6月30日���,網(wǎng)宿科技子品牌網(wǎng)宿安全在線上召開2022年度互聯(lián)網(wǎng)安全報(bào)告發(fā)布會(huì),正式發(fā)布《2022年Web安全觀察報(bào)告》(以下簡稱《報(bào)告》�、《零信任安全白皮書》以及《SASE安全訪問服務(wù)邊緣白皮書》。
據(jù)悉�,此次發(fā)布會(huì)是網(wǎng)安行業(yè)首個(gè)由虛擬數(shù)字人主持的發(fā)布會(huì),運(yùn)用了網(wǎng)宿科技旗下一站式虛擬數(shù)字人直播產(chǎn)品網(wǎng)宿虛擬直播�����,打破次元壁�����,實(shí)現(xiàn)虛實(shí)相融��,為公眾呈現(xiàn)了一場別開生面的安全趨勢解讀����。
會(huì)上,網(wǎng)宿科技副總裁���、首席安全官呂士表指出��,《報(bào)告》折射出Web安全面臨的威脅愈發(fā)嚴(yán)峻��,主要體現(xiàn)在幾大方面:一是高危Web漏洞持續(xù)爆發(fā)�����;二是API已成灰黑產(chǎn)的頭號(hào)攻擊目標(biāo)����;三是DDoS攻擊翻番增長,Tbps級(jí)別成為常態(tài)�����;四是Bot攻擊成倍攀升����,自動(dòng)化攻擊強(qiáng)度加大;五是在線業(yè)務(wù)欺詐風(fēng)險(xiǎn)顯著提高����;六是多樣化威脅層出不窮,亟需新的安全防護(hù)方案�����。
(相關(guān)資料圖)
具體來看,2022年�,網(wǎng)宿安全平臺(tái)共檢測到2700萬次針對(duì)Log4shell各個(gè)變種漏洞的利用���,并且諸如ApacheFineract路徑遍歷漏洞�����、OpenSSL安全漏洞�����、SQLite輸入驗(yàn)證錯(cuò)誤漏洞等大量新的高危漏洞不斷涌現(xiàn)�。而針對(duì)API的攻擊占比首次突破50%��,達(dá)到了58.4%�����,API上升為黑產(chǎn)攻擊的頭號(hào)目標(biāo)���。
呂士表分析認(rèn)為�,核心原因在于企業(yè)對(duì)自身API資產(chǎn)現(xiàn)狀不清��,存在未知的僵尸API、影子API等���,大量的敏感數(shù)據(jù)暴露在API之上���,給攻擊者留下了突破口。同時(shí)API沒有上下文����,攻擊成本較低,攻擊者通過簡單的網(wǎng)絡(luò)請(qǐng)求即可獲取數(shù)據(jù)或者進(jìn)行攻擊�。
DDoS攻擊方面,《報(bào)告》顯示�����,2022年DDoS攻擊日均發(fā)生43.92萬次�����,同比增長103.8%���,T級(jí)以上DDoS攻擊頻發(fā)����,全年最高攻擊峰值達(dá)到2.09Tbps。當(dāng)前的攻擊規(guī)模已經(jīng)遠(yuǎn)遠(yuǎn)超過單個(gè)數(shù)據(jù)中心的防護(hù)能力��,運(yùn)營商�����、大型的公有云以及分布式的CDN跟邊緣計(jì)算廠商成為大規(guī)模DDoS攻擊的防護(hù)主力軍���。
Bot攻擊則持續(xù)倍增。2022年�����,Bot攻擊平均每秒發(fā)生約5175次���,攻擊量為2021年的1.93倍����、2020年的4.5倍�����。Bot攻擊手法更加隱蔽����,不僅是通過偽造正常的User-Agent或者模擬正常瀏覽器做自動(dòng)化框架的攻擊���,還通過模擬人的行為規(guī)避成熟的Bot檢測,使得防御難度進(jìn)一步加大���。
值得注意的是�,隨著API廣泛應(yīng)用于各個(gè)在線業(yè)務(wù)�����,涉及交易�����、賬號(hào)敏感相關(guān)的環(huán)節(jié)都備受灰黑產(chǎn)關(guān)注�,在線業(yè)務(wù)欺詐風(fēng)險(xiǎn)驟升?����!秷?bào)告》發(fā)現(xiàn)��,黑灰產(chǎn)已高度成熟,通過大量自動(dòng)化�、流程化的方式進(jìn)行業(yè)務(wù)欺詐,并貫穿于整個(gè)在線業(yè)務(wù)場景���。在注冊(cè)����、登錄�、營銷場景下,自動(dòng)化攻擊占比均在50%以上�����。
此外����,Web安全威脅趨于多樣化�����,同時(shí)遇到2種以上威脅的Web業(yè)務(wù)占比高達(dá)87%����,遇到3種以上威脅的Web業(yè)務(wù)占比仍達(dá)65%。傳統(tǒng)WAF難以覆蓋如此多樣化的威脅�����,行業(yè)亟需升級(jí)安全防線。
對(duì)此�,呂士表進(jìn)一步指出,從客戶服務(wù)端到流量側(cè)的邊界再到用戶訪問的第一公里����,每個(gè)環(huán)節(jié)都需要相應(yīng)的防護(hù)能力,而從縱深的角度來看�,這就意味著需要3-7層的一體化防護(hù)。目前����,云WAAP是公認(rèn)的首選。
WAAP全稱Web Application and API Protection����,根據(jù)Gartner的定義,WAAP是集DDoS防護(hù)����、WAF、Bot管理����、API防護(hù)于一體的下一代Web安全防護(hù)解決方案���,實(shí)現(xiàn)從基礎(chǔ)設(shè)施防護(hù)、Web應(yīng)用防護(hù)���、API管理與防護(hù)���,以及自動(dòng)化工具管理與威脅防御。
據(jù)悉�����,網(wǎng)宿安全于2017年發(fā)布了全國首個(gè)安全加速解決方案�����,具備CDN加速和DDoS防護(hù)�����、WAF一體化能力�,隨后增加了Bot管理�����、API管理與安全能力,實(shí)現(xiàn)了WAAP的全棧能力����。
此前,網(wǎng)宿安全在業(yè)內(nèi)首家通過了信通院“WAAP安全能力評(píng)估”����。另外根據(jù)國際數(shù)據(jù)公司IDC報(bào)告數(shù)據(jù),網(wǎng)宿安全在《IDC MarketShare:中國公有云抗DDoS市場份額�����,2022》報(bào)告中以5.4%的市場份額位列第五����,成為前五陣營中唯一一家非公有云計(jì)算廠商��,而在IDC《中國云Web應(yīng)用防火墻市場份額�����,2022》報(bào)告中���,網(wǎng)宿安全也以5.3%的市場份躋身前五����。
“目前,從國有銀行�、到大型的央企到跨國的企業(yè)都在廣泛使用網(wǎng)宿安全WAAP一體化全棧安全體系?��!眳问勘肀硎?���。
據(jù)了解��,此次《報(bào)告》是網(wǎng)宿安全連續(xù)第七年面向外界輸出專業(yè)安全報(bào)告���,由網(wǎng)宿演武安全實(shí)驗(yàn)室基于網(wǎng)宿全球邊緣計(jì)算及邊緣安全平臺(tái)的監(jiān)測數(shù)據(jù)�,進(jìn)行深入挖掘分析而來���。依托在全球部署的20多萬臺(tái)服務(wù)器、2,800多個(gè)節(jié)點(diǎn)��,網(wǎng)宿平臺(tái)服務(wù)80%的中國網(wǎng)民��,日均承載萬億級(jí)請(qǐng)求流量,捕獲30億+攻防樣本����,平臺(tái)整體防護(hù)規(guī)模超過15Tbps。
