機器可讀（例如 JSON）由 API 模式定義，僅返回數據濫用、數據泄露、惡意機器人、OWASP 十大 API 風險21Cloudflare|2024 年應用安全趨勢目錄數據很清楚：保護組織的應用和 API 以防范新風險的復雜性繼續增加：應用層 HTTP DDoS 攻擊的數量

37、和規模正在增長，而且由僵尸網絡更高效地發動 大多數機器人都是不受信任或未經驗證的，這可能會對 Web 應用的安全和性能產生 負面影響 攻擊者正在更快地將披露的 CVE 武器化；在一個例子中，是 PoC 發布后的 22 分鐘內 如果企業對第三方腳本和 Cookie 的依賴度更高，則可能面臨更高的軟件供應鏈攻擊、隱私問題和合規違反風險總結企業通常擁有一套互相脫節、拼湊而成的傳統和單點安全產品，導致難以連接和保護其 SaaS 應用、Web 應用和其他 IT 基礎設施。IT 泛濫使攻擊者更容易發現和利用漏洞。Web 應用和 API 威脅的廣泛性需要專門的方法來阻止專門的攻擊。然而，一種整合的、一流方法

38、有助于確保更好的安全性、無延遲的連接和業務增長。222222Cloudflare|2024 年應用安全趨勢目錄目錄為了減少復雜性，同時保護不斷增加的攻擊面，Cloudflare 將針對用戶、應用、API 和網絡的保護統一到全球連通云上。全球連通云將一個統一的安全網絡放置在 Web 應用和 API 前面。它：使用強大的規則集、暴露憑據檢查和其他安全措施實時阻止廣泛的攻擊 防止攻擊者發現并利用 IP 地址、配置和 IT 資產 將 Web 瀏覽轉移到邊緣（而不是端點），為用戶和設備隔離基于 Web 的威脅 檢測基于瀏覽器的攻擊，包括以脆弱的 JavaScript 依賴和其他第三方腳本為目標的客戶端攻

39、擊Cloudflare 如何提供協助Cloudflare 全球連通云可擴展以保護任何地方的人員、應用和網絡約 20%的 Web 資產受到 Cloudflare 保護320+城市 位于 120+國家/地區2090 億+次威脅/日被阻止23Cloudflare|2024 年應用安全趨勢目錄我們的一體化應用安全產品組合基于一個龐大網絡的骨干網構建，幫助企業全面掌控自身的安全態勢。主要服務包括：進一步了解 Cloudflare 的應用安全和性能解決方案。Cloudflare Web 應用防火墻(WAF)提供全面的安全可見性，針對 OWASP 攻擊和新興漏洞的分層保護，通過機器學習檢測規避和新型攻擊，阻

40、止賬戶接管，檢測數據丟失等。Cloudflare DDoS Web 保護從我們 的全球網絡邊緣自動執行智能 DDoS 緩解，可在 3 秒內緩解大多數攻擊。所有計劃都提供無限的 DDoS 攻擊緩解，攻擊相關流量激增無額外收費。Cloudflare 機器人管理使用機器 學習、行為分析和指紋識別對機器 人進行準確分類。阻止憑據填充、內容抓取、庫存囤積、DDoS 和其他惡意機器人活動。Cloudflare API Gateway 自動 發現、驗證和保護您的 API 端點。阻止常見的 API 攻擊，包括 zero-day 漏洞、身份驗證濫用、數據 丟失、DDoS 和其他業務邏輯攻擊。了解更多24Clou

41、dflare|2024 年應用安全趨勢目錄自定義規則：允許您通過對一個區域發送的請求進行過濾來控制入站流量。根據您定義的規則，可以對入站請求執行諸如阻止或托管質詢等操作。HTTP DDoS 攻擊規則：一組預先配置的規則，用于在 Cloudflare 全球網絡的第 7 層（應用層）匹配已知的 DDoS 攻擊手段。這些規則匹配已知的攻擊模式和工具，可疑 模式，協議違反，導致大量源錯誤的請求，到達源服務器/緩存的過多流量，以及應用層的其他攻擊手段。訪問規則：使用 IP 訪問規則，根據訪問者的 IP 地址、國家或自治系統編號(ASN)對流量進行允許、阻止和質詢操作。IP 訪問規則通常用于阻止或質詢疑似

42、惡意流量。IP 訪問規則的另一個常見用途是，允許定期訪問您網站的服務，例如 API、網絡爬蟲和支付提供商。IP 信譽：此威脅評分衡量 Cloudflare 服務中的 IP 信譽。這個分數是根據 Project Honey Pot、外部公共 IP 信息以及來自我們的 WAF 托管規則和 DDoS 的內部威脅情報計算的。托管規則：允許您部署預配置的托管規則集，提供對常見攻擊的即時防御。Cloudflare 主要術語表緩解流量：指 Cloudflare 平臺應用了“終止”操作的任何最終用戶 HTTP 或 HTTPS 請求。這包括以下操作：BLOCK、CHALLENGE、JS_CHALLENGE 和

43、MANAGED_CHALLENGE。這不包括應用了以下操作的請求：LOG、SKIP、ALLOW。從 2023 年開始，Cloudflare DDoS 緩解系統應用了 CONNECTION_CLOSE 和 FORCE_CONNECTION_CLOSE 操作的請求也被排除在外，因為這些操作只會拖慢連接的啟動。它們在請求中所占比例相對較小。Cloudflare 改進了有關 CHALLENGE 類型操作的計算，以確保只有未解決的質詢才被算為已緩解。有關操作的詳細說明請參閱 Cloudflare 開發人員文檔。速率限制規則：允許您為匹配一個表達式的請求定義速率限制，以及達到這些速率限制時要執行的操作。上

44、傳內容掃描：在 Cloudflare WAF 中啟用時，內容掃描嘗試檢測內容對象，例如上傳的 文件，并掃描其中的惡意特征，如惡意軟件。掃描結果以及額外的元數據暴露為可供 WAF 自定義規則使用的字段，使您能夠實施精細化的緩解規則。附錄注意：本報告中的數據僅根據在 Cloudflare 網絡中跟蹤的流量計算得出，不一定代表整個互聯網的 HTTP 流量模式。25Cloudflare|2024 年應用安全趨勢目錄1.通過查看 2023 年 4 月 1 日至 2024 年 3 月 31日期間緩解的應用流量，我們分析哪些應用安全規則被用于緩解流量。WAF 緩解的流量最多，但 WAF 規則可以阻止許多不同

45、類型的攻擊，包括容量耗盡攻擊、憑據填充攻擊、惡意內容上傳等（這些攻擊可以通過數百種不同規則來檢測）。Web 應用觸發的第二大最常見規則集是 DDoS 規則集，該規則集僅識別 DDoS 攻擊。2.Jetbrains 于 2024 年 3 月 4 日 14:59 披露 CVE-2024-27198。幾小時后，Rapid7 在 19:23 UTC 發布對 CVE-2024-2178 的概念驗證分析。Cloudflare 在 19:45 UTC 觀察到對該漏洞的嘗試利用。3.我們查看了截至 2024 年 5 月從 Page Shield 產品提取的聚合客戶網站數據，針對包含 resource_type

46、=script 和 resource_type=connection 的主機，以確定我們客戶的每個主機名上的第三方腳本和連接的平均數量。我們排除了數據集中的異常值，因此連接和腳本的數量是通過查看數據集的 99.5%來確定的。4.我們研究了 Cloudflare 反向代理后面所有網站在報告收集期（2023 年 4 月 1 日至 2024 年 3 月 31 日）內的所有 HTTP 流量，并按人類流量和自動流量進行排序，以了解機器人與人類流量各自所占比例。為了獲得經驗證的機器人流量與未經驗證的機器人流量之間的比例，我們將機器人流量與 Cloudflare 維護的已知“好”機器人也就是“經驗證”的機器

47、人）列表進行對比。5.為了找到這些數據，我們分析了 2023 年 4 月 1 日至 2024 年 3 月 31 日期間由 Cloudflare 保護的公共 API 端點觸發的應用安全規則。然后，我們將觸發的規則劃分到與它們的產品相對應的更大的組別中。這有助于我們了解攻擊者最常嘗試的策略。6.在 2023 年 4 月 1 日至 2024 年 3 月 31 日的收集期間，我們分析了來自 URL Scanner 項目的數據，查看在數據收集期間接收到最高流量的前 5000 名。我們選擇分析前 5000 個域的 Cookie，而不是 Cloudflare 后面的所有 URL，以展示最能反映本報告企業受眾

48、的數據。7.我們分析了從 2023 年 4 月 1 日至 2024 年 3 月 31 日期間發給 Cloudflare 代理背后的所 有應用的 HTTP 請求，并根據緩解或未緩解進行分類（有關“緩解流量”的定義，請參閱“術語表”）。尾注8.我們將 2023 年 4 月 1 日至 2024 年 3 月 31 日期間緩解的應用流量百分比與我們的報告 2023 年應用安全狀況 中的數據進行了比較。9.本圖表研究在 2023 年 4 月 1 日至 2024 年 3 月 31 日期間匯總的數據，涵蓋所有由 Cloudflare 作為反向代理并部署了至少一個應用安全規則的應用，以確定哪些安全規則被最頻繁地

49、觸發。然后，我們將觸發的規則劃分到與它們的產品相對應的更大的組別中。這有助于我們了解攻擊者最常嘗試的策略。10.本圖表研究在 2023 年 4 月 1 日至 2024 年 3 月 31 日期間匯總的數據，涵蓋所有由 Cloudflare 作為反向代理并部署了至少一個應用安全規則的應用，以確定哪些安全規則被最頻繁地觸發。這有助于我們了解攻擊者最常嘗試的策略。11.這些數據來源于案例研究訪談中的客戶反饋，特別是來自 DTLR/Villa 和 Open Access College 的公開案例研究，以及 Cloudflare 通過 TechValidate 軟件進行的客戶投資回報調查的 23 份答卷

50、。12.我們研究了導致每個 WAF 托管規則（用于阻止針對常見和新興漏洞的利用）發布后的 30 天內觸發該規則的攻擊嘗試活動，以避免今年早些時候發布的托管規則所占權重過高。我們檢查了 2023 年 4 月 1 日至 2024 年 3 月 31 日期間發布的 WAF 托管規則及其相關的漏洞利用企圖活動。13.本圖顯示了 2023 年 4 月 1 日至 2024 年 3 月 31 日收集期間緩解的 HTTP 流量，放大到這一年期間與 DDoS 規則相關的緩解流量。14.來源：Cloudflare 的 2024 年第一季度 DDoS 威脅報告。15.來源：Cloudflare 的 2024 年第一季

51、度 DDoS 威脅報告。16.這些數據來自 Cloudflare 對被稱為“Rapid Reset”的 HTTP/2 漏洞以及隨后發生的超大規模攻擊浪潮的發現和分析。附錄26Cloudflare|2024 年應用安全趨勢目錄尾注附錄17.來源：Cloudflare 2023 年第三季度 DDoS 威脅報告。18.本圖表對 HTTP DDoS 攻擊按行業分類，然后按照在 2023 年 4 月 1 日至 2024 年 3 月 31 日期間互聯網上所有 DDoS 流量中所占比例從大到小排序。19.我們研究了 Cloudflare 反向代理后面所有網站在報告收集期（2023 年 4 月 1 日至 20

52、24 年 3 月 31 日）內的所有 HTTP 流量，并按人類流量和自動流量進行排序，以了解機器人與人類流量各自所占比例。20.為了獲得經驗證的機器人流量與未經驗證的機器人流量之間的比例，我們將 2023 年 4 月 1 日至 2024 年 3 月 31 日期間的機器人流量與 Cloudflare 維護的已知“好”機器人（也就是“經驗證”的機器人）列表進行對比。21.我們查看 2023 年 4 月 1 日至 2024 年 3 月 31 日期間的機器人流量，并按行業分類，然后將每個行業的機器人流量與人類流量進行比較，以確定哪些行業擁有最高比例的機器人流量。22.我們查看了截至 2024 年 5

53、月從 Page Shield 產品提取的聚合客戶網站數據，針對包含 resource_type=script 和 resource_type=connection 的主機，以確定我們客戶的每個主機名上的第三方腳本和連接的平均數量。我們排除了數據集中的異常值，因此連接和腳本的數量是通過查看數據集的 99.5%來確定的。23.根據 Radar 年度回顧報告（2023 年 1 月 1 日-2023 年 12 月 31 日）以及報告期間（2023 年 4 月 1 日-2024 年 3 月 31 日）從 Cloudflare Page Shield 產品提取的數據，我們編制了客戶 Web 應用中最常用第

54、三方腳本的列表。24.我們查看了截至 2024 年 5 月從 Page Shield 產品提取的聚合客戶網站數據，針對包含 resource_type=script 和 resource_type=connection 的主機，以確定我們客戶的每個主機名上的第三方腳本和連接的平均數量。我們排除了數據集中的異常值，因此連接和腳本的數量是通過查看數據集的 99.5%來確定的。25.利用 2024 年 5 月從 Cloudflare Page Shield 產品獲取的數據，我們匯總了客戶 Web 應用中最常用第三方連接的列表。26.基于 2023 年底的 Cloudflare Radar 排名前 5

55、,000 個域。我們選擇分析前 5000 個域的 Cookie，而不是 Cloudflare 背后的所有 URL，以顯示最能反映本報告企業受眾的數據。Radar 的域排名數據集旨在根據全球各地人們如何使用互聯網來識別最受歡迎的域，而不追蹤個人的互聯網使用情況。27.2023 年 4 月 1 日至 2024 年 3 月 31 日期間，具有成功響應（200 狀態碼）的 API 流量占 Cloudflare 動態 HTTP 流量的 58%（中位數）。動態內容是根據用戶特定因素而變化的內容，例如訪問時間、位置和設備。28.對于 REST API 端點，Cloudflare API Gateway 產品

56、中的 API 發現工具通過機器學習在所有客戶的 域/區域中找到的端點比我們通過客戶提供的會話標識符發現的數量（中位數，每個賬戶）多出 33%。29.我們研究了 2023 年 4 月 1 日至 2024 年 3 月 31 日期間到公共 API 的緩解流量，并分析哪些產品和規則集被最頻繁地實施和觸發。27Cloudflare|2024 年應用安全趨勢目錄目錄電話：010 8524 1783 電郵： 網站： 2024 Cloudflare,Inc.保留所有權利。Cloudflare 徽標是 Cloudflare 的商標。所有其他公司和產品名稱分別是與其關聯的各自公司的商標。REV:BDES-5907.2024JUN20