8月25日，由中國信息通信研究院(以下簡稱“中國信通院”)和中國通信標(biāo)準(zhǔn)化協(xié)會(huì)聯(lián)合主辦的“2023云軟件安全大會(huì)”在北京舉行。

　　會(huì)上，瑞數(shù)信息與中國信通院云計(jì)算與大數(shù)據(jù)研究所聯(lián)合撰寫的《云上WAAP開發(fā)洞察報(bào)告(2023)》(以下簡稱《報(bào)告》)正式發(fā)布。本報(bào)告旨在通過分析WAAP解決方案的優(yōu)勢和核心能力要求，幫助安全從業(yè)者更好地了解WAAP的全貌；通過分析構(gòu)建全方位的WAAP安全防護(hù)體系結(jié)構(gòu)和典型的應(yīng)用場景，為企業(yè)應(yīng)用WAAP提供良好的著陸思路。

　　瑞數(shù)信息CTO馬蔚彥參加了云上WAAP開發(fā)洞察報(bào)告(2023)的發(fā)布儀式

　　瑞數(shù)信息技術(shù)總監(jiān)吳建劍剛對云上WAAP開發(fā)洞察報(bào)告(2023)進(jìn)行了解讀

　　一、WAAP已成為未來安全防護(hù)的發(fā)展方向

　　隨著云和云原生應(yīng)用的快速普及，云的復(fù)雜性增加，網(wǎng)絡(luò)攻擊面翻了一番，伴隨著新的安全風(fēng)險(xiǎn)。一方面，Web、H5、APP、小程序等多種接入渠道加劇了應(yīng)用安全風(fēng)險(xiǎn)，突出了數(shù)據(jù)安全問題。同時(shí)，API接口攻擊和分布式拒絕服務(wù)(DDoS)攻擊、Bot攻擊等新的攻擊方法層出不窮，傳統(tǒng)的安全解決方案難以滿足日益復(fù)雜的安全需求；另一方面，我國各級(jí)監(jiān)管越來越嚴(yán)格，企業(yè)在應(yīng)用業(yè)務(wù)云過程中，面對嚴(yán)峻的數(shù)據(jù)安全考驗(yàn)，應(yīng)用漏洞風(fēng)險(xiǎn)造成的安全隱患和嚴(yán)重后果已上升到法律層面。

　　在此背景下，傳統(tǒng)Web應(yīng)用防護(hù)系統(tǒng)(WAF)技術(shù)需要?jiǎng)?chuàng)新。報(bào)告指出，WAAP作為下一代Web安全防護(hù)解決方案，正在成為未來安全防護(hù)的發(fā)展方向。

　　WAAP，即Web Application and API Protection的縮寫是指Web應(yīng)用程序和API保護(hù)。WAAP是一種由Web應(yīng)用防火墻四部分組成的綜合多層防護(hù)解決方案(WAF)、API保護(hù)，分布式拒絕服務(wù)攻擊(DDoS)Bot訪問管理的防御和防御。

　　報(bào)告顯示，WAAP可以通過多層保護(hù)規(guī)則提供可靠、安全的Web應(yīng)用程序和API保護(hù)平臺(tái)，避免SQL注入、跨站腳本攻擊、跨站請求偽造、倉庫碰撞、爬蟲、DDOS攻擊、API接口濫用等各種網(wǎng)絡(luò)攻擊，護(hù)送業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全。

　　與傳統(tǒng)WAF相比，WAAP的優(yōu)勢包括兩個(gè)方面：一是實(shí)現(xiàn)Web應(yīng)用程序和API的統(tǒng)一管理。二是從Web應(yīng)用安全防護(hù)、DDOS攻擊防御、Bot管理到API安全防護(hù)等多維度構(gòu)建Web應(yīng)用安全防御系統(tǒng)。

　　二、WAAP應(yīng)具備五大核心能力

　　隨著WAAP概念的提出，國內(nèi)外WAF制造商迅速跟進(jìn)，中國WAF制造商和云服務(wù)提供商逐步建立了BOT保護(hù)功能和API保護(hù)能力，加快了實(shí)用的WAAP安全保護(hù)系統(tǒng)的實(shí)施。但如何擁有完善的WAAP保護(hù)能力，測試了主要制造商的技術(shù)和產(chǎn)品能力。

　　報(bào)告指出，WAAP并不是簡單地平行考慮所有能力。企業(yè)在設(shè)計(jì)安全系統(tǒng)時(shí)，應(yīng)考慮如何配合功能，如何合理調(diào)度和分配底層系統(tǒng)資源和流量。因此，WAAP的核心能力要求主要集中在四個(gè)部分：Web應(yīng)用程序保護(hù)、DDOS防御、BOT管理和API安全保護(hù)，并對平臺(tái)的底層聯(lián)動(dòng)提出要求。

　　● Web應(yīng)用程序的防護(hù)能力

　　Web應(yīng)用程序防護(hù)是指針對Web安全攻擊的各種防御措施。主要功能應(yīng)包括:Web攻擊防護(hù)(如:SQL注入、命令注入、XSS跨站、Webshell上傳、Web服務(wù)器漏洞攻擊等。)、CC攻擊防護(hù)、漏洞虛擬補(bǔ)丁、網(wǎng)頁防篡改、訪問合規(guī)性檢測等。通過規(guī)則匹配、流量學(xué)習(xí)、語義分析、威脅情報(bào)等技術(shù)，Web攻擊防護(hù)可以實(shí)現(xiàn)更精確的防護(hù)。

　　● DDOS防御能力

　　分布式拒絕服務(wù)(DDoS)防御是指保護(hù)Web應(yīng)用程序和API應(yīng)用程序免受DDOS攻擊，支持DDOS攻擊的異常監(jiān)控、攻擊防護(hù)和彈性管理。DDOS攻擊防護(hù)可以從請求速度限制、TCP檢測和代理檢測、HTTP客戶驗(yàn)證、威脅信息等方面進(jìn)行保護(hù)。

　　● Bot管理能力

　　Bot管理是指支持各種Bot識(shí)別、保護(hù)和行為管理，可以篩選惡意Bot，釋放善意Bot。Bot攻擊保護(hù)可以從客戶驗(yàn)證、驗(yàn)證碼挑戰(zhàn)、行為分析、威脅情報(bào)等方面進(jìn)行保護(hù)。

　　● API安全防護(hù)能力

　　API安全保護(hù)是指在API資產(chǎn)識(shí)別的基礎(chǔ)上，監(jiān)控API運(yùn)行狀態(tài)、異常訪問行為、敏感信息和安全攻擊，實(shí)現(xiàn)對API資產(chǎn)的全面控制。API安全保護(hù)可以從API流量分析、特征識(shí)別、行為分析、敏感信息檢測、威脅情報(bào)等方面進(jìn)行識(shí)別和保護(hù)。

　　● 底層聯(lián)動(dòng)性

　　底層聯(lián)動(dòng)是指WAAP的核心能力可以實(shí)現(xiàn)數(shù)據(jù)共享和攻擊聯(lián)合防御。在采用針對性防護(hù)技術(shù)實(shí)現(xiàn)不同防護(hù)場景的基礎(chǔ)上，也可以重用技術(shù)，以提高檢測和保護(hù)效率，降低維護(hù)成本。底層聯(lián)動(dòng)可以從可編程、報(bào)紙統(tǒng)一檢測、數(shù)據(jù)共享、聯(lián)合防御和聯(lián)合控制四個(gè)方面進(jìn)行調(diào)度。

　　三、WAAP安全防護(hù)體系建設(shè)思路

　　WAAP架構(gòu)作為一種一站式WAAP解決方案，迫切需要更積極、高效、集成、智能的應(yīng)用安全保護(hù)，以人工智能智能分析技術(shù)為基礎(chǔ)，通過多種技術(shù)手段和統(tǒng)一的戰(zhàn)略管理平臺(tái)，提供多云混合云中一致的應(yīng)用安全服務(wù)能力。為此，本報(bào)告提出了WAAP安全保護(hù)系統(tǒng)的建設(shè)思路：

　　● 全業(yè)務(wù)渠道接入

　　WAAP解決方案涵蓋了幾乎所有的業(yè)務(wù)訪問渠道，包括Web、APP、API、微信、小程序等，可實(shí)現(xiàn)全業(yè)務(wù)渠道保護(hù)；通過用戶賬戶、設(shè)備指紋等唯一識(shí)別和全訪問記錄，整合各業(yè)務(wù)訪問渠道的數(shù)據(jù)，實(shí)現(xiàn)用戶訪問數(shù)據(jù)的跟蹤和透視。

　　● 全功能融合

　　以“人工智能智能”技術(shù)為核心，結(jié)合規(guī)則匹配、流量學(xué)習(xí)、客戶驗(yàn)證、行為分析和威脅情報(bào)技術(shù)，構(gòu)建多檢測引擎協(xié)同工作機(jī)制。

　　● 核心技術(shù)

　　一是以“客戶端驗(yàn)證”技術(shù)為核心，實(shí)現(xiàn)bot識(shí)別、客戶端環(huán)境驗(yàn)證和客戶端操作行為驗(yàn)證，幫助企業(yè)安全團(tuán)隊(duì)實(shí)現(xiàn)以被動(dòng)保護(hù)為主動(dòng)保護(hù)，突破被動(dòng)保護(hù)困境。

　　二是人工智能智能引擎，高效協(xié)同防御。通過流量學(xué)習(xí)、行為分析、機(jī)器學(xué)習(xí)等技術(shù)，結(jié)合第三方漏洞庫、威脅情報(bào)等信息，發(fā)現(xiàn)高度隱蔽的攻擊，有效提高檢測率，減少錯(cuò)誤報(bào)告，實(shí)現(xiàn)業(yè)務(wù)威脅的視角。

　　● 核心建設(shè)內(nèi)容

　　WAAP安全防護(hù)系統(tǒng)建設(shè)時(shí)，應(yīng)從頂層設(shè)計(jì)的角度考慮統(tǒng)一建設(shè)和協(xié)同工作，避免獨(dú)立建設(shè)能力帶來的資源消耗和性能消耗。具體施工內(nèi)容包括以下五個(gè)方面：一是客戶端收集；二是業(yè)務(wù)訪問；三是檢測引擎；四是智能策略；五是核心能力。

　　同時(shí)，報(bào)告還對WAAP的典型應(yīng)用場景和案例進(jìn)行了深入分析，展望了WAAP未來的發(fā)展趨勢，努力讓行業(yè)從業(yè)者更好地了解WAAP的全貌，緊跟安全防護(hù)的最新趨勢，推動(dòng)WAAP安全新技術(shù)的進(jìn)一步實(shí)踐。

　　瑞士數(shù)字信息作為報(bào)告的聯(lián)合作者，是中國動(dòng)態(tài)安全技術(shù)的創(chuàng)新者和Bots自動(dòng)攻擊防御領(lǐng)域的專業(yè)制造商，提供覆蓋網(wǎng)絡(luò)、APP、全渠道應(yīng)用、業(yè)務(wù)、數(shù)據(jù)、云安全等安全產(chǎn)品和服務(wù)。云和API資產(chǎn)。此前，Gartner已經(jīng)使用了瑞數(shù)信息、IDC等國際知名咨詢機(jī)構(gòu)連續(xù)幾年被列入云安全領(lǐng)域和API安全領(lǐng)域的代表性制造商。同時(shí)，它也是中國第一家獲得中國信通研究所云本地API安全和WAAP能力認(rèn)證的安全制造商，顯示了瑞數(shù)信息在云WAP安全領(lǐng)域的強(qiáng)大實(shí)力。

　　未來，瑞數(shù)信息將繼續(xù)創(chuàng)新技術(shù)、產(chǎn)品和服務(wù)，提高用戶云WAAP的安全能力，為企業(yè)有效抵御新興威脅、合規(guī)建設(shè)應(yīng)用安全和數(shù)據(jù)安全奠定堅(jiān)實(shí)基礎(chǔ)。