8月25日,由中国信息通信研究院(以下简称“中国信通院”)和中国通信标准化协会联合主办的“2023云软件安全大会”在北京举行。
会上,瑞数信息与中国信通院云计算与大数据研究所联合撰写的《云上WAAP开发洞察报告(2023)》(以下简称《报告》)正式发布。本报告旨在通过分析WAAP解决方案的优势和核心能力要求,帮助安全从业者更好地了解WAAP的全貌;通过分析构建全方位的WAAP安全防护体系结构和典型的应用场景,为企业应用WAAP提供良好的着陆思路。
(资料图片)
瑞数信息CTO马蔚彦参加了云上WAAP开发洞察报告(2023)的发布仪式
瑞数信息技术总监吴建剑刚对云上WAAP开发洞察报告(2023)进行了解读
一、WAAP已成为未来安全防护的发展方向
随着云和云原生应用的快速普及,云的复杂性增加,网络攻击面翻了一番,伴随着新的安全风险。一方面,Web、H5、APP、小程序等多种接入渠道加剧了应用安全风险,突出了数据安全问题。同时,API接口攻击和分布式拒绝服务(DDoS)攻击、Bot攻击等新的攻击方法层出不穷,传统的安全解决方案难以满足日益复杂的安全需求;另一方面,我国各级监管越来越严格,企业在应用业务云过程中,面对严峻的数据安全考验,应用漏洞风险造成的安全隐患和严重后果已上升到法律层面。
在此背景下,传统Web应用防护系统(WAF)技术需要创新。报告指出,WAAP作为下一代Web安全防护解决方案,正在成为未来安全防护的发展方向。
WAAP,即Web Application and API Protection的缩写是指Web应用程序和API保护。WAAP是一种由Web应用防火墙四部分组成的综合多层防护解决方案(WAF)、API保护,分布式拒绝服务攻击(DDoS)Bot访问管理的防御和防御。
报告显示,WAAP可以通过多层保护规则提供可靠、安全的Web应用程序和API保护平台,避免SQL注入、跨站脚本攻击、跨站请求伪造、仓库碰撞、爬虫、DDOS攻击、API接口滥用等各种网络攻击,护送业务连续性和数据安全。
与传统WAF相比,WAAP的优势包括两个方面:一是实现Web应用程序和API的统一管理。二是从Web应用安全防护、DDOS攻击防御、Bot管理到API安全防护等多维度构建Web应用安全防御系统。
二、WAAP应具备五大核心能力
随着WAAP概念的提出,国内外WAF制造商迅速跟进,中国WAF制造商和云服务提供商逐步建立了BOT保护功能和API保护能力,加快了实用的WAAP安全保护系统的实施。但如何拥有完善的WAAP保护能力,测试了主要制造商的技术和产品能力。
报告指出,WAAP并不是简单地平行考虑所有能力。企业在设计安全系统时,应考虑如何配合功能,如何合理调度和分配底层系统资源和流量。因此,WAAP的核心能力要求主要集中在四个部分:Web应用程序保护、DDOS防御、BOT管理和API安全保护,并对平台的底层联动提出要求。
● Web应用程序的防护能力
Web应用程序防护是指针对Web安全攻击的各种防御措施。主要功能应包括:Web攻击防护(如:SQL注入、命令注入、XSS跨站、Webshell上传、Web服务器漏洞攻击等。)、CC攻击防护、漏洞虚拟补丁、网页防篡改、访问合规性检测等。通过规则匹配、流量学习、语义分析、威胁情报等技术,Web攻击防护可以实现更精确的防护。
● DDOS防御能力
分布式拒绝服务(DDoS)防御是指保护Web应用程序和API应用程序免受DDOS攻击,支持DDOS攻击的异常监控、攻击防护和弹性管理。DDOS攻击防护可以从请求速度限制、TCP检测和代理检测、HTTP客户验证、威胁信息等方面进行保护。
● Bot管理能力
Bot管理是指支持各种Bot识别、保护和行为管理,可以筛选恶意Bot,释放善意Bot。Bot攻击保护可以从客户验证、验证码挑战、行为分析、威胁情报等方面进行保护。
● API安全防护能力
API安全保护是指在API资产识别的基础上,监控API运行状态、异常访问行为、敏感信息和安全攻击,实现对API资产的全面控制。API安全保护可以从API流量分析、特征识别、行为分析、敏感信息检测、威胁情报等方面进行识别和保护。
● 底层联动性
底层联动是指WAAP的核心能力可以实现数据共享和攻击联合防御。在采用针对性防护技术实现不同防护场景的基础上,也可以重用技术,以提高检测和保护效率,降低维护成本。底层联动可以从可编程、报纸统一检测、数据共享、联合防御和联合控制四个方面进行调度。
三、WAAP安全防护体系建设思路
WAAP架构作为一种一站式WAAP解决方案,迫切需要更积极、高效、集成、智能的应用安全保护,以人工智能智能分析技术为基础,通过多种技术手段和统一的战略管理平台,提供多云混合云中一致的应用安全服务能力。为此,本报告提出了WAAP安全保护系统的建设思路:
● 全业务渠道接入
WAAP解决方案涵盖了几乎所有的业务访问渠道,包括Web、APP、API、微信、小程序等,可实现全业务渠道保护;通过用户账户、设备指纹等唯一识别和全访问记录,整合各业务访问渠道的数据,实现用户访问数据的跟踪和透视。
● 全功能融合
以“人工智能智能”技术为核心,结合规则匹配、流量学习、客户验证、行为分析和威胁情报技术,构建多检测引擎协同工作机制。
● 核心技术
一是以“客户端验证”技术为核心,实现bot识别、客户端环境验证和客户端操作行为验证,帮助企业安全团队实现以被动保护为主动保护,突破被动保护困境。
二是人工智能智能引擎,高效协同防御。通过流量学习、行为分析、机器学习等技术,结合第三方漏洞库、威胁情报等信息,发现高度隐蔽的攻击,有效提高检测率,减少错误报告,实现业务威胁的视角。
● 核心建设内容
WAAP安全防护系统建设时,应从顶层设计的角度考虑统一建设和协同工作,避免独立建设能力带来的资源消耗和性能消耗。具体施工内容包括以下五个方面:一是客户端收集;二是业务访问;三是检测引擎;四是智能策略;五是核心能力。
同时,报告还对WAAP的典型应用场景和案例进行了深入分析,展望了WAAP未来的发展趋势,努力让行业从业者更好地了解WAAP的全貌,紧跟安全防护的最新趋势,推动WAAP安全新技术的进一步实践。
瑞士数字信息作为报告的联合作者,是中国动态安全技术的创新者和Bots自动攻击防御领域的专业制造商,提供覆盖网络、APP、全渠道应用、业务、数据、云安全等安全产品和服务。云和API资产。此前,Gartner已经使用了瑞数信息、IDC等国际知名咨询机构连续几年被列入云安全领域和API安全领域的代表性制造商。同时,它也是中国第一家获得中国信通研究所云本地API安全和WAAP能力认证的安全制造商,显示了瑞数信息在云WAP安全领域的强大实力。
未来,瑞数信息将继续创新技术、产品和服务,提高用户云WAAP的安全能力,为企业有效抵御新兴威胁、合规建设应用安全和数据安全奠定坚实基础。
标签:
8月25日,由中国信息通信研究院(以下简称“中国信通院”)和中国通信标
北京时间9月1日凌晨,2023年美网第2轮,中国1姐郑钦文VS爱沙尼亚老将卡
此次1年期LPR下调10BP,而5年期未下调,或进一步降低融资利率对宏观需
直播吧9月1日讯2023-24赛季欧冠小组赛抽签结束,完整的分组结果出炉。
切尔西跟队记者NizaarKinsella消息,查洛巴转会拜仁的可能性越来越小。
哈尔斯(002615)8月31日晚间公告,公司与上海埃依斯航天科技有限公司(简
考研的四类高危人群,退!退!退!,考研,考试,保研,备考,自习室
1 上海2 北京3 南京4 成都5 西安6 杭州7 长沙8 武汉9 重庆10 青岛
华泰证券(601688):投资业绩乘势反弹机构业务有望高增
记者连宁燕通讯员王春苗近年来,威海市人社局大力开展入企实地调研、专
金杯电工近期接受投资者调研时称,子公司无锡统力电工有限公司从2010年
夏季洪涝灾害频发,灾害发生后,要注意防范哪些健康问题?来看看这份“
据市场调查机构Blind的最新数据显示,谷歌、Meta和亚马逊支付给软件工
新兴装备8月31日披露2023年半年报,公司上半年实现营业收入1 26亿元,
宝盖镇成立7个攻坚专班力争3个月突破四大重点任务
有限责任公司的法定设立条件包括股东符合法定人数;股东出资达到法定资
市城建局近日公示16个拟新增城市更新项目,其中,中原区1个、二七区2个
今天来聊聊组数据卡方检验实例,多组数据卡方检验的文章,现在就为大家
1、楼主,其实神庙逃亡根本没有终点,但是好像说有一个人跑过了,那是5
日前,重庆长安汽车股份有限公司发布公告,此前,长安汽车之联营企业阿
潮新闻客户端记者徐彦8月30日,受到冷空气和降雨影响,杭州明显感到了
逆水寒手游是值得大家去体验的一个游戏,本次的问题也是很多小伙伴都在
从《人民网》的报道可以看出,日乒遭受致命打击,他们的排名并没有提升
淮安市淮阴区风光视觉中国资料图8月30日,澎湃新闻从江苏省淮安市住房
1、拖动鼠标选中想要打印出来的网页内容,然后在键盘上按一下“Alt”键
鸿海创办人郭台铭28日宣布参选2024。台媒《镜新闻》30日公布最新民调,
8月29日晚间,皇台酒业发布2023年半年度报告,公司上半年实现营业收入7
推荐10款cs免费白嫖开箱网站,随着CSGO这款游戏越来越火爆,很多的玩家
热血江湖:新手升级攻略《热血江湖》是很多人的青春回忆,它激发了许多
产业母基金公司已在南沙注册,并设立100亿元重大项目投资专项基金、100
Copyright © 2015-2023 今日服装网版权所有 备案号:沪ICP备2023005074号-40 联系邮箱:5 85 59 73 @qq.com