域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

近年來(lái)，隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，誕生了APP、H5、小程序等多種應(yīng)用形式，更多的企業(yè)核心業(yè)務(wù)、交易平臺(tái)都越來(lái)越依賴這些新型應(yīng)用程序。與此同時(shí)，越來(lái)越多的第三方API接口被調(diào)用，API業(yè)務(wù)帶來(lái)的Web敞口風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管控鏈條的不斷擴(kuò)大，已非傳統(tǒng)WAF的防護(hù)范疇。雖然WAF產(chǎn)品通過(guò)多年的發(fā)展已經(jīng)相對(duì)成熟，但其對(duì)復(fù)雜威脅的檢測(cè)和響應(yīng)能力仍有待進(jìn)一步提升，新一代WAF的產(chǎn)品理念開(kāi)始被提出。

為了更好探尋新一代WAF的應(yīng)用價(jià)值與發(fā)展方向，安全牛聯(lián)合瑞數(shù)信息等7家國(guó)內(nèi)WAF產(chǎn)品研發(fā)與應(yīng)用領(lǐng)域代表廠商，啟動(dòng)《新一代WAF技術(shù)應(yīng)用指南》報(bào)告研究工作 ，從企業(yè)當(dāng)前的Web應(yīng)用防護(hù)需求入手，并圍繞用戶的系統(tǒng)應(yīng)用特征，給出新一代WAF產(chǎn)品的部署和選型建議。12月19日，報(bào)告正式發(fā)布。瑞數(shù)信息技術(shù)總監(jiān)吳劍剛受邀參與當(dāng)天舉行的線上發(fā)布會(huì)，并結(jié)合“多元防護(hù) 動(dòng)態(tài)融合”主題，分享了瑞數(shù)信息在構(gòu)建WAAP解決方案過(guò)程中的實(shí)踐與探索。

多元防護(hù) 動(dòng)態(tài)融合——瑞數(shù)WAAP解決方案

吳劍剛

瑞數(shù)信息技術(shù)總監(jiān)

相關(guān)閱讀：新一代WAF代表廠商|《新一代WAF技術(shù)應(yīng)用指南》報(bào)告發(fā)布

https://mp.weixin.qq.com/s/pxXigaiZg70dCvgC0q9ZRQ

Web安全面臨新挑戰(zhàn)，傳統(tǒng)應(yīng)用安全技術(shù)失效

據(jù)吳劍剛介紹，今年以來(lái)，越來(lái)越多的企業(yè)遭遇到零日漏洞 的高頻攻擊，攻擊者通過(guò)利用軟件中的漏洞對(duì)企業(yè)服務(wù)器進(jìn)行未經(jīng)授權(quán)的訪問(wèn)、加密和操控，并以此作為勒索籌碼，為企業(yè)造成巨大損失和業(yè)務(wù)中斷。

根據(jù)身份盜竊資源中心(ITRC)的統(tǒng)計(jì)數(shù)據(jù)顯示，零日漏洞攻擊尤其呈上升趨勢(shì)，與去年相比，2023年前三個(gè)季度的攻擊數(shù)量增長(zhǎng)了1620%。一系列因零日漏洞所引起的安全事件引發(fā)了企業(yè)的廣泛關(guān)注和恐慌，也暴露出網(wǎng)絡(luò)安全的脆弱性和企業(yè)在面對(duì)新興威脅時(shí)的不足之處。

與此同時(shí)，隨著企業(yè)業(yè)務(wù)朝向多態(tài)方向發(fā)展，除了傳統(tǒng)網(wǎng)站業(yè)務(wù)之外，APP、小程序、H5、API等各類端口進(jìn)一步豐富，也持續(xù)增大了風(fēng)險(xiǎn)的暴露面。特別是APP和小程序 的普及應(yīng)用，由于開(kāi)發(fā)相對(duì)簡(jiǎn)單快速，其安全防護(hù)并不像傳統(tǒng)安全防護(hù)那么細(xì)致，因此成為主要的攻擊目標(biāo)之一。

吳劍剛介紹，攻擊者往往為了降低攻擊成本，會(huì)嘗試?yán)@過(guò)APP和小程序?qū)蛻舳说南拗?，直接?duì)API接口發(fā)起攻擊，由于脫離了設(shè)備限制，攻擊門檻大幅降低，這對(duì)初級(jí)黑灰產(chǎn)組織而言，也可以非常輕易地實(shí)施規(guī)?；?。

對(duì)于傳統(tǒng)Web安全而言，防御手段追求靜態(tài)的“絕對(duì)安全”，在全生命周期內(nèi)很難經(jīng)受的住惡意攻擊的考驗(yàn)。隨著應(yīng)用安全架構(gòu)的持續(xù)升級(jí)，一系列新的安全挑戰(zhàn)隨之而來(lái)。

其中，業(yè)務(wù)和數(shù)據(jù) 正在成為網(wǎng)絡(luò)攻擊的主要目標(biāo)。比如企業(yè)在為客戶提供服務(wù)時(shí)，通常會(huì)提供注冊(cè)和登錄接口，這些接口會(huì)面臨批量注冊(cè)、撞庫(kù)和暴力破解的風(fēng)險(xiǎn);當(dāng)網(wǎng)站提供服務(wù)時(shí)，將面臨被惡意爬取網(wǎng)站信息、敏感數(shù)據(jù)等風(fēng)險(xiǎn);在進(jìn)行在線交易時(shí)，會(huì)面臨虛假交易和交易被篡改的風(fēng)險(xiǎn);在開(kāi)展線上營(yíng)銷活動(dòng)時(shí)，也會(huì)面臨營(yíng)銷資源惡意搶占、薅羊毛等危害程度不一的風(fēng)險(xiǎn)。

隨著新技術(shù)的不斷發(fā)展，攻擊手段也會(huì)隨之動(dòng)態(tài)升級(jí)，以上這些風(fēng)險(xiǎn)往往都批著“合法”的外衣，利用工具模擬合法的業(yè)務(wù)操作，具有更強(qiáng)的隱蔽性。同時(shí)，通過(guò)大量使用自動(dòng)化工具，使網(wǎng)絡(luò)攻擊更加高效、更具規(guī)?；?，再加上多源低頻的特征，讓防火墻等傳統(tǒng)安全很難識(shí)別和防護(hù)。

據(jù)吳劍剛介紹，全球范圍內(nèi)超過(guò)90%的安全攻擊是由自動(dòng)化攻擊 發(fā)起的，攻擊流量中超過(guò)90%的流量是由自動(dòng)化工具發(fā)起的，網(wǎng)絡(luò)流量中超過(guò)50%的是自動(dòng)化工具發(fā)起的流量。隨著網(wǎng)絡(luò)攻擊的技術(shù)水平不斷提高，攻擊特征也愈發(fā)隱蔽，其已經(jīng)由最初對(duì)已知漏洞進(jìn)行攻擊，通過(guò)高級(jí)自動(dòng)化攻擊、自動(dòng)化+黑產(chǎn)資源庫(kù)等多種技術(shù)手段加持，進(jìn)化為可以隱藏機(jī)器特征和惡意特征。另外，通過(guò)智能化的AI技術(shù)，可以繞過(guò)基于規(guī)則庫(kù)、特征庫(kù)、流量學(xué)習(xí)、信譽(yù)庫(kù)、威脅情報(bào)等傳統(tǒng)防護(hù)手段，讓被動(dòng)防御面臨“失效”境地。

變被動(dòng)響應(yīng)為主動(dòng)防御，構(gòu)建多元防護(hù)、動(dòng)態(tài)融合的WAAP安全防御系統(tǒng)

針對(duì)日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，吳劍剛認(rèn)為，更需要變被動(dòng)響應(yīng)為主動(dòng)防御，實(shí)施積極防御，這就需要以更加全面的視角看待網(wǎng)絡(luò)安全問(wèn)題，并依靠各技術(shù)之間的相互配合，對(duì)應(yīng)用和系統(tǒng)安全做到心中有數(shù)、防護(hù)有方。

Gartner預(yù)測(cè)，2026年，40%的企業(yè)會(huì)基于更高級(jí)的API防護(hù)能力選擇WAAP解決方案，而更加自動(dòng)化的風(fēng)險(xiǎn)發(fā)現(xiàn)能力和異常檢測(cè)能力將備受行業(yè)關(guān)注。

伴隨下一代應(yīng)用安全WAAP能力的不斷演進(jìn)，未來(lái)的應(yīng)用安全趨勢(shì)將是WAAP應(yīng)用安全融合平臺(tái)。對(duì)此，吳劍剛表示，瑞數(shù)信息WAAP解決方案構(gòu)建起全業(yè)務(wù)渠道統(tǒng)一防護(hù)的能力，不僅實(shí)現(xiàn)Web應(yīng)用程序和API的統(tǒng)一管理，還能進(jìn)行多維度統(tǒng)一防護(hù)，從Web應(yīng)用安全防護(hù)、DDoS攻擊防御、Bot管理到API安全防護(hù)等多維度構(gòu)建應(yīng)用安全防御體系，為企業(yè)業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全保駕護(hù)航。

綜合來(lái)看，瑞數(shù)信息WAAP解決方案將全渠道業(yè)務(wù)進(jìn)行歸集融合統(tǒng)一防護(hù)，通過(guò)設(shè)備指紋、全訪問(wèn)記錄、客戶端采集、行為分析對(duì)攻擊進(jìn)行精準(zhǔn)溯源，并利用漏洞隱藏、攻擊阻斷等方式，為Web、H5、APP、小程序、API提供全面防護(hù)，實(shí)現(xiàn)資產(chǎn)暴露面收斂。同時(shí)對(duì)WAF、Bot、DDoS、API等多元攻擊進(jìn)行充分防護(hù)，最終實(shí)現(xiàn)不同業(yè)務(wù)渠道之間、與其他安全產(chǎn)品的聯(lián)防聯(lián)控。

針對(duì)愈演愈烈的自動(dòng)化攻擊，瑞數(shù)信息通過(guò)一系列動(dòng)態(tài)安全技術(shù)，包括動(dòng)態(tài)驗(yàn)證、動(dòng)態(tài)封裝、動(dòng)態(tài)令牌和動(dòng)態(tài)混淆等，不斷改變目標(biāo)系統(tǒng)反應(yīng)的內(nèi)容和行為，防止攻擊者找到突破口，并預(yù)測(cè)目標(biāo)系統(tǒng)的行為，從而增加攻擊難度，讓攻擊者無(wú)從下手。

此外，瑞數(shù)信息還將動(dòng)態(tài)安全技術(shù)和AI技術(shù)融合起來(lái)，涵蓋了機(jī)器學(xué)習(xí)、智能人機(jī)識(shí)別、智能威脅檢測(cè)、全息設(shè)備指紋、智能響應(yīng)等AI技術(shù)，對(duì)客戶端到服務(wù)器端所有的請(qǐng)求日志進(jìn)行全訪問(wèn)記錄，持續(xù)監(jiān)控并分析流量行為，實(shí)現(xiàn)精準(zhǔn)攻擊定位和追蹤溯源，并對(duì)潛在和更加隱蔽的攻擊行為進(jìn)行更深層次的分析和挖掘，更加精準(zhǔn)、持續(xù)地對(duì)抗惡意爬蟲帶來(lái)的自動(dòng)化攻擊。

目前，瑞數(shù)WAAP解決方案支持本地、云及SaaS等多形態(tài)部署，也支持Web、APP、API、微信、小程序等多種業(yè)務(wù)接入渠道，已擁有超過(guò)1000家頭部標(biāo)桿和關(guān)鍵基礎(chǔ)設(shè)施企業(yè)客戶，用戶群廣泛覆蓋政府、電信、金融、醫(yī)療、教育、電力能源、互聯(lián)網(wǎng)等眾多行業(yè)和領(lǐng)域。

近兩年，瑞數(shù)信息憑借近年來(lái)API領(lǐng)域和數(shù)據(jù)安全領(lǐng)域所取得的突出成績(jī)，其技術(shù)實(shí)力和市場(chǎng)表現(xiàn)受到國(guó)際權(quán)威機(jī)構(gòu)認(rèn)可。今年9月，瑞數(shù)信息入選Gartner中國(guó)API領(lǐng)域代表廠商;11月，瑞數(shù)信息被IDC列為中國(guó)數(shù)據(jù)安全市場(chǎng)代表廠商，并作為防勒索+防爬蟲兩大熱點(diǎn)領(lǐng)域的代表性技術(shù)提供商被收錄其中。

同時(shí)，瑞數(shù)信息成為國(guó)內(nèi)首批“云原生API安全能力”和“WAAP能力”認(rèn)證的安全廠商，深度參與中國(guó)信通院發(fā)起的《云原生安全能力要求 第1部分：API安全治理》標(biāo)準(zhǔn)編制，為云服務(wù)商及企業(yè)用戶構(gòu)建云原生API安全治理能力提供參考。今年8月，瑞數(shù)信息還與中國(guó)信通院云計(jì)算與大數(shù)據(jù)研究所聯(lián)合撰寫并發(fā)布《云上WAAP發(fā)展洞察報(bào)告(2023)》，足見(jiàn)瑞數(shù)信息在API、WAAP等綜合領(lǐng)域的強(qiáng)勁實(shí)力。

在AI和大模型時(shí)代，網(wǎng)絡(luò)安全攻防的對(duì)抗不斷升級(jí)。對(duì)于瑞數(shù)信息的未來(lái)，吳劍剛表示：“瑞數(shù)信息將以技術(shù)前瞻的視角，持續(xù)進(jìn)行安全科技創(chuàng)新，鞏固應(yīng)用和數(shù)據(jù)安全的基礎(chǔ)，為企業(yè)用戶構(gòu)建面向智能時(shí)代的新一代主動(dòng)防御安全體系。”

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！