WAAP防护的必要性

一、24年网络安全趋势

趋势一：恶意生成式AI将进一步加剧攻防不对等

在网络世界的浩瀚海洋中，我们永远不应低估黑客的“恶意”，同时，也应避免过高估计自己的“优越”。随着技术的飞速发展，新型网络攻击方式层出不穷，其隐蔽性和多样性日益增强。一旦攻击成功，给企业带来的危害将难以估量。

进入2023年上半年，市场上涌现出WormGPT、FraudGPT等工具，这些工具被黑客用于网络诈骗和网络勒索等恶意活动，使得攻击手段变得更加复杂和难以防范。Darktrace的研究指出，自从ChatGPT等生成式AI技术兴起以来，复杂的网络钓鱼攻击数量急剧上升，涨幅高达135%。最新市场调研报告更是揭示了一个惊人的事实：由于生成式AI和云的广泛应用，恶意机器人（Bad bots）的数量急剧增加，如今它们已占据互联网总流量的73%。

展望未来，2024年或将成为恶意生成式AI引发大规模网络攻击活动的关键一年。生成式AI技术的普及，不仅降低了网络攻击的门槛，还提高了钓鱼邮件和社会工程攻击的专业化水平，使得勒索软件更容易渗透到企业内部。更为严重的是，这些攻击内容借助生成式AI的特性，变得更加难以被检测和辨别。加之Bot自动化攻击手段的广泛应用，攻击者能够更快速、更准确地扫描漏洞并发起攻击，从而大幅提高网络攻击的波及面和有效性。

趋势二：WAAP迭代升级走向应用统一防护

现代Web应用发展至今，其防护重点早已不仅是传统的Web单一形态，除App外，API已成为连接现代应用程序的基石，越来越多的企业意识到API的重要性，其数量迎来爆发式增长，但API面临的安全威胁如数据泄漏和未授权访问等，却比API接口类型增长更加迅猛。

据Gartner预测，到2024年，70%实施多云战略的企业将青睐云Web应用程序和API保护平台（WAAP）服务；到2026年，超过40%的拥有C端应用程序的企业，将依靠WAAP来缓解DDoS攻击。

Gartner提出的WAAP解决方案，主要覆盖Web应用程序和API两种业务接入渠道，可以缓解大部分运行时攻击，尤其是开放网络应用安全项目（OWASP）的网络应用程序威胁、自动化威胁和对API的专门攻击。

德迅云安全专家认为，伴随下一代应用安全WAAP能力的不断演变，未来的应用安全趋势将是WAAP应用安全融合平台，WAAP解决方案将纳入更多的业务接入渠道，走向应用统一防护。比如，WAAP解决方案将扩展到对APP和小程序应用的安全防护，以解决传统安全防护技术无法防护原生APP和原生小程序的短板。

同时，AI技术将在以WAAP体系为核心的应用安全防护中扮演更为重要的角色。WAAP解决方案集Web应用安全防护、DDoS防御、Bot管理和API安全防护于一体，无论是Bot识别、用户行为分析，还是未知漏洞攻击检测，AI技术都将作为重要技术之一参与其中。机器学习能够通过极强的自学习能力，不断从数据中学习、自我优化和改进。通过机器学习来识别各种威胁确定异常攻击，并阻拦确定的攻击请求，将进一步降低企业安全防护成本，提高安全防护效率。

趋势三：AI驱动的API安全管控与保护

API安全对现代应用至关重要，但研究显示有40%的企业未能有效监控所有API，造成潜在安全风险。这些未受到有效监控的API形成了网络安全的风险敞口，其让企业可能面临未经授权的数据访问，更有甚者将遭遇严重的业务中断。

德迅云安全专家认为基于AI的API安全管控与保护系统能精准识别异常行为和恶意攻击趋势，提高防御效率。AI技术在API安全中的应用包括：

• 异常检测与行为分析：AI系统通过机器学习不断分析API调用模式，能够及时识别出不寻常的行为，如频繁的登录尝试或不正常的数据访问模式。
• 自动化威胁检测：利用AI技术，系统可以自动识别并预警常见的安全威胁，例如SQL注入、XSS攻击等，减少人工审核的压力。
• 自适应安全策略：AI可以根据API使用模式和历史行为动态调整安全措施，确保策略既严格又灵活。
• 自动化API安全测试：自动化测试能有效检测API中的潜在安全漏洞和配置错误，及时进行修复。
• 用户行为分析与风险评估：通过分析用户行为，AI能够识别潜在的账户劫持或内部威胁，并对风险进行实时评估。
• 响应与修复：一旦发现安全事件，AI系统可以迅速执行修复措施，缩短攻击的响应时间。

二、WAAP的概念

随着互联网的快速发展，Web应用程序和API（应用程序接口）已经成为企业业务的重要组成部分，但同时也面临着越来越多的网络攻击和安全威胁。

WAAP（Web Application and API Protection）的概念来源于对Web应用程序和API安全保护的需求。

为了保护这些重要的业务资产，企业和安全专家开始寻求一种综合性的多层防护解决方案，这就是WAAP的起源。WAAP通过实施强大的身份验证、访问控制、数据加密和漏洞扫描等安全措施，可以保护Web应用程序和API免受各种网络攻击，如跨站脚本（XSS）、跨站请求伪造（CSRF）和SQL注入等。

三、WAAP与传统WAF的区别

WAAP（Web Application and API Protection）和WAF（Web Application Firewall，也称为Web应用防火墙或网站应用防火墙）在概念和功能上存在一些区别。

WAF是一种专门设计用来保护Web应用免受网络攻击的安全系统。它主要工作在应用层，通过对HTTP/HTTPS流量进行深度分析和过滤，来检测和阻止常见的Web攻击，如SQL注入、跨站脚本（XSS）和跨站请求伪造（CSRF）等。WAF的主要目的是保护Web应用程序的完整性和可用性，防止恶意用户或攻击者利用应用程序的漏洞进行攻击。

而WAAP则是WAF的升级版，它在WAF的基础上增加了对API的保护功能。随着API的广泛使用，API也成为了攻击者的重要目标。WAAP不仅可以保护Web应用程序免受网络攻击，还可以保护API免受未经授权的访问、恶意调用和数据泄露等威胁。WAAP通常包括Web应用程序防火墙、API保护、分布式拒绝服务攻击（DDoS）防御及Bot访问管理等功能，这些组件协同工作，以提供多层防护，确保Web应用程序和API的安全。

此外，WAAP还提供了一些额外的安全功能，如强大的身份验证、访问控制、数据加密和漏洞扫描等，以进一步增强Web应用程序和API的安全性。这些功能可以帮助企业实现更高级别的安全防护，确保业务连续性和数据安全。

总的来说，WAF主要关注于保护Web应用程序免受网络攻击，而WAAP则在WAF的基础上增加了对API的保护功能，并提供更全面的安全防护方案。随着网络技术的迅速发展和攻击手段的不断变化，WAAP作为一种综合性的安全防护方案，为Web应用程序和API提供了更全面和高效的安全保护。

四、什么是API保护

API保护功能是指确保应用程序编程接口（API）的安全性和完整性的措施和策略。由于API是应用程序与后端系统之间的主要通信渠道，它们负责处理敏感数据和交易，因此保护API免受恶意攻击和数据泄露至关重要。

API保护功能包括以下几个方面：

1. 身份验证：确保API的使用者身份可信，并且具有足够的权限来访问和操作API。这通常通过OAuth等标准化的授权机制来实现，允许用户授予第三方应用程序访问他们的资源。
2. 授权：确定用户是否具有访问特定API资源的权限。这可以通过API密钥来实现，API密钥是一种用于验证API请求的凭证，通常是一个唯一的字符串。只有经过授权的请求才能访问相应的数据，从而避免了未经授权的访问和潜在的数据泄露风险。
3. 数据加密：使用加密算法（如AES、RSA等）来保护API传输的数据不被窃取或篡改。这确保了数据的机密性和完整性，防止了数据在传输过程中被恶意攻击者截获或篡改。
4. 防御攻击：识别和防止网络攻击，如DDoS攻击、SQL注入等。这可以通过防火墙、入侵检测系统（IDS/IDP）等网络安全设备来实现，它们可以识别和阻止潜在的攻击，保护API免受恶意攻击的影响。
5. 监控和日志记录：通过记录和分析API的使用情况，可以监控潜在的安全问题并及时发现并处理异常行为。这有助于企业及时发现潜在的安全风险并采取相应的措施进行防护。

五、WAAP应用场景

1. 政务网站防护：WAAP全站防护可以确保政府门户网站免受攻击和篡改，保护政府公信力，同时保障企业业务的稳定运行。在医疗、教育、社保、税务等多行业，WAAP也都有广泛的应用。
2. 电商网站防护：WAAP提供超高并发防护能力，为电商各类营销活动保驾护航。它能智能过滤恶意攻击及垃圾爬虫访问，确保电商平台的稳定运行和用户数据的安全。
3. 金融网站防护：对于银行、保险、三方支付等金融客户，WAAP提供应用业务防护，协助泛金融企业定制化防护策略，避免数据外泄等风险。在保护金融交易数据的安全性和完整性方面，WAAP发挥了重要作用。
4. API保护：随着云计算、大数据、人工智能的蓬勃发展，越来越多的应用开发深度依赖于API之间的相互调用。WAAP通过实施强大的身份验证、访问控制、数据加密和漏洞扫描等安全措施，保护API免受未经授权的访问、恶意调用和数据泄露等威胁。
5. DDoS攻击防御：WAAP具备分布式拒绝服务（DDoS）防御功能，能够抵御攻击者通过变化多种攻击特征和大规模分布式加大攻击量，绕过防御规则，压垮防护设备性能的攻击行为。

六、WAAP安全防护方案

德迅云安全基于风险管理和WAAP理念打造的安全方案，以“体系化主动安全” 取代安全产品的简单叠加，为各类Web、API业务等防御来自网络层和应用层的攻击，帮助企业全面提升Web安全水位和安全运营效率。

1.风险管理

在事前阶段，结合安全专家服务，帮助企业发现并收敛Web业务安全风险

• 漏洞扫描

通过漏洞扫描器对Web应用资产进行安全扫描，发现Web应用中存在的安全漏洞(OWASP TOP10、弱口令、CVE漏洞等)；

• 渗透测试

派出安全专家，以黑客视角对目标系统进行非破坏性漏洞挖掘，清查目标系统潜在的安全隐患；

• 智能化防护策略

平台基于客户业务的智能化分析，可自动适配防护策略，实现开箱即用；

• API资产盘点

基于流量分析，帮助企业从流量数据中发现尚未掌握的API业务，形成API资产清单，为后续的防护工作做好资产盘点；

• 互联网暴露面资产发现

通过平台和人工服务的方式，对域名、IP及关键字的综合查询及关联分析，提供互联网资产的发现、识 别、监测、稽核等服务，帮助用户发现和梳理互联网资产；

2.全站防护

在事中阶段，从网络安全、应用安全、业务安全、API安全各层面，为Web应用提供全面安全防护闭环

• DDoS防护

秒级检测专利技术，在边缘实时清洗网络层DDoS攻击；

• CC防护

基于AI的流量行为分析技术，实现对应用层CC攻击的秒级检测及防御；

• 业务安全

针对业务层面，提供轻量化的信息防爬和场景化风控能力；

• API安全

针对API应用进行精细化的管理和防护，规避API滥用行为、防止数据泄露；

• Web攻击防护

覆盖OWASP Top10的各类Web攻击防护，基于CDN的分布式算力提供弹性防护和海量IP封禁，同时支持与源站本地防护联合决策提高防御精度；

• 全站隔离

基于远程浏览器隔离技术使网站源代码不可见，从而主动隐藏网站攻击面，同时结合混淆访问路径、加密交互内容等技术，实现对0day漏洞攻击的有效屏蔽；

• 协同防护

通过全站防护管理平台，对网络L3-L7层各防护模块的安全策略进行统一管理，并通过数据聚合、情报协同，形成真正的纵深防护，简化运营工作的同时进一步提升整体安全的防护水位。

3.安全运营

在事后阶段，以降低风险为目标，全站防护管理平台提供体系化的安全运营能力，帮助企业夯实全周期风险管理闭环

• 全面的安全态势

聚合各防护模块数据，以简洁、贴近业务的形式呈现，用户可总览web安全态势，主动感知和响应已知安全事件；

• 持续优化的托管策略

结合平台实战对抗经验和持续的攻防研究成果，管理平台持续提供推送更高质量的防护规则和策略建议，对业务防护策略进行优化，与黑产持续对抗；

• 安全专家运营

德迅云安全资深安全专家提供策略优化、应急响应、重保等专项安全服务，同时对客户风险的持续监测与防护管理。