如何防止网络安全“木桶效应”

近年来，传统边界安全的失效已然是业界的共识。据SonicWall在2023年发布的网络威胁报告，在整个2022年度，恶意软件、网络入侵、加密劫持和物联网恶意软件出现明显增长。可以说，在缺少体系化防御措施的情况下，在各个行业网络攻击的态势更趋于严重。

频发的网络安全事件，一方面是由于在数字化转型过程中，随着云化、移动化网络架构的普及，传统的安全边界被打破，且应用多样化、架构微服务化的趋势使得攻击面也剧增。

另一方面，企业所面临的安全威胁也更加多样，技术的进步在惠及企业的同时，也为不法分子提供了武装。近年来，新的攻击手段层出不穷，且攻击的锚点也在持续增加，从网络层、应用层、业务层到API攻击无一幸免。

“网络安全具有明显的‘木桶效应’，攻破一个薄弱环节就全线瓦解。”网络安全需要从全局出发，通过体系化的核心逻辑，实现安全的所有模块同样的高水位。

何为“体系化安全”？具体来看，“体系化安全”主要包含面向Web安全的WAAP全站防护体系，

WAAP全站防护体系：守护Web安全

WAAP（Web Application and API protection），即Web 应用防护和 API 防护。2021年，Gartner分析师Jeremy D’Hoinne和Adam Hils创造了WAAP一词，这可以看作是对WAF（Web Application Firewall，Web应用程序防火墙）的一次进化与革新，旨在提高业内厂商和用户企业对API安全防护的重视程度——API作为企业数字化转型的重要基础设施已逐渐成为攻击者的主要攻击目标。

根据Gartner的预测，到2026年，超过40%的拥有C端应用程序的企业，将依靠WAAP来缓解僵尸攻击，尽管2022年该比例不到10%。当前，云Web应用程序和API保护市场迅速增长。基于WAAP理念，WAAP全站防护采用云化服务的方式，集成DDoS云清洗、Bot管理、API安全和Web攻击防护四大能力，替代Web安全各个安全能力的简单叠加，可为企业提供覆盖Web基础设施、应用和业务的一体化防护方案。

1.DDoS云清洗是网宿安全依托于自身的资源优势，结合大数据分析，自主研发的防护算法，能够实时检测并清洗各类DDoS攻击，平台防护能力超15T/10亿QPS。

2.分布式Bot管理网络结合风控决策大脑，采用人机对抗、设备指纹、AI模型、威胁情报等关键技术，实现对业务风险的分层治理。

3.在API安全方面，WAAP通过对API资产及风险进行盘点，对API流量进行实时的精细化检测与防护，以此保障API数据安全及业务的高可用。

4.对于WEB攻击的防护，WAAP能防御各类Web攻击，避免网站恶意入侵，同时由于搭载了全站隔离技术，能够有效隐藏网站源码、JS、API、开发框架等暴露面，保障业务数据安全。

除此之外，WAAP可提供L3-L7层威胁纵深防御，防护引擎的架构，以资源、数据、实战经验和AI驱动的智能防护技术为能力底座，在复杂攻击场景下，通过通用模块和场景化防护模块的联动防护，能有效提升对抗效率和防护能力。较叠加安全方案，WAAP可处理延时减少30%、响应速度提高5倍、防护效果提高30%以上并大大简化运营复杂度， 显著提高运营效率。

事前，通过一键接入并识别web资产提前发现资产暴露面；事中，通过DDoS/CC防护、Web攻击防护、分布式Bot管理、API安全管理及全站隔离等技术，在全站防护管理的统一管理下实现Web防护的闭环；事后，安全运营专家通过对数据的聚合分析，可提供业务防范策略优化、安全加固建议等解决方案。这样，WAAP就实现了对Web资产的全生命周期防护。

了解到WAAP全周期风险管理之后，我们再来了解下体系化防护架构：引擎融合+风险闭环。特别是引擎融合这一模块，引擎融合主要针对的还是防护引擎：

一、DDOS无上限缓解

1.实时检测并清洗

2.DDOS分布式缓解

3.CC秒级响应

二、业务风险分层治理

1.终端风险检测

2.分布式Bot管理

3.风控决策大脑

4.智能风险检测

三、API生命周期防护

1.API资产识别

2.敏感数据识别

3.API风险分析

4.API安全防护

四、自适应WAF

1.金融级精准防护

2.海量封禁

3.0day防护

五、全站隔离

1.攻击面隐藏

2.动态数据加密

3.隔离WEB攻击

4.屏蔽漏洞

并且WAAP全站防护在各个领域都有独特的防护效果，比如：

一、金融机构

在云端为金融行业提供第一道安全防线，与本地防御形成联合防控体系，解决重大活动期间本地防御性能瓶颈问题，保障业务高可用、安全高水位。

1.超大规模算力及防护资源，弹性应对业务突增，并承接对性能消耗极大的防护策略（如海量IP封禁），缓解本地压力；

2.全网威胁情报、云端攻击数据共享，为本地安全体系提升主动防御能力和运营团队研判效率；

3.云端检测能力与本地互补，形成异构深度检测，避免漏报；

4.通过高危情报、防自动化扫描及全站隔离防护能力，实现对0day攻击的无规则防护。

二、政务及央企国企

通过补充最外层云端防线，形成云地联合防控，帮助政府单位、央企国企及其下属二、三级单位的门户网站、信息公示系统统一安全水位、提升合规水平，并提供重要时期安保、政务数据保护、打击山寨钓鱼网站等能力。

1.阻断漏洞扫描行为，WAF防护率行业领先的，帮助政企单位提升合规水平；

2.超强抗D、专项情报、专项策略模板、政企白名单等能力，强化两会、国庆等重要时期安全保障；

3.网站防复制、数据防抓取技术，防止黑灰产利用爬虫工具复制政府网站用于钓鱼、诈骗等恶意目的；

4.所有业务云端统一纳管，为集团及下属二级、三级单位提供集中安全防护。

三、媒体资讯

针对媒体资讯类网站对内容安全及合规建设的高要求，在云端补充最外层防线，统一收敛攻击面，提升防护水位，建立风险闭环。

1.行业领先的WAF防护率，防止新闻媒体网站被攻击、篡改，造成不良社会影响；

2.媒体网站通常内容丰富、目录层级较深，全站防护提供定期的网站风险检测，避免出现暗链、黑链等风险；

3.网站防复制、内容防抓取技术，防止黑灰产利用爬虫工具复制新闻网站，进行钓鱼、诈骗、造谣等恶意行为。

四、电商零售

为电商及零售企业提供全面的业务安全风险防控。

1.对于黑灰产利用自动化工具“薅羊毛”、刷水刷量、占座抢票等业务欺诈行为，提供多层级、场景化AI反欺诈风控能力进行强力反制；

2.防止竞争对手、第三方比价软件利用爬虫工具长期抓取、监控电商平台商品价格信息，导致平台定价策略、优惠策略泄露；

3.防止黑灰产利用爬虫工具抓取用户的登录信息、交易信息等，造成用户信息泄露；

4.大促、新品发布期间，防护黑产DDoS勒索，并支持一体化安全加速，保障网站业务可用和用户体验。

“数智化”这把双刃剑如何使用，是产业上下亟需解决的课题。它既带来了前所未有的便利，也带来了前所未有的挑战。我们必须正视这些挑战，积极应对，确保我们的网络空间安全、稳定、健康。只有这样，我们才能充分利用网络技术的优势，推动社会的进步和发展。