黃志敏-應用防護、隨需而變-瑞數All in One WAAP解決方案（16頁）.pdf

1、瑞數信息 黃志敏業務的不斷變化，導致應用安全防護需求不斷升級業務的不斷變化，導致應用安全防護需求不斷升級應用安全防護需求業務變化業務變化業務變化 威脅變化威脅變化 手段變化手段變化 防護理念變化防護理念變化APIAPI管理管理/防護防護安全協同業務安全協同業務CCCC攻擊攻擊主動防御主動防御業務攻擊業務攻擊微服務應用安全促進業務安全促進業務APP應用自動化攻擊自動化攻擊APPAPP攻擊防護攻擊防護設備聯動設備聯動無漏洞攻擊無漏洞攻擊安全從屬業務安全從屬業務Web應用人工滲透人工滲透WebWeb攻擊防護攻擊防護漏洞攻擊漏洞攻擊靜態規則靜態規則應用安全防護需求的演進應用安全防護需求的演進Gartn

2、er WAAP Gartner WAAP 體系架構體系架構01020403GartnerGartnerAPI API 保護保護不光保護內部使用的 Web 應用和 API 還保護面向公眾的 Web 應用和 APIDDoS DDoS 保護保護CC 攻擊防御自動化攻擊防護自動化攻擊防護區別自動化流量和人類用戶，并對這兩類流量實施適當的控制；WAFWAF盡量提高已知和未知威脅的檢測率和捕獲率；到 2020 年，獨立的 WAF 硬件設備在新部署的 WAF 中所占的比例將不到 20%，明顯低于目前的 35%。到 2023 年，30%以上面向公眾的 Web應用將受到云 Web 應用和 API 保護（WAAP

3、）服務的保護，與目前的 10%相比將有巨大提升。分布式拒絕服務（DDoS）防御、bot 管理服務、API 保護和 WAF 等功能，可以為 Web 應用提供更好的安全保護。四個核心原則四個核心原則各行業自動化威脅概覽各行業自動化威脅概覽42.07%46.63%50.32%51.82%60.13%62.94%63.28%65.64%57.93%53.37%49.68%48.18%39.87%37.06%36.72%34.36%0%10%20%30%40%50%60%70%80%90%100%能源電力醫療出版行業教育互聯網運營商金融政府自動化工具流量人類流量注：數據來源瑞數信息2019年 Bots自

4、動化威脅報告中國中國WebWeb應用安全現狀應用安全現狀20192019年上半年我國互聯網網絡安全態勢年上半年我國互聯網網絡安全態勢2019年上半年阿里云Web應用安全報告2019年Web應用漏洞占CNVD收錄漏洞的23.3%2019年針對國內網站的纂改數量近19萬個2019年，每個月的攻擊次數都成遞增趨勢，到5月 每個月攔截的攻擊超過19億，6月份攔截的攻擊突破20億API API 調研數據統計調研數據統計 API技術使用廣泛，特別是在新基建的時代背景下 79%的API為RESTful API 內部與外部API共存，API安全挑戰巨大注：數據來源SmartBearThe state of A

5、PI 2019Gartner WAAP Gartner WAAP 技術架構技術架構注：數據來源為Gartner WAAP 2019報告原文瑞數瑞數WAAPWAAP整體架構整體架構安全前置、動態對抗大數據安全分析、安全服務通過動態技術，針對自動化攻擊建立全方位縱深防御體系，從而形成事前，事中，事后安全風險閉環，消除用戶信息安全體系建設中的“安全孤島”問題，適應當前復雜多變的網絡和應用環境，保障信息系統的動態、長期安全。webH5APP/小程序APIWWA AA AP P平平臺臺業務場景業務場景Web攻擊防護APP攻擊防護API 管理/保護業務攻擊防護功能層功能層動態令牌動態驗證動態混淆動態封裝

6、設備指紋威脅模型生成信譽庫攻擊者畫像信譽數據輸入輸出定時器軟攔截動態挑戰CC防御基于有監督和無監督學習模式下的智能AI識別引擎API管理/防護動態WAFBot防護AIAI+動動態態策策略略層層可編程對抗業務威脅感知動態技術1 1數據共享第三方數據輸入/輸出瑞數情報數據APP數據API網關數據接入渠道接入渠道WAAP Bot 防護Bot Bot 防護：動態安全保護業務及應用安全防護：動態安全保護業務及應用安全瀏覽器瀏覽器WebWeb服務器服務器移動移動AppApp對應用層的HTML代碼進行動態變幻動態變幻動態驗證動態驗證運行環境驗證，以甄別“人”還是“自動化”如：對抗模擬瀏覽器及自動化的攻擊瑞數

7、瑞數動態封裝動態封裝網頁底層代碼變換并封裝，隱藏攻擊入口，如：對抗一般掃描其及爬蟲動態混淆動態混淆提交的客戶端敏感數據進行混淆變化，保護數據，防篡改如：對抗中間人攻擊動態令牌動態令牌一次性的頁面動態令牌，確保執行正確的業務邏輯如：對抗重訪攻擊或越權核心優勢：高級自動化工具防護核心優勢：高級自動化工具防護 全面防護全面防護有效識別與阻擋多源低頻、模擬業務邏輯、網頁零日漏洞等新興攻擊。輕量管理輕量管理 主動防御主動防御 威脅透視威脅透視不依賴傳統特征碼、閾值、打補丁和策略規則。通過隱藏web網頁路徑及可能的攻擊入口，令漏洞掃描、漏洞利用的工具及模擬正常業務操作的工具完全失效。無需修改任何應用服務器

8、代碼，客戶端無需配置。獨特和細粒度的機器人行為透視，準確定位攻擊通過機器人威脅清洗提供優質有效的威脅數據。自動化工具自動化工具快速演進快速演進腳本腳本 BotsBots模擬瀏覽器及一模擬瀏覽器及一般操作的般操作的BotsBots模擬業務邏輯及模擬業務邏輯及高級高級擬人擬人BotsBots真人攻擊真人攻擊Bot Bot 防護場景防護場景“工具”的規?；瘶I務風險 業務邏輯安全問題 未知威脅問題防漏洞探測防零日漏洞防應用 DDoS防代碼分析應用安全應用安全數據泄漏數據泄漏防爬蟲防內鬼防數據遍歷防拖庫賬號安全賬號安全防撞庫防暴力破解防批量注冊防短信轟炸防虛假交易防交易篡改防黃牛黨防薅羊毛交易欺詐交易欺

9、詐WAAP WAF防護WAF WAF 防護：動態雙引擎防護：動態雙引擎WAFWAF不依賴傳統規則：無規則不依賴傳統規則：無規則 +智能規則智能規則AIAI 智能威脅智能威脅引擎引擎手工攻擊手工攻擊防護防護手工攻擊手工攻擊手工攻擊手工攻擊手工攻擊手工攻擊已知漏洞已知漏洞攻擊攻擊掃描探測掃描探測(自動化）自動化）非應用漏洞非應用漏洞攻擊攻擊零日漏洞零日漏洞攻擊攻擊應用層應用層DDoS/CC(DDoS/CC(自動化）自動化）多源低頻多源低頻手工攻擊手工攻擊手工攻擊手工攻擊動態安全動態安全引擎引擎工具攻擊工具攻擊防護防護X XX XX XX XX XX X手工攻擊手工攻擊零日探測零日探測(自動化）自動

10、化）X X動態雙引擎動態雙引擎WAFWAF的核心優勢的核心優勢 豐富的指紋和工具特征 實時介入交互的信息采集 不依賴設備特征的“唯一標識”客戶端指紋不依賴于設備客戶端指紋不依賴于設備行為分析模型精準行為分析模型精準輕規則輕維護輕規則輕維護 全訪問日志記錄 數十萬真實樣本訓練 用戶異常行為識別模型 異常行為檢測模型讓威脅檢測更智能 機器學習實現攻擊識別AIAI智能智能威脅檢測引擎威脅檢測引擎動態安全引擎動態安全引擎無規則防工具無規則防工具高效率零誤報高效率零誤報易使用輕維護易使用輕維護前端采集，精準人機識別每個請求實時判斷是否工具改變規則設置調優產生誤報的局面無需人員做規則調整和策略升級WAAP

11、 API 管理&防護API API 管理管理&防護防護 感知感知保護保護發現發現監控監控 通過插入 JS 或集成 SDK 感知被防護的 API 對來源環境進行感知對異常API請求進行攔阻、限速、欺騙或打碼等響應動作發現與建立API清單，對API進行可視化展現API資產管理監控API的運行情況監控API的請求、行為和異常情況API API 管理管理&防護的核心優勢防護的核心優勢APIAPI 防護，可編程對抗防護，可編程對抗自動生成API列表，對API接口的訪問情況一目了然。API API 自動發現自動發現構建構建 API API 畫像畫像APIAPI全渠道感知全渠道感知動態響應防護動態響應防護快

12、速預覽各個業務的API情況，包括使用情況、異常情況、訪問來源等。各類API來源應用進行集成，可以對來源環境和用戶行為進行感知。動態響應防護，提升通過逆向探測或機器學習分析等攻擊手段的難度。WAAP-應用層DDOS防護應用層應用層DDOS(CCDDOS(CC攻擊攻擊)防護防護l 能CC防護，區別基于IP頻率訪問防御，支持專利技術動態令牌的CC防護，可以防護各種CC攻擊，保障業務正常訪問爬蟲程序 打碼平臺黑產掃描搜索引擎欺詐短信轟炸程序黃牛無頭瀏覽器 公積金保信息 專家號 薅羊毛 航空票務 身份信息 工商信息 交易截取 敏感信息泄漏 服務器壓力暴增 拖庫/撞庫風險 名譽損失 內容篡改 金錢損失90

13、%機器人流量BotsBots模擬模擬核心技術：動態驗證核心技術：動態驗證有效解決了Ajax調用的問題，支持、URL令牌等多種形式插入插入CookieCookie的實現的實現原理原理專利技術：動態令牌專利技術：動態令牌通過對客戶端訪問環境的真實性驗證、用戶行為檢測以及訪問軌跡等實現人機識別。效果效果AjaxAjax請求防護請求防護防護具有JS執行能力的工具代號代號OplcarusOplcarus 2018 2018-“公平世界的理想公平世界的理想”代號代號“OplcarusOplcarus”攻擊第一次出現是在2016年，主要針對全球金融機構（銀行）進行持續的DDOS攻擊，手段豐富：2018年12

14、月11日，在Twitter上一個疑似匿名者組織成員Lorian Synaro 號召并發起代號“OplcarusOplcarus 2018 2018”攻擊行動攻擊目標為：全球中央銀行網站，攻擊名單中，多個國內銀行赫然在列2018年底，因法國宣布上調柴油稅率以及退休制度改革等事件，引發了法國全國性罷工，12月法國巴黎發生暴亂，匿名者組織開始策劃攻擊支持“黃背心運動”WAAPWAAP與安全威脅分析聯動與安全威脅分析聯動全日志記錄融合 分析Web/H5訪問API訪問APP訪問小程序訪問安全威脅分析平臺安全威脅分析平臺基于信譽自動攔截端點采集人機識別日志中心日志輸出Web/APP服務器API 應用服務器全訪問記錄，業務融合WAAPWAAP一體化解決方案：一體化解決方案：阻擋已知和未知攻擊高效Bot/API威脅克服傳統WAF技術缺陷無需依賴特征及規則更快速服務四合一統籌部署業務無影響釋放系統資源降低運維成本提升企業ROI更安全易用性高回報瑞數瑞數WAAPWAAP