云上WAAP发展洞察报告

(一)企业加速上云步伐，安全态势严峻 1务延伸，相关监管日趋严格 12.业务接入渠道日趋丰富，安全风险加剧 23.企业面临严峻安全防护挑战，新型攻击方式层出不穷 34.传统安全解决方案难以满足日益复杂的安全需求 4(二)WAAP成为下一代Web安全防护解决方案 5 (一)Web应用程序防护能力 9(二)DDoS防御能力 11(三)Bot管理能力 12(四)API安全防护能力 14(五)底层联动性 16 (一)安全建设体系架构 17(二)WAAP典型应用场景分析 20 (1)APP新人礼包防护案例 26(2)业务外挂防护案例 27(3)安全攻击防护案例 28(4)支付API滥用防护案例 29图目录 《云上WAAP发展洞察报告(2023)》1WAAP为未来安全防护发展方向(一)企业加速上云步伐，安全态势严峻1.安全建设向云上应用业务延伸，相关监管日趋严格其中，公有云市场规模增长40.93%至3256亿元，私有云市场增长多作协同，提升网络安全威胁发现、《云上WAAP发展洞察报告(2023)》2政策文件的落地和执行体现出我国对网络安全和数据安全的督察力已被上升至法律层面。2.业务接入渠道日趋丰富，安全风险加剧的事件与日俱增。攻击者还可通过逆向APP和小程序客户端应用代《云上WAAP发展洞察报告(2023)》33.企业面临严峻安全防护挑战，新型攻击方式层出不穷Bot击等。者可以利用各种不同的手段攻击API并窃取敏感数据或者干扰企业G历史新高，达到Tbps辨别隐藏其中的恶意特征。Bot即Robot(机器人)t《云上WAAP发展洞察报告(2023)》44.传统安全解决方案难以满足日益复杂的安全需求行非法获利。有效保护，主要原因如下：Web攻击检测不再有效。针对网络应用程序的Bot自动化工具攻击，例如撞库、暴力破解、批量注册、恶意爬虫、断变化的应用安全威胁。流量使用TLS加密。这种加密方式有利于保护隐私，但却使检测恶意加困难。新一代Web安全解决方案需要规避依赖信《云上WAAP发展洞察报告(2023)》5IWeb应用防火墙可以快速形成针对新型漏洞的安全防御策略并进(二)WAAP成为下一代Web安全防护解决方案WAAP的定义2.WAAP的构成6前我国主流Web应用程序防火墙主要分成三种形式，分别是硬件FWAF于攻击行为溯源也起到《云上WAAP发展洞察报告(2023)》7分布式拒绝服务攻击(DDoS)防御是指及时发现大规模攻击的异Bot自动化攻击进行识别，控制自动化3.WAAP的优势PWAAP抵御日益复杂的网络攻击，已成为抵胁的多层防护解决方案。《云上WAAP发展洞察报告(2023)》8供可视化报告管理，实现Web安全一体化管理。二是进行多维度统4.WAAP的发展力，加速落地切实可行的WAAP安全防护体系，既有新兴的专注《云上WAAP发展洞察报告(2023)》9(一)Web应用程序防护能力《云上WAAP发展洞察报告(2023)》。也能有效防护通过编码混淆而绕过规则的攻击代码，显著提高0dayWAF可以内置或和威胁情《云上WAAP发展洞察报告(2023)》(二)DDoS防御能力oS防2.TCP检测技术。TCP检测与代理检测是指对TCP连接三方握器是否收到ACK数据包，来识别DDoS攻击。3.HTTP客户端验证技术。HTTP客户端验证是指对客户端真实《云上WAAP发展洞察报告(2023)》DDoS击防护。含在网络层提供的DDoS缓解和大规模DDoS攻击下的流量清洗能WAAP的云安全服务互相结合，提供更(三)Bot管理能力《云上WAAP发展洞察报告(2023)》criptpt2.验证码挑战技术。验证码(CAPTCHA)技术是一种常见的防止Bot访问网站或进行某些操作时，输入由系《云上WAAP发展洞察报告(2023)》t(四)API安全防护能力如下：《云上WAAP发展洞察报告(2023)》《云上WAAP发展洞察报告(2023)》API全需求，每种防护技术的侧重点不同。(五)底层联动性理如下：。而实现请求一旦经过WAAP解决方案，即可从《云上WAAP发展洞察报告(2023)》PI全风险，建立信誉库，4.联防联控。联防联控是指各核心能力之间可以进行联合防控，WAAP力之间信(WAAP)服务。(一)安全建设体系架构《云上WAAP发展洞察报告(2023)》图1WAAP安全建设体系架构工作机制，主要分为以下两点，一是在提供传统Web安全防御能力PI《云上WAAP发展洞察报告(2023)》分析，测率，含以下五个方面：图2WAAP核心建设内容参考《云上WAAP发展洞察报告(2023)》集，并与客进行对比，从而识别伪造客户端环境的P为分析、人机识别、特征检实现安全风险的识别。除此之外通过实时拦截引擎实现统一(二)WAAP典型应用场景分析《云上WAAP发展洞察报告(2023)》类场景：WebAPI面。法获利。黑灰《云上WAAP发展洞察报告(2023)》对系统防护效果。务攻击(DDOS)外，利用DDoS能力，针对拒绝服务攻击有良好的防护效果。I新形势下的WAAP安全下几点：《云上WAAP发展洞察报告(2023)》AP护四大能力进行规范，对助力企业不断优化升级安全技术、落地将AI技术落地应用于以WAAP体系为核心的应用安全防护。《云上WAAP发展洞察报告(2023)》团队也将持续助力开放平台建设，，推动产业数字化进程不断深化。《云上WAAP发展洞察报告(2023)》附录WAAP典型应用案例(1)APP新人礼包防护案例册，自动下单薅新人礼包券。图3APP新人礼包防护案例《云上WAAP发展洞察报告(2023)》击黑产薅羊毛行为。(2)业务外挂防护案例该案例的攻击类型属于外挂工具攻击。黑灰产代理多个IP地址图4业务外挂防护案例针对该场景的WAAP防护思路可分为三个步骤。第一，应用《云上WAAP发展洞察报告(2023)》防护工具外挂带来的攻击行为。(3)安全攻击防护案例利用。通过对WAAP系统日志分析，发现Logj公布之前已经存在自