| 首页  |  资讯  |  评测  |  活动  |  学院  |  专题  |  杂志  |  产服  |  
您现在的位置:硅谷网> 资讯> 安全>

瑞数信息联合中国信通院发布《云上WAAP发展洞察报告(2023)》

2023-08-31 18:23 作者:Miki 来源:硅谷网综合 关注: 编辑:GuiGu 【搜索试试

8月25日,由中国信息通信研究院(以下简称“中国信通院”)和中国通信标准化协会联合主办的“2023云和软件安全大会”在北京召开。

会上,瑞数信息与中国信通院云计算与大数据研究所联合撰写的《云上WAAP发展洞察报告(2023)》(以下简称“报告”)正式发布。报告旨在通过分析WAAP解决方案的优势及核心能力要求,帮助安全从业者更好地了解WAAP全貌;通过分析构建全方位的WAAP安全防护体系架构和典型应用场景,为企业应用WAAP提供良好的落地思路。

瑞数信息CTO马蔚彦参与《云上WAAP发展洞察报告(2023)》发布仪式

瑞数信息技术总监吴剑刚进行《云上WAAP发展洞察报告(2023)》解读

一、WAAP成为未来安全防护发展方向

随着企业深度用云以及云原生应用的快速普及,云上复杂性提升,导致网络攻击面倍增,伴生出新的安全风险。一方面,Web、H5、APP、小程序等多样的接入渠道带来应用安全风险加剧,数据安全问题凸显,同时API接口攻击、分布式拒绝服务(DDoS)攻击、Bot攻击等新型攻击方式层出不穷,传统安全解决方案已难以满足日益复杂的安全需求;另一方面,我国各级监管日趋严格,企业在应用业务上云的过程中,面临着严峻的数据安全考验,应用漏洞风险导致的安全隐患和严重后果已被上升至法律层面。

在此背景下,传统Web应用防护系统(WAF)技术亟待革新。报告指出,WAAP作为下一代Web安全防护解决方案,正在成为未来安全防护发展方向。

WAAP,即Web Application and API Protection的缩写,指Web应用程序与API保护。WAAP是一种综合性的多层防护解决方案,由以下四部分构成:Web应用程序防火墙(WAF)、API保护、分布式拒绝服务攻击(DDoS)防御、Bot访问管理。

报告显示,WAAP可通过多层防护规则提供可靠、安全的Web应用程序和API保护平台,让企业免受各种网络攻击,例如:SQL注入、跨站脚本攻击、跨站请求伪造、撞库、爬虫、DDoS攻击、API接口滥用等,为企业业务连续性和数据安全保驾护航。

与传统WAF相比,WAAP存在的优势包括两方面:一是实现Web应用程序和API的统一管理。二是进行多维度统一防护,从Web应用安全防护、DDoS攻击防御、Bot管理到API安全防护等多纬度构建Web应用安全防御体系。

1.WAAP应具备五大核心能力

随着WAAP理念的提出,国内外WAF厂商迅速跟进,我国WAF厂商和云服务商逐步构建Bot防护功能和API防护能力,加速落地切实可行的WAAP安全防护体系。但如何具备完善的WAAP防护能力,考验着各大厂商的技术和产品能力。

报告指出,WAAP不是简单的将各项能力并行考虑,企业进行安全体系设计时,应考虑如何将功能进行协作,以及如何对底层的系统资源和流量进行合理调度分配。因此,WAAP核心能力要求主要集中在Web应用程序防护、DDoS防御、Bot管理和API安全防护四部分,同时对平台的底层联动性提出要求。

·Web应用程序防护能力
Web应用程序防护是指针对Web安全攻击而做的各种防御措施。主要功能应包括:Web攻击防护(如:SQL注入、命令注入、XSS跨站、Webshell上传、Web服务器漏洞攻击等)、CC攻击防护、漏洞虚拟补丁、网页防篡改、访问合规性检测等。Web攻击防护可以采用规则匹配、流量学习、语义分析、威胁情报等技术,实现更精准的防护。

·DDoS防御能力
分布式拒绝服务(DDoS)防御是指保护Web应用程序和API应用免受DDoS攻击,支持对DDoS攻击的异常监测、攻击防护和弹性管理。DDoS攻击防护可以从请求速度限制、TCP检测与代理检测、HTTP客户端验证、威胁情报等几方面进行防护。

·Bot管理能力
Bot管理是指支持对各种Bot识别、防护和行为管理,可以对恶意Bot进行甄别处理,对善意Bot进行放行。Bot攻击防护可以从客户端验证、验证码挑战、行为分析、威胁情报等几方面进行防护。

·API安全防护能力
API安全防护是指在API资产识别的基础上,对API运行状态、异常访问行为、敏感信息和安全攻击进行监测,从而实现对API资产的全方位管控。API安全防护可以从API流量分析、特征识别、行为分析、敏感信息检测、威胁情报等几方面进行识别与防护。

·底层联动性
底层联动性是指WAAP的核心能力之间可以实现数据共享、攻击联防。在实现面向不同防护场景采用有针对性防护技术的基础上,还可以进行技术复用,以达到提升检测防护效率,降低维护成本的目的。底层联动性体现在可以从可编程性、报文统一检测、数据共享、联防联控四个方面进行调度。
三、WAAP安全防护体系建设思路
作为一种让应用安全防护亟需更加主动、高效、融合、智能的一站式WAAP解决方案,WAAP架构是以AI智能分析技术为底座,通过多种技术手段和统一的策略管理平台,提供多云混合云中一致的应用安全服务能力。对此,报告提出了WAAP安全防护体系建设思路:

·全业务渠道接入
WAAP解决方案覆盖几乎所有的业务接入渠道,包括Web、APP、API、微信、小程序等,可实现全业务渠道防护;通过用户账号、设备指纹等唯一标识和全量访问记录,将各业务接入渠道的数据进行融合,实现用户访问数据追踪和透视。

·全功能融合
以“AI智能”技术为核心,结合规则匹配、流量学习、客户端验证、行为分析和威胁情报技术,打造多检测引擎协同工作机制。

·核心技术
一是以“客户端验证”技术为核心,实现Bot识别、客户端环境验证、客户端操作行为验证,帮助企业安全团队实现变被动防护为主动防护,突破被动防护困局。
二是AI智能引擎,高效协同防御。通过流量学习、行为分析、机器学习等技术,结合第三方漏洞库、威胁情报等信息,发现高度隐蔽的攻击,有效提高检测率,降低误漏报,实现对业务威胁的透视。

·核心建设内容

WAAP安全防护体系建设时,应从顶层设计角度出发,考虑统一建设、协同工作,避免各能力独立建设带来的资源消耗和性能消耗。具体建设内容包含以下五个方面:一是客户端采集;二是业务接入;三是检测引擎;四是智能策略;五是核心能力。

与此同时,报告还深入分析了WAAP的典型应用场景和案例,并展望了WAAP未来发展趋势,力图让业界从业者更好地了解WAAP全貌,紧跟安全防护最新趋势,推动WAAP安全新技术进一步落地实践。

瑞数信息作为报告的联合撰写方,是中国动态安全技术的创新者和Bots自动化攻击防御领域的专业厂商,提供覆盖Web、APP、云和API资产的全渠道应用、业务、数据及云安全等在内的安全产品及服务。此前,瑞数信息已被Gartner、IDC等国际知名咨询机构连续几年列入云安全领域、API安全领域的代表厂商,同时也是国内首批荣获中国信通院云原生API安全和WAAP能力认证的安全厂商,足见瑞数信息在云WAAP安全领域的强劲实力。

未来瑞数信息还将持续创新技术、产品和服务,提升用户云WAAP安全能力,为企业有效抵御新兴威胁、合规建设应用安全和数据安全打下坚实基础。

欲知更多《云上WAAP发展洞察报告(2023)》内容,点击二维码下载报告!

【对“瑞数信息联合中国信通院发布《云上WAAP发展洞察报告(2023)》”发布评论】

版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
广告
相关
·瑞数信息入选专用Bot管理代表厂商 Gartner《创新
·瑞数信息《2023 API安全趋势报告》重磅发布:API
·连续三年!瑞数信息入选Gartner《2023年中国ICT
·【重磅】瑞数信息位居2022年中国私有云WAF市场份
·喜报!瑞数信息蝉联CCIA中国网络安全竞争力50强
·瑞数信息防护“三板斧”,如何有效提升攻防演练
头条
FDIC意外泄露硅谷银行最大客户的详细信息 FDIC意外泄露硅谷银行最大客户的详细信息
据彭博社报道,美国联邦存款保险公司(FDIC)意外地向媒体透露了硅谷银行最大客户的详……
·美国交通安全局要求特斯拉提供Autopilot相关
·特斯拉数据泄漏事件影响超7.5万人 涉及现任和
·FDIC意外泄露硅谷银行最大客户的详细信息
·被假APP骗走17.1枚比特币,男子炮轰苹果应用
·Debian垃圾邮件过滤器发现注入攻击漏洞,需要
图文
瑞数信息联合中国信通院发布《云上WAAP发展洞察报告(2023)》
瑞数信息联合中国信通院发布《云上WAAP发展
CertiK受邀第十一届ISC2023互联网安全大会,发表主题演讲
CertiK受邀第十一届ISC2023互联网安全大会
区块链骗局都有哪些?区块链下有人暴富有人破产!
区块链骗局都有哪些?区块链下有人暴富有人
2019年网络安全生态峰会举行 智慧共享互信共治
2019年网络安全生态峰会举行 智慧共享互信
热点
·全国多所高校电脑遭病毒绑架 需要关闭445端口
·区块链骗局都有哪些?区块链下有人暴富有人破
·2019年网络安全生态峰会举行 智慧共享互信共
·苏宁京东接连中招,双十一在即这个套路要小心
·没了乌云谁还敢随便使用那些不安全的网络平台
旧闻
·五成网友寄望安全软件防范垃圾信息
·量子时代信息全更安全 量子密码实用化值得期
·2019第三届饮水安全与健康行业博士论坛揭示“
·腾讯反病毒实验室揭示新型“蠕虫”式loT攻击
·天翼云盘获“2017年度最佳网络安全产品奖”
广告
硅谷精选
瑞数信息联合中国信通院发布《云上WAAP发展洞察报告(2023)》
瑞数信息联合中国信通院发布《云上WAAP发展洞察报告(
CertiK受邀第十一届ISC2023互联网安全大会,发表主题演讲
CertiK受邀第十一届ISC2023互联网安全大会,发表主题
瑞数信息《2023 API安全趋势报告》重磅发布:API攻击持续走高,Bots武器更聪明
瑞数信息《2023 API安全趋势报告》重磅发布:API攻击
苹果公司发布iOS最新安全更新,CertiK因安全贡献获其认可
苹果公司发布iOS最新安全更新,CertiK因安全贡献获其
女子200多网购却被花呗扣款3000多?花呗回应:是用户主动支付
女子200多网购却被花呗扣款3000多?花呗回应:是用户
头部美媒相继报道:安审公司CertiK发现Worldcoin安全漏洞
头部美媒相继报道:安审公司CertiK发现Worldcoin安全
关于我们·About | 联系我们·contact | 加入我们·Join | 关注我们·Invest | Site Map | Tags | RSS Map
电脑版·PC版 移动版·MD版 网站热线:(+86)010-57255600
Copyright © 2007-2020 硅谷网. 版权所有. All Rights Reserved. <京ICP备12003855号-2>