近年來,隨著移動網際網絡的快速發展,APP、H5、小程式等多種應用形式應運而生,越來越多的企業核心業務和交易平台越來越依賴這些新應用。 同時,越來越多的第三方API介面被呼叫,API服務帶來的Web暴露風險和風控鏈不斷擴大,已經不在傳統WAF的防護範圍內。 雖然WAF產品經過多年的發展已經比較成熟,但其對複雜威脅的檢測和響應能力仍有待進一步提公升,新一代WAF的產品理念已經開始提出。
為了更好地挖掘新一代WAF的應用價值和發展方向,Security Bull與瑞書資訊等7家國內WAF產品研發及應用代表廠商合作,啟動了《新一代WAF技術應用指南》報告的研究工作,從當前企業的Web應用防護需求出發, 並根據使用者的系統應用特點,為新一代WAF產品的部署和選擇提供建議。12月19日,報告正式發布。 瑞數資訊科技總監吳建剛受邀參加同日舉行的線上發布會,結合“多重保護、動態融合”主題,分享了瑞數資訊在構建WAAP解決方案過程中的實踐與探索。
多重保護,動態整合—瑞士數字WAAP解決方案
吳建剛,瑞書資訊科技總監。
據吳建剛介紹,今年以來,遇到這種情況的企業越來越多零日漏洞攻擊者利用軟體中的漏洞獲取未經授權的訪問,對企業伺服器進行加密和操縱,並將其用作勒索晶元,給企業造成巨大損失和業務中斷。
根據身份盜竊資源中心 (ITRC) 的統計資料,零日漏洞攻擊呈上公升趨勢,2023 年前三季度的攻擊數量與去年相比增加了 1,620%。 零日漏洞引發的一系列安全事件引發了企業的廣泛關注和恐慌,也暴露了網路安全的脆弱性和企業面對新出現的威脅的不足。
同時,隨著企業業務向多型化方向發展,除了傳統的**業務外,APP、小程式、H5、API等各種埠進一步豐富,風險敞口也不斷增加。 特別是應用和小程式由於開發相對簡單快捷,其安全防護不如傳統安全防護細緻,因此成為主要攻擊目標之一。
吳建剛介紹,為了降低攻擊成本,攻擊者往往會試圖繞過客戶端APP和小程式的限制,直接對API介面發起攻擊。
對於傳統的Web安全,防禦方式追求靜態的“絕對安全”,難以經受全生命週期惡意攻擊的考驗。 隨著應用程式安全架構的不斷發展,一系列新的安全挑戰也隨之而來。
其中,業務和資料正在成為網路攻擊的主要目標。 例如,企業在為客戶提供服務時,通常會提供註冊和登入介面,這些介面存在批量註冊、撞庫和暴力破解等風險在提供服務時,將面臨被惡意抓取資訊和敏感資料的風險在進行**交易時,存在虛假交易和交易被篡改的風險;在開展網路營銷活動時,也會面臨不同程度的惡意搶占營銷資源、收羊毛等危害的風險。
隨著新技術的不斷發展,攻擊手段也會動態公升級,上述風險往往被貼上“合法”的標籤,利用工具模擬合法的業務操作,更加隱蔽。 同時,自動化工具的廣泛使用使得網路攻擊更加高效和可擴充套件,再加上多源、低頻的特點,使得防火牆等傳統安全難以識別和防護。
據吳建剛介紹,全球90%以上的安全攻擊是由以下原因引起的:自動攻擊超過 90% 的攻擊流量是由自動化工具發起的,超過 50% 的網路流量是由自動化工具發起的。 隨著網路攻擊技術水平的不斷提高,攻擊特徵越來越隱蔽,從最初的對已知漏洞的攻擊演變為支援高階自動化攻擊、自動化+黑市資源庫等技術手段來隱藏機器特徵和惡意特徵。 此外,通過智慧型AI技術,可以繞過基於規則資料庫、特徵庫、流量學習、信譽資料庫和威脅情報的傳統防護方式,使被動防禦面臨“失敗”的局面。
針對日益嚴峻的網路安全形勢,吳建剛認為,更需要將被動應對轉變為主動防禦,實施主動防禦,這需要對網路安全問題有更全面的視角,依靠各種技術之間的相互配合來感知應用和系統安全。
gartner**
2024年,40%的企業將選擇基於更高階API防護能力的WAAP解決方案,更自動化的風險檢測和異常檢測能力將引起行業關注。隨著下一代應用安全WAAP能力的不斷演進,未來的應用安全趨勢將是WAAP應用安全融合平台。 對此,吳建剛表示,瑞數資訊的WAAP解決方案構建了所有業務渠道的統一防護能力,不僅實現了Web應用和API的統一管理,還進行了多維度的統一防護,從Web應用安全防護等多個維度構建了應用安全防禦體系, DDoS攻擊防禦、爬蟲子管理到API安全防護等,為企業業務連續性和資料安全保駕護航。
整體來看,瑞書資訊WAAP解決方案對全渠道業務進行採集整合,統一防護,通過裝置指紋、全量訪問記錄、客戶端採集、行為分析等方式精準溯源,並利用漏洞隱藏、攻擊攔截等方式,對Web、H5、APP、小程式、API等進行全面防護,實現資產暴露收斂。 同時,全面防禦WAF、BOT、DDOS、API等多重攻擊,最終實現不同業務渠道與其他安全產品的聯合防控。
針對日益兇猛的自動化攻擊,瑞數資訊通過動態驗證、動態封裝、動態令牌和動態混淆等一系列動態安全技術,不斷改變目標系統的內容和行為,防止攻擊者尋找突破口,改善目標系統的行為,從而增加攻擊難度,使攻擊者無法上手。
此外,瑞書資訊還融合了動態安全技術與AI技術,涵蓋機器學習、智慧型人機識別、智慧型威脅檢測、全息裝置指紋識別、智慧型響應等AI技術,記錄從客戶端到伺服器的所有請求日誌,持續監控和分析流量行為,實現精準的攻擊定位和溯源,對潛在和潛力進行更深入的分析和挖掘。更多隱藏的攻擊行為,從而更準確、更持續地抵禦惡意爬蟲帶來的自動化攻擊。
目前WAAP解決方案支援本地、雲和SaaS等多種形態部署,以及WEB、APP、API、微信、小程式等多種業務接入渠道,擁有超過1000家領先的標桿和關鍵基礎設施企業客戶,使用者群廣泛,覆蓋電信等多個行業和領域。 金融、醫療、教育、電力能源、網際網絡等。
近兩年來,憑藉近年來在API和資料安全領域取得的突出成績,其技術實力和市場表現得到了國際權威機構的認可。 今年9月,瑞書資訊入選Gartner中國API領域代表性供應商11月,瑞書資訊被IDC列為中國資料安全市場代表性廠商,並入選反勒索+反爬蟲兩大熱點領域的代表性技術提供商。
同時,瑞數資訊成為國內首批通過“雲原生API安全能力”和“WAAP能力”認證的安全廠商,深度參與中國資訊通訊研究院發起的《雲原生安全能力要求第1部分:API安全治理》標準的編制工作,為雲服務商和企業使用者構建雲原生API安全提供參考治理能力。今年8月,瑞書資訊還與中國資訊通訊研究院雲計算與大資料研究所共同撰寫並發布了《WAAP雲上發展洞察報告(2023)》,展現了瑞書資訊在API、WAAP等綜合領域的強大實力。
在人工智慧和大模型時代,網路安全攻防對抗不斷公升級。 為了富資料資訊的未來,
吳建剛說瑞數資訊將從前瞻技術的角度出發,持續進行安全技術創新,夯實應用和資料安全基礎,為智慧型時代企業使用者構建新一代主動防禦安全體系。