一、WAAP成為未來安全防護發(fā)展方向

隨著企業(yè)深度用云以及云原生應用的快速普及，云上復雜性提升，導致網(wǎng)絡攻擊面倍增，伴生出新的安全風險。一方面，Web、H5、APP、小程序等多樣的接入渠道帶來應用安全風險加劇，數(shù)據(jù)安全問題凸顯，同時API接口攻擊、分布式拒絕服務（DDoS）攻擊、Bot攻擊等新型攻擊方式層出不窮，傳統(tǒng)安全解決方案已難以滿足日益復雜的安全需求；另一方面，我國各級監(jiān)管日趨嚴格，企業(yè)在應用業(yè)務上云的過程中，面臨著嚴峻的數(shù)據(jù)安全考驗，應用漏洞風險導致的安全隱患和嚴重后果已被上升至法律層面。

在此背景下，傳統(tǒng)Web應用防護系統(tǒng)（WAF）技術亟待革新。報告指出，WAAP作為下一代Web安全防護解決方案，正在成為未來安全防護發(fā)展方向。

WAAP，即Web Application and API Protection的縮寫，指Web應用程序與API保護。WAAP是一種綜合性的多層防護解決方案，由以下四部分構成：Web應用程序防火墻(WAF)、API保護、分布式拒絕服務攻擊(DDoS)防御、Bot訪問管理。

報告顯示，WAAP可通過多層防護規(guī)則提供可靠、安全的Web應用程序和API保護平臺，讓企業(yè)免受各種網(wǎng)絡攻擊，例如：SQL注入、跨站腳本攻擊、跨站請求偽造、撞庫、爬蟲、DDoS攻擊、API接口濫用等，為企業(yè)業(yè)務連續(xù)性和數(shù)據(jù)安全保駕護航。

與傳統(tǒng)WAF相比，WAAP存在的優(yōu)勢包括兩方面：一是實現(xiàn)Web應用程序和API的統(tǒng)一管理。二是進行多維度統(tǒng)一防護，從Web應用安全防護、DDoS攻擊防御、Bot管理到API安全防護等多緯度構建Web應用安全防御體系。

• WAAP應具備五大核心能力

隨著WAAP理念的提出，國內(nèi)外WAF廠商迅速跟進，我國WAF廠商和云服務商逐步構建Bot防護功能和API防護能力，加速落地切實可行的WAAP安全防護體系。但如何具備完善的WAAP防護能力，考驗著各大廠商的技術和產(chǎn)品能力。

報告指出，WAAP不是簡單的將各項能力并行考慮，企業(yè)進行安全體系設計時，應考慮如何將功能進行協(xié)作，以及如何對底層的系統(tǒng)資源和流量進行合理調度分配。因此，WAAP核心能力要求主要集中在Web應用程序防護、DDoS防御、Bot管理和API安全防護四部分，同時對平臺的底層聯(lián)動性提出要求。

• Web應用程序防護能力

Web應用程序防護是指針對Web安全攻擊而做的各種防御措施。主要功能應包括：Web攻擊防護（如：SQL注入、命令注入、XSS跨站、Webshell上傳、Web服務器漏洞攻擊等）、CC攻擊防護、漏洞虛擬補丁、網(wǎng)頁防篡改、訪問合規(guī)性檢測等。Web攻擊防護可以采用規(guī)則匹配、流量學習、語義分析、威脅情報等技術，實現(xiàn)更精準的防護。

• DDoS防御能力

分布式拒絕服務（DDoS）防御是指保護Web應用程序和API應用免受DDoS攻擊，支持對DDoS攻擊的異常監(jiān)測、攻擊防護和彈性管理。DDoS攻擊防護可以從請求速度限制、TCP檢測與代理檢測、HTTP客戶端驗證、威脅情報等幾方面進行防護。

• Bot管理能力

Bot管理是指支持對各種Bot識別、防護和行為管理，可以對惡意Bot進行甄別處理，對善意Bot進行放行。Bot攻擊防護可以從客戶端驗證、驗證碼挑戰(zhàn)、行為分析、威脅情報等幾方面進行防護。

• API安全防護能力

API安全防護是指在API資產(chǎn)識別的基礎上，對API運行狀態(tài)、異常訪問行為、敏感信息和安全攻擊進行監(jiān)測，從而實現(xiàn)對API資產(chǎn)的全方位管控。API安全防護可以從API流量分析、特征識別、行為分析、敏感信息檢測、威脅情報等幾方面進行識別與防護。

• 底層聯(lián)動性

底層聯(lián)動性是指WAAP的核心能力之間可以實現(xiàn)數(shù)據(jù)共享、攻擊聯(lián)防。在實現(xiàn)面向不同防護場景采用有針對性防護技術的基礎上，還可以進行技術復用，以達到提升檢測防護效率，降低維護成本的目的。底層聯(lián)動性體現(xiàn)在可以從可編程性、報文統(tǒng)一檢測、數(shù)據(jù)共享、聯(lián)防聯(lián)控四個方面進行調度。

三、WAAP安全防護體系建設思路

作為一種讓應用安全防護亟需更加主動、高效、融合、智能的一站式WAAP解決方案，WAAP架構是以AI智能分析技術為底座，通過多種技術手段和統(tǒng)一的策略管理平臺，提供多云混合云中一致的應用安全服務能力。對此，報告提出了WAAP安全防護體系建設思路：

• 全業(yè)務渠道接入

WAAP解決方案覆蓋幾乎所有的業(yè)務接入渠道，包括Web、APP、API、微信、小程序等，可實現(xiàn)全業(yè)務渠道防護；通過用戶賬號、設備指紋等唯一標識和全量訪問記錄，將各業(yè)務接入渠道的數(shù)據(jù)進行融合，實現(xiàn)用戶訪問數(shù)據(jù)追蹤和透視。

• 全功能融合

以“AI智能”技術為核心，結合規(guī)則匹配、流量學習、客戶端驗證、行為分析和威脅情報技術，打造多檢測引擎協(xié)同工作機制。

• 核心技術

一是以“客戶端驗證”技術為核心，實現(xiàn)Bot識別、客戶端環(huán)境驗證、客戶端操作行為驗證，幫助企業(yè)安全團隊實現(xiàn)變被動防護為主動防護，突破被動防護困局。

二是AI智能引擎，高效協(xié)同防御。通過流量學習、行為分析、機器學習等技術，結合第三方漏洞庫、威脅情報等信息，發(fā)現(xiàn)高度隱蔽的攻擊，有效提高檢測率，降低誤漏報，實現(xiàn)對業(yè)務威脅的透視。

• 核心建設內(nèi)容

WAAP安全防護體系建設時，應從頂層設計角度出發(fā)，考慮統(tǒng)一建設、協(xié)同工作，避免各能力獨立建設帶來的資源消耗和性能消耗。具體建設內(nèi)容包含以下五個方面：一是客戶端采集；二是業(yè)務接入；三是檢測引擎；四是智能策略；五是核心能力。

與此同時，報告還深入分析了WAAP的典型應用場景和案例，并展望了WAAP未來發(fā)展趨勢，力圖讓業(yè)界從業(yè)者更好地了解WAAP全貌，緊跟安全防護最新趨勢，推動WAAP安全新技術進一步落地實踐。

瑞數(shù)信息作為報告的聯(lián)合撰寫方，是中國動態(tài)安全技術的創(chuàng)新者和Bots自動化攻擊防御領域的專業(yè)廠商，提供覆蓋Web、APP、云和API資產(chǎn)的全渠道應用、業(yè)務、數(shù)據(jù)及云安全等在內(nèi)的安全產(chǎn)品及服務。此前，瑞數(shù)信息已被Gartner、IDC等國際知名咨詢機構連續(xù)幾年列入云安全領域、API安全領域的代表廠商，同時也是國內(nèi)首批榮獲中國信通院云原生API安全和WAAP能力認證的安全廠商，足見瑞數(shù)信息在云WAAP安全領域的強勁實力。

未來瑞數(shù)信息還將持續(xù)創(chuàng)新技術、產(chǎn)品和服務，提升用戶云WAAP安全能力，為企業(yè)有效抵御新興威脅、合規(guī)建設應用安全和數(shù)據(jù)安全打下堅實基礎。

欲知更多《云上WAAP發(fā)展洞察報告（2023）》內(nèi)容，點擊鏈接下載報告！

zhupb