当前位置:首页>滚动 > >正文

瑞数信息发布《云上WAAP开发洞察报告(2023)》

  • 2023-09-01 09:38:49来源:哔哩哔哩

8月25日,由中国信息通信研究院(以下简称“中国信通院”)和中国通信标准化协会联合主办的“2023云软件安全大会”在北京举行。

会上,瑞数信息与中国信通院云计算与大数据研究所联合撰写的《云上WAAP开发洞察报告(2023)》(以下简称《报告》)正式发布。本报告旨在通过分析WAAP解决方案的优势和核心能力要求,帮助安全从业者更好地了解WAAP的全貌;通过分析构建全方位的WAAP安全防护体系结构和典型的应用场景,为企业应用WAAP提供良好的着陆思路。


(资料图片)

瑞数信息CTO马蔚彦参加了云上WAAP开发洞察报告(2023)的发布仪式

瑞数信息技术总监吴建剑刚对云上WAAP开发洞察报告(2023)进行了解读

一、WAAP已成为未来安全防护的发展方向

随着云和云原生应用的快速普及,云的复杂性增加,网络攻击面翻了一番,伴随着新的安全风险。一方面,Web、H5、APP、小程序等多种接入渠道加剧了应用安全风险,突出了数据安全问题。同时,API接口攻击和分布式拒绝服务(DDoS)攻击、Bot攻击等新的攻击方法层出不穷,传统的安全解决方案难以满足日益复杂的安全需求;另一方面,我国各级监管越来越严格,企业在应用业务云过程中,面对严峻的数据安全考验,应用漏洞风险造成的安全隐患和严重后果已上升到法律层面。

在此背景下,传统Web应用防护系统(WAF)技术需要创新。报告指出,WAAP作为下一代Web安全防护解决方案,正在成为未来安全防护的发展方向。

WAAP,即Web Application and API Protection的缩写是指Web应用程序和API保护。WAAP是一种由Web应用防火墙四部分组成的综合多层防护解决方案(WAF)、API保护,分布式拒绝服务攻击(DDoS)Bot访问管理的防御和防御。

报告显示,WAAP可以通过多层保护规则提供可靠、安全的Web应用程序和API保护平台,避免SQL注入、跨站脚本攻击、跨站请求伪造、仓库碰撞、爬虫、DDOS攻击、API接口滥用等各种网络攻击,护送业务连续性和数据安全。

与传统WAF相比,WAAP的优势包括两个方面:一是实现Web应用程序和API的统一管理。二是从Web应用安全防护、DDOS攻击防御、Bot管理到API安全防护等多维度构建Web应用安全防御系统。

二、WAAP应具备五大核心能力

随着WAAP概念的提出,国内外WAF制造商迅速跟进,中国WAF制造商和云服务提供商逐步建立了BOT保护功能和API保护能力,加快了实用的WAAP安全保护系统的实施。但如何拥有完善的WAAP保护能力,测试了主要制造商的技术和产品能力。

报告指出,WAAP并不是简单地平行考虑所有能力。企业在设计安全系统时,应考虑如何配合功能,如何合理调度和分配底层系统资源和流量。因此,WAAP的核心能力要求主要集中在四个部分:Web应用程序保护、DDOS防御、BOT管理和API安全保护,并对平台的底层联动提出要求。

● Web应用程序的防护能力

Web应用程序防护是指针对Web安全攻击的各种防御措施。主要功能应包括:Web攻击防护(如:SQL注入、命令注入、XSS跨站、Webshell上传、Web服务器漏洞攻击等。)、CC攻击防护、漏洞虚拟补丁、网页防篡改、访问合规性检测等。通过规则匹配、流量学习、语义分析、威胁情报等技术,Web攻击防护可以实现更精确的防护。

● DDOS防御能力

分布式拒绝服务(DDoS)防御是指保护Web应用程序和API应用程序免受DDOS攻击,支持DDOS攻击的异常监控、攻击防护和弹性管理。DDOS攻击防护可以从请求速度限制、TCP检测和代理检测、HTTP客户验证、威胁信息等方面进行保护。

● Bot管理能力

Bot管理是指支持各种Bot识别、保护和行为管理,可以筛选恶意Bot,释放善意Bot。Bot攻击保护可以从客户验证、验证码挑战、行为分析、威胁情报等方面进行保护。

● API安全防护能力

API安全保护是指在API资产识别的基础上,监控API运行状态、异常访问行为、敏感信息和安全攻击,实现对API资产的全面控制。API安全保护可以从API流量分析、特征识别、行为分析、敏感信息检测、威胁情报等方面进行识别和保护。

● 底层联动性

底层联动是指WAAP的核心能力可以实现数据共享和攻击联合防御。在采用针对性防护技术实现不同防护场景的基础上,也可以重用技术,以提高检测和保护效率,降低维护成本。底层联动可以从可编程、报纸统一检测、数据共享、联合防御和联合控制四个方面进行调度。

三、WAAP安全防护体系建设思路

WAAP架构作为一种一站式WAAP解决方案,迫切需要更积极、高效、集成、智能的应用安全保护,以人工智能智能分析技术为基础,通过多种技术手段和统一的战略管理平台,提供多云混合云中一致的应用安全服务能力。为此,本报告提出了WAAP安全保护系统的建设思路:

● 全业务渠道接入

WAAP解决方案涵盖了几乎所有的业务访问渠道,包括Web、APP、API、微信、小程序等,可实现全业务渠道保护;通过用户账户、设备指纹等唯一识别和全访问记录,整合各业务访问渠道的数据,实现用户访问数据的跟踪和透视。

● 全功能融合

以“人工智能智能”技术为核心,结合规则匹配、流量学习、客户验证、行为分析和威胁情报技术,构建多检测引擎协同工作机制。

● 核心技术

一是以“客户端验证”技术为核心,实现bot识别、客户端环境验证和客户端操作行为验证,帮助企业安全团队实现以被动保护为主动保护,突破被动保护困境。

二是人工智能智能引擎,高效协同防御。通过流量学习、行为分析、机器学习等技术,结合第三方漏洞库、威胁情报等信息,发现高度隐蔽的攻击,有效提高检测率,减少错误报告,实现业务威胁的视角。

● 核心建设内容

WAAP安全防护系统建设时,应从顶层设计的角度考虑统一建设和协同工作,避免独立建设能力带来的资源消耗和性能消耗。具体施工内容包括以下五个方面:一是客户端收集;二是业务访问;三是检测引擎;四是智能策略;五是核心能力。

同时,报告还对WAAP的典型应用场景和案例进行了深入分析,展望了WAAP未来的发展趋势,努力让行业从业者更好地了解WAAP的全貌,紧跟安全防护的最新趋势,推动WAAP安全新技术的进一步实践。

瑞士数字信息作为报告的联合作者,是中国动态安全技术的创新者和Bots自动攻击防御领域的专业制造商,提供覆盖网络、APP、全渠道应用、业务、数据、云安全等安全产品和服务。云和API资产。此前,Gartner已经使用了瑞数信息、IDC等国际知名咨询机构连续几年被列入云安全领域和API安全领域的代表性制造商。同时,它也是中国第一家获得中国信通研究所云本地API安全和WAAP能力认证的安全制造商,显示了瑞数信息在云WAP安全领域的强大实力。

未来,瑞数信息将继续创新技术、产品和服务,提高用户云WAAP的安全能力,为企业有效抵御新兴威胁、合规建设应用安全和数据安全奠定坚实基础。

标签:

延伸阅读

推荐阅读

瑞数信息发布《云上WAAP开发洞察报告(2023)》

8月25日,由中国信息通信研究院(以下简称“中国信通院”)和中国通信标

郑钦文:又赢了!轰出aces雨,拒绝卡内皮逆转,挺进2023年美网32强

北京时间9月1日凌晨,2023年美网第2轮,中国1姐郑钦文VS爱沙尼亚老将卡

5年期LPR未下调的背后

此次1年期LPR下调10BP,而5年期未下调,或进一步降低融资利率对宏观需

欧冠分组出炉!你的主队是哪支队伍,对分组结果满意吗

直播吧9月1日讯2023-24赛季欧冠小组赛抽签结束,完整的分组结果出炉。

记者:查洛巴转会拜仁接近告吹,除非切尔西接受外租

切尔西跟队记者NizaarKinsella消息,查洛巴转会拜仁的可能性越来越小。

哈尔斯:与埃依斯航天品牌合作合同期满自动终止

哈尔斯(002615)8月31日晚间公告,公司与上海埃依斯航天科技有限公司(简

考研的四类高危人群,退!退!退!

考研的四类高危人群,退!退!退!,考研,考试,保研,备考,自习室

五一旅游城市排行榜 ,你还不去吗?

1 上海2 北京3 南京4 成都5 西安6 杭州7 长沙8 武汉9 重庆10 青岛

华泰证券(601688):投资业绩乘势反弹 机构业务有望高增

华泰证券(601688):投资业绩乘势反弹机构业务有望高增

威海市人社局三个“精准”提升工伤预防质效

记者连宁燕通讯员王春苗近年来,威海市人社局大力开展入企实地调研、专

金杯电工:正进一步加强对超导产品发展规划的调研论证

金杯电工近期接受投资者调研时称,子公司无锡统力电工有限公司从2010年

洪涝灾后警惕肠道传染病!收下这份健康指南

夏季洪涝灾害频发,灾害发生后,要注意防范哪些健康问题?来看看这份“

数据出炉:谷歌、Meta和亚马逊的工程师薪酬高于苹果

据市场调查机构Blind的最新数据显示,谷歌、Meta和亚马逊支付给软件工

新兴装备上半年营收增长16.83% 产品结构完成更替过渡

新兴装备8月31日披露2023年半年报,公司上半年实现营业收入1 26亿元,

宝盖镇成立7个攻坚专班 力争3个月 突破四大重点任务

宝盖镇成立7个攻坚专班力争3个月突破四大重点任务

有限责任公司的法定设立条件有哪些具体规定

有限责任公司的法定设立条件包括股东符合法定人数;股东出资达到法定资

郑州公示16个城市更新项目 1.12亿元打造观星台生态文化公园

市城建局近日公示16个拟新增城市更新项目,其中,中原区1个、二七区2个

多组数据卡方检验实例 多组数据卡方检验

今天来聊聊组数据卡方检验实例,多组数据卡方检验的文章,现在就为大家

神庙逃亡有终点吗?关于五亿终点的假新闻 神庙逃亡有终点吗

1、楼主,其实神庙逃亡根本没有终点,但是好像说有一个人跑过了,那是5

募集资金30亿元 阿维塔科技完成B轮融资

日前,重庆长安汽车股份有限公司发布公告,此前,长安汽车之联营企业阿

杭州阴雨连绵,8月就感到了“秋凉”

潮新闻客户端记者徐彦8月30日,受到冷空气和降雨影响,杭州明显感到了

逆水寒手游碧血鸣沙独珍装备属性是什么

逆水寒手游是值得大家去体验的一个游戏,本次的问题也是很多小伙伴都在

国际乒联正式确认,日乒遭致命打击,张本智和伊藤美诚这回麻烦了

从《人民网》的报道可以看出,日乒遭受致命打击,他们的排名并没有提升

江苏淮安调整住房公积金政策:多孩家庭贷款最高额度可上浮30%

淮安市淮阴区风光视觉中国资料图8月30日,澎湃新闻从江苏省淮安市住房

怎么可以打印网页上的全部内容 如何打印网页内需要的内容

1、拖动鼠标选中想要打印出来的网页内容,然后在键盘上按一下“Alt”键

赖士葆:蓝军很气郭台铭参选 会拱大侯友宜

鸿海创办人郭台铭28日宣布参选2024。台媒《镜新闻》30日公布最新民调,

皇台酒业上半年营收净利双增长

8月29日晚间,皇台酒业发布2023年半年度报告,公司上半年实现营业收入7

有哪些cs免费开箱网站 推荐10款cs免费白嫖开箱网站

推荐10款cs免费白嫖开箱网站,随着CSGO这款游戏越来越火爆,很多的玩家

热血江湖:新手升级攻略

热血江湖:新手升级攻略《热血江湖》是很多人的青春回忆,它激发了许多

广州2000亿母基金管理办法正式出台 发挥“以投促引、以投促产”等功能

产业母基金公司已在南沙注册,并设立100亿元重大项目投资专项基金、100

猜您喜欢

Copyright ©  2015-2023 今日服装网版权所有  备案号:沪ICP备2023005074号-40   联系邮箱:5 85 59 73 @qq.com