WAAP动态安全解决方案

随着企业数字化进程不断加速，应用安全面临多重威胁，新型攻击方式层出不穷，常见的攻击形式包括Web应用攻击、DDoS攻击、API攻击、恶意爬虫攻击等。企业正面临严峻的安全防护挑战，需寻找一个可靠、全面的安全解决方案。在此情况下，德迅云安全WAAP应运而生。

什么是WAAP
从字面意义上理解，WAAP，即Web Application and API Protection，指Web应用程序和API保护。
我们可以将WAAP理解为WAF（Web应用防火墙）的升级产品，在WAF功能基础上增加DDoS攻击防护、爬虫管理和API防护等功能模块。WAAP从本质上可以理解为保护企业应用安全的多层防护解决方案。

WAAP的诞生
随着企业数字化进程的加快，APP、H5、小程序等多种应用形式不断涌现，越来越多的应用开发深度依赖API之间的相互调用。然而，复杂的应用场景和API调用行为导致了日益复杂的网络攻击手段，造成更多难以管控的风险敞口，这些都让传统WAF愈发难以适应，也愈发无力应对。

WAAP的构成
WAAP服务结合了API保护、WAF、分布式拒绝服务(DDoS)防御和机器人程序缓解(Bot Mitigation)。在过去，需要用不同的产品和服务保护以上领域，但通过统一的WAAP解决方案，可由一个产品或服务提供统一的整体防护，并由一个厂商为解决方案提供支持。

1、Web应用程序防火墙防护：实时检测恶意请求并及时处理，作为网站应用级入侵防御系统，保障用户核心应用与业务持续稳定的运行。

2、API防护：随着云计算、大数据、人工智能的蓬勃发展，越来越多的应用开发深度依赖于API之间的相互调用，API安全受到广泛重视。与此同时，API承载着应用程序的逻辑和敏感数据，极易受攻击。基于规则的API应用漏洞攻击防护，已经无法满足现有的API安全防护需求。因此，WAAP解决方案应具备更全面的API保护能力，对API安全功能进行统一且全面的管理，降低数据共享带来的安全风险。

3、分布式拒绝服务(DDoS)防御：攻击者尝试通过变化多种攻击特征和大规模分布式加大攻击量，绕过防御规则，压垮防护设备性能。因此，WAAP解决方案应具备DDoS防护能力，对漏洞的威胁面有更好的预判，从而抵御大流量攻击，保障业务稳定运行。

4、机器人程序缓解(Bot Mitigation)：Bots自动化攻击在逐年增加。相对于传统安全攻防，企业普遍缺乏对于Bots攻击的认知，这进一步加剧了Bots攻击带来的危害。因此，WAAP解决方案应具备对Bots自动化攻击的识别和防护能力，防止诸如刷票、活动作弊、恶意注册等爬虫攻击行为的发生，从而保障业务稳定运行，避免经济利益受损。

德迅云安全WAAP是如何保护 各类Web、API业务安全，下面带您来了解下：

一、风险管理，在事前阶段，结合安全专家服务，帮助企业发现并收敛Web业务安全风险

1、漏洞扫描：通过漏洞扫描器对Web应用资产进行安全扫描，发现Web应用中存在的安全漏洞(OWASP TOP10、弱口令、CVE漏洞等)；

2、渗透测试：派出安全专家，以黑客视角对目标系统进行非破坏性漏洞挖掘，清查目标系统潜在的安全隐患；

3、智能化防护策略：平台基于客户业务的智能化分析，可自动适配防护策略，实现开箱即用；

4、API资产盘点：基于流量分析，帮助企业从流量数据中发现尚未掌握的API业务，形成API资产清单，为后续的防护工作做好资产盘点；

5、互联网暴露面资产发现：通过平台和人工服务的方式，对域名、IP及关键字的综合查询及关联分析，提供互联网资产的发现、识 别、监测、稽核等服务，帮助用户发现和梳理互联网资产；

二、全站防护，在事中阶段，从网络安全、应用安全、业务安全、API安全各层面，为Web应用提供全面安全防护闭环

1、DDoS防护：秒级检测专利技术，在边缘实时清洗网络层DDoS攻击；

2、CC防护：基于AI的流量行为分析技术，实现对应用层CC攻击的秒级检测及防御；

3、业务安全：针对业务层面，提供轻量化的信息防爬和场景化风控能力；

4、API安全：针对API应用进行精细化的管理和防护，规避API滥用行为、防止数据泄露；

5、Web攻击防护：覆盖OWASP Top10的各类Web攻击防护，基于CDN的分布式算力提供弹性防护和海量IP封禁，同时支持与源站本地防护联合决策提高防御精度；

6、全站隔离：基于远程浏览器隔离技术使网站源代码不可见，从而主动隐藏网站攻击面，同时结合混淆访问路径、加密交互内容等技术，实现对0day漏洞攻击的有效屏蔽；

7、协同防护：通过全站防护管理平台，对网络L3-L7层各防护模块的安全策略进行统一管理，并通过数据聚合、情报协同，形成真正的纵深防护，简化运营工作的同时进一步提升整体安全的防护水位。

三、安全运营，在事后阶段，以降低风险为目标，全站防护管理平台提供体系化的安全运营能力，帮助企业夯实全周期风险管理闭环

1、全面的安全态势：聚合各防护模块数据，以简洁、贴近业务的形式呈现，用户可总览web安全态势，主动感知和响应已知安全事件；

2、持续优化的托管策略：结合平台实战对抗经验和持续的攻防研究成果，管理平台持续提供推送更高质量的防护规则和策略建议，对业务防护策略进行优化，与黑产持续对抗；

3、安全专家运营：德迅云安全资深安全专家提供策略优化、应急响应、重保等专项安全服务，同时对客户风险的持续监测与防护管理。

四、应用场景：金融、政务、媒体资讯、电商零售

1、金融，银行、保险、三方支付等金融客户

2、政务，医疗、教育、社保

3、媒体资讯

4、电商零售