引言

隨著現(xiàn)代Web應用程序的發(fā)展、應用程序環(huán)境和威脅的代際轉(zhuǎn)變，應用的去中心化和分布式趨勢明顯，Bot 和自動攻擊的日益復雜化，移動應用使用量的增加和現(xiàn)代應用開發(fā)帶來的 API 端點的激增，極大地擴展了威脅面，并引入了來自第三方集成不可預見的風險。

數(shù)字化轉(zhuǎn)型的步伐加快，威脅形勢的變化速度也在加快。2022年上半年，全球Web 應用程序和API 攻擊數(shù)量顯著增加，攻擊嘗試次數(shù)已超過90 億次，比2021 年上半年增加了3 倍。分布式拒絕服務 (DDoS) 攻擊的規(guī)模繼續(xù)擴大、復雜性繼續(xù)提升。

面對日趨復雜嚴峻的網(wǎng)絡與數(shù)據(jù)安全態(tài)勢，需要一種更新的技術集合來解決此類難題，大模型和Agent技術開啟了全面自動化的新時代，安全市場不斷發(fā)展的成果，將滿足這些需求！

圖 商業(yè)、高科技和金融服務是受 Web 應用程序和 API 攻擊影響最為嚴重的垂直行業(yè)

一、網(wǎng)絡與數(shù)據(jù)安全形勢

1、Web 應用程序和 API 防護挑戰(zhàn)

Web 應用程序不斷發(fā)展，變得更加復雜，這為企業(yè)帶來了新的應用程序安全挑戰(zhàn)?，F(xiàn)代 Web 應用程序和微服務越來越多地依賴 API 進行幾乎所有的交互，從而擴大了攻擊面，為黑客提供了新的潛在入口點。目前，已知的軟件漏洞數(shù)量已超過 180,000 個，而且每年還在新發(fā)現(xiàn)數(shù)千個漏洞。

2、API攻擊引發(fā)以風險的關注

開放式 Web 應用程序安全項目 (OWASP) 發(fā)布了 API 十大安全漏洞名單，從新的名單中可以看出，API 攻擊占據(jù)的比重日益加大。

圖 ：新的 API 十大安全漏洞中包含更多與 API 相關的攻擊，并著重強調(diào)了授權問題（在前五大攻擊中占據(jù)四席）

3、傳統(tǒng)安全架構的防護窘境

隨著應用程序攻擊面的擴大，網(wǎng)絡犯罪分子發(fā)起了越來越復雜的多媒介攻擊。攻擊者經(jīng)常使用自動爬蟲程序、僵尸網(wǎng)絡和漏洞掃描器，借此成功入侵 IT 環(huán)境并接管用戶帳戶，從而竊取數(shù)據(jù)，破壞業(yè)務運營，并發(fā)起破壞性的網(wǎng)絡攻擊。面對復雜攻擊，傳統(tǒng)堆疊式、積木式、城防式的安全架構，存在漏洞多、兼容性差、笨重不靈活、缺少高效協(xié)同劣勢，無法有效應對越來越復雜的攻擊。

網(wǎng)絡安全面對的往往不單單是網(wǎng)絡安全，現(xiàn)代應用的無邊界化，傳統(tǒng)網(wǎng)絡安全防護體系已不能適應新的威脅，網(wǎng)絡安全與數(shù)據(jù)安全問題錯綜復雜，任意一個漏洞都可能直接造成數(shù)據(jù)安全泄漏。因此，企業(yè)必須尋求可以更全面地應對日常安全威脅的集成解決方案，一種更新的方案，將安全性融入持續(xù)集成/部署過程中。

圖 傳統(tǒng)“積木式、城防式架構”任意層漏洞都可直接造成數(shù)據(jù)泄漏

二、安全市場新技術方向及趨勢分析

2023年9月，Gartner發(fā)布2023年數(shù)據(jù)安全五大新興技術，在此文中，Gartner認為，應對量子計算威脅、安全工具的融合和集成以及管理未知的影子IT數(shù)據(jù)是當務之急。

1、單點解決方案存在明顯短板

據(jù)統(tǒng)計數(shù)據(jù)顯示，50% 的大公司和 42% 的中小型公司（SMB）認為，與舊版系統(tǒng)的兼容性問題是采用安全流程和安全技術的一大障礙。

當今企業(yè)大多傾向于從多家供應商購買單個產(chǎn)品或單點解決方案，然后選擇功能最好、成本最低的產(chǎn)品來滿足不同方面的安全要求。但是，這種方法會使基礎設施碎片化，從長期來看，這反而需要付出更高的成本和大量的時間進行管理。此外，碎片化的安全環(huán)境還可能會存在缺口，不僅讓攻擊者有機可乘，而且會導致額外的成本。

圖 對采用安全解決方案時存在多種障礙表示認同的大公司和中小型公司的比例

2、安全工具的融合與集成效能更高

廣泛使用各種安全產(chǎn)品與安全工具固然很好，但構建立體防護會是更好的選擇。企業(yè)開始尋求融合與集成安全解決方案，而不是購買大量不能交互操作且很難管理的技術。雖然集成解決方案的初期成本較高，但是此類系統(tǒng)更有可能預防 安全漏洞，而且從長期來看所需的維護和管理成本會更少。將安全解決方案融入運營流程，并采用更有效的工具。這些措施所能達到的效果，將遠遠超過單純采用單點解決方案。

綜合各方考慮，選擇安全工具融合與集成的架構是值得的，這比購買大量單點解決方案更高效、更簡單。

圖 中國的企業(yè)和其他國家/地區(qū)的企業(yè)對各種威脅防御工具的使用情況（單位：百分比）

3、AI Agent是開啟全面自動化的關鍵技術

大模型的出現(xiàn)，自主智能體(AI Agent)正逐漸成為全面自動化的新趨勢，AI智能體（AI Agent）是一種具備環(huán)境感知、決策制定和行動執(zhí)行能力的智能存在。與傳統(tǒng)AI的主要區(qū)別在于其能夠針對目標進行思考、決策和行動。只需一個目標，它就能自行規(guī)劃和實施策略，利用外界反饋和自我思考實現(xiàn)任務。Agent 的關鍵特點是感知環(huán)境、自主決策、具備行動能力，設定明確的目標和任務，適應環(huán)境及學習能力。

圖 AI Agent(AI 智能體)

三、WAAP-網(wǎng)絡與數(shù)據(jù)安全工具融合與集成方案

圖 通付盾WAAP解決方案

通付盾WAAP是一種能夠不斷自我學習和適應最新攻擊行為的網(wǎng)絡與數(shù)據(jù)安全防護技術集合，是一款具有可視化拖拽功能的自動化編排安全體系產(chǎn)品，是一個融合AI Agent（AI智能體）、Web應用防護、API安全、Bot管理、DDOS緩解、風險智能決策等功能的安全工具集成解決方案。通付盾WAAP采用現(xiàn)代技術自適應體系，融合策略、模型、圖譜分析進行實時甄別欺詐及批量風險決策，自適應引擎可對復雜環(huán)境變化進行快速配置及管理，能夠自主分析網(wǎng)絡中傳輸?shù)臄?shù)據(jù)和流量，有效識別并智能攔截惡意攻擊，保障現(xiàn)代應用網(wǎng)絡與數(shù)據(jù)安全。

1、解決傳統(tǒng)Web防護短板

現(xiàn)代 Web 應用程序的發(fā)展，惡意攻擊者用來破壞應用程序安全性的技術也在不斷發(fā)展。有了新的功能和特性，攻擊者有更多的表面積可以嘗試和瞄準。敏捷方法和 DevOps 實踐的采用也導致開發(fā)、軟件更新和新功能發(fā)布的步伐迅速加快。

這些發(fā)展趨勢也導致傳統(tǒng)的 Web 應用防火墻 (WAF) 無法跟上安全需求。 WAF 通常依賴于手動調(diào)整和持續(xù)維護，并且通常只監(jiān)控開放 Web 應用程序安全項目（OWASP Top 10）列出的前 10 大最嚴重威脅。所有這一切意味著當今的開發(fā)人員、應用程序安全團隊和 DevOps 需要一個更好的解決方案來提供可隨 Web 應用程序部署擴展的安全性。

2、集成融合形成立體防護

Web 應用程序安全市場不斷發(fā)展以跟上新數(shù)字經(jīng)濟的步伐。雖然 Web 應用程序防火墻 (WAF) 已被證明是緩解應用程序漏洞的有效工具，但 API 的激增和攻擊者復雜程度的提高引發(fā)了 WAF、API 安全、機器人防御、DDoS 緩解和應用程序基礎設施保護的融合。 WAAP 解決方案可保護應用程序免遭泄露、停機和欺詐。

競爭激烈的數(shù)字環(huán)境促使組織采用現(xiàn)代軟件開發(fā)來在市場中取得領先地位，從而實現(xiàn)快速發(fā)布周期以引入新功能以及集成、前端用戶界面和后端 API 的混搭。因此，新的數(shù)字經(jīng)濟需要 Web 應用程序安全進入新時代，以安全地釋放創(chuàng)新、有效管理風險并降低運營復雜性。

3、WAAP是網(wǎng)絡與數(shù)據(jù)安全工具的融合與集成

傳統(tǒng)Web安全防護更多的點在網(wǎng)絡安全層面，針對數(shù)據(jù)安全需要另外的數(shù)據(jù)安全產(chǎn)品來補充，一方面，面對不斷變化的網(wǎng)絡威脅，針對傳統(tǒng)Web防護，需要進化與革新，另一方面也需要提供統(tǒng)一的整體防護。WAAP全稱是Web應用程序與API保護，它是一個網(wǎng)絡安全實現(xiàn)的集合，通過一系列自動伸縮的、云原生的安全模型來保護API和Web應用程序，同時降低機器人掃描的風險，每個模型都有不同的策略來提高安全性，幫助客戶提高應用程序的性能與防護能力。以往要解決這些Web問題分別要不同產(chǎn)品和服務獲得保護，但是通過WAAP解決方案，可由一個產(chǎn)品或服務就可以提供統(tǒng)一的整體防護，并由一個廠商為解決方案提供支持。

四、WAAP解決的問題

WAAP 解決方案通過集成各種安全控制措施來保護應用，從而降低系統(tǒng)入侵、數(shù)據(jù)泄露、帳戶接管和應用停機的風險，包括：

Web 應用防火墻 (WAF)

Bot 管理

API 安全

DDoS 緩解

圖 Web應用和API保護（WAAP）

WAAP通過對API進行漏洞掃描和修復，發(fā)現(xiàn)及管理數(shù)據(jù)資產(chǎn)，及時發(fā)現(xiàn)并修復API中的安全漏洞；

通過對API訪問進行控制和監(jiān)控，防止未經(jīng)授權的訪問和惡意攻擊；

通過Web動態(tài)防御，隱藏攻擊入口，提升站點內(nèi)容保護力度，提高攻擊者的攻擊成本；

通過基于特征、行為、人機識別等模型，識別與攔截自動化攻擊，防范數(shù)據(jù)爬取，保護數(shù)據(jù)資產(chǎn)；

通過智能決策，動態(tài)應用配置，防范應用層DDOS，降低服務負載，防止過量攻擊。

通過體系化的安全模型及防護措施，加強API安全管理，防御自動化攻擊，防范數(shù)據(jù)泄露。

五、WAAP解決方案的作用

1、減少應用程序漏洞

保護應用程序免受關鍵風險（例如 OWASP Top10中列出的威脅）,針對注入和跨站點腳本 (XSS) 等常見漏洞提供防護措施，并緩解針對復雜軟件供應鏈、第三方集成和跨云安全配置錯誤的新興風險。

2、API安全

通過敏感數(shù)據(jù)的深度發(fā)現(xiàn)和分類來檢測 API，為所有 API資產(chǎn)，并提供持續(xù)保護，對所有端點的全面 API 發(fā)現(xiàn)和敏感數(shù)據(jù)分類，消除數(shù)據(jù)泄漏和 API 濫用的威脅。

3、減少機器人和濫用行為

正如企業(yè)采用自動化來提高流程效率一樣，攻擊者也利用機器人和自動化來擴大攻擊規(guī)模、繞過安全對策并接管客戶帳戶。WAAP解決方案保持彈性并自動適應攻擊者的變化，而不依賴于以往常規(guī)的安全控制，從而確保業(yè)務成功。

4、防御 DDoS 攻擊

各種規(guī)模的組織都面臨著遭受拒絕服務攻擊的風險。這些攻擊的共同目標是破壞性能和可用性，但攻擊本身各不相同。WAAP解決方案可連接到任何架構，以對抗對業(yè)務面臨的 DoS 和 DDoS 攻擊。

六、企業(yè)上線WAAP方案利益分析

1、實現(xiàn)廣泛的防護

獲得針對所有網(wǎng)站、應用程序和 API 提供的全面保護，使其免受廣泛的網(wǎng)絡威脅，包括自動僵尸網(wǎng)絡、基于 API 的攻擊、注入攻擊和大規(guī)模拒絕服務攻擊等。

2、減少 API 攻擊面

自動發(fā)現(xiàn)并保護 API 免受漏洞影響，降低 API 攻擊面風險，可自動持續(xù)分析流量以發(fā)現(xiàn)已知、未知和不斷變化的 API（包括其端點、定義和特征），然后使用簡單易行的工作流來保護 API 免受 DDoS、注入和撞庫攻擊的侵擾。比如 OWASP 十大威脅、OWASP 十大 API 威脅，等等

3、用更少的資源完成更多的工作

通過單一解決方案管理 WAAP 保護、爬蟲程序監(jiān)測和抵御、DDoS 防護、Web 優(yōu)化、API 加速等。

4、自定義 WAAP 規(guī)則。

針對突發(fā)業(yè)務安全問題可提供應急調(diào)整，安全團隊可以短時間用較少工作量輕松生成自定義規(guī)則，以管理標準保護措施未涵蓋的情形。

5、阻止 DDoS 攻擊

WAAP能立即阻止應用層 DDoS 攻擊，降低服務負載，防止過量攻擊。

6、靈活展現(xiàn)動態(tài)分析

WAAP提供多維動態(tài)可視化分析的數(shù)據(jù)可視化工具，可視化工具制作的分析報表，能夠靈活、高效地滿足不同瀏覽者的數(shù)據(jù)分析需求，幫助瀏覽者層層分析、掌握數(shù)據(jù)發(fā)展變化、鎖定問題產(chǎn)生原因，輔助決策，幫助用戶快速解決問題。

7、自動更新 WAAP 保護措施

自動更新到自適應安全引擎中，從而提高安全防護效果，同時盡可能減少管理開銷和操作阻礙。

七、WAAP中應用的技術

1、Agent智能體技術

自適應是應用現(xiàn)代應用的重要能力，針對復雜多變的應用防護態(tài)勢，利用傳統(tǒng)僵硬的配置與應對顯然不能滿足現(xiàn)代應用防護需求。Agent能夠感知其環(huán)境并在一段時間內(nèi)對其采取行動以實現(xiàn)自身目標的技術應用，Agent可通過傳感器感知環(huán)境（收集信息）并通過執(zhí)行器作用于該環(huán)境（采取行動）的事物，可實現(xiàn)復雜流程自動化。智能體模擬，更加擬人可信，針對復雜場景，Agent可提高場景的適應及決策能力，提升決策效率及準確性。

2、API資產(chǎn)發(fā)現(xiàn)技術

數(shù)據(jù)安全保護的基礎要求就是摸清被保護的數(shù)據(jù)資產(chǎn)，數(shù)據(jù)資產(chǎn)梳理的關鍵技術首先是數(shù)據(jù)發(fā)現(xiàn)，摸清數(shù)據(jù)資產(chǎn)底數(shù)，形成完整的數(shù)據(jù)資產(chǎn)視圖，對數(shù)據(jù)進行全面的、細粒度的安全管理。API資產(chǎn)發(fā)現(xiàn)技術，可自動地發(fā)現(xiàn)業(yè)務潛在的API接口，失聯(lián)的接口、遺留API和歷史API，從API資產(chǎn)盤點，到API路徑折疊與規(guī)范化，再到進一步的敏感數(shù)據(jù)暴露面清點。通過對API接口進行梳理和盤點，讓運營者快速掌握API資產(chǎn)現(xiàn)狀，同時實時感知每個API接口的訪問情況，綜合進行監(jiān)控。

3、數(shù)據(jù)加密技術

數(shù)據(jù)加密技術是保護數(shù)據(jù)安全的關鍵技術手段，在數(shù)據(jù)生命周期的存儲、傳輸、交換階段都需要加密技術來保護數(shù)據(jù)安全。采用密碼技術中的加密保護技術，可以實現(xiàn)數(shù)據(jù)的保密性保護。利用實現(xiàn)加密的一段計算機程序，對數(shù)據(jù)進行加密，可產(chǎn)生形如亂碼的密文。攻擊者即使竊聽了密文，由于加密算法具有足夠的強度，也無法從密文中獲取有價值的信息。而擁有密鑰的一方，利用實現(xiàn)解密的一段計算機程序，可以從亂碼中恢復原來的數(shù)據(jù)。

4、數(shù)據(jù)脫敏技術

數(shù)據(jù)脫敏技術是對數(shù)據(jù)中包含的秘密或隱私信息進行數(shù)據(jù)變形處理，使用取整、量化、屏蔽、截斷、唯一替換、哈希、重排、格式保留加密等手段對敏感數(shù)據(jù)進行脫敏處理，使得惡意攻擊者無法通過經(jīng)過脫敏處理的數(shù)據(jù)中直接獲取敏感信息，從而實現(xiàn)對機密和隱私信息的保護。

5、數(shù)據(jù)水印技術

數(shù)據(jù)水印是通過一定的方法向數(shù)據(jù)中植入水印標記，從而使數(shù)據(jù)具有可識別分發(fā)者、分發(fā)對象、分發(fā)時間、分發(fā)目的等因素，同時保留目標環(huán)境業(yè)務所需的數(shù)據(jù)特性或內(nèi)容的數(shù)據(jù)處理過程，通過數(shù)字水印技術，解決企業(yè)一旦發(fā)生數(shù)據(jù)泄露，缺少追蹤辦法，無法溯源定責的痛點問題。

6、人工智能技術

人工智能技術可實現(xiàn)數(shù)據(jù)分類和合規(guī)分析。通過人工智能算法訓練加密流量檢測模型，對異常數(shù)據(jù)傳輸進行分析。通過機器學習檢測網(wǎng)絡中異常行為，檢測網(wǎng)絡攻擊，自動形成應對的操作，減少針對數(shù)據(jù)攻擊的危險。

7、API運行時保護技術

API運行時保護技能通過流量動態(tài)分析能力，對API流量進行認證鑒權、攻擊防護、流量控制、日志監(jiān)控等操作。對未經(jīng)身份驗證的API進行阻斷，可防止未經(jīng)驗證的API訪問敏感數(shù)據(jù)資源；對傳輸過程中的數(shù)據(jù)進行檢測，防止敏感數(shù)據(jù)泄露和提交惡意執(zhí)行文件；對API訪問流量進行監(jiān)測和控制，防止惡意攻擊和破解API，造成數(shù)據(jù)泄露和服務資源浪費，影響正常業(yè)務開展。

8、決策智能技術

決策智能技術是指整合設備指紋探針、深度學習、關聯(lián)分析等多項技術，在海量數(shù)據(jù)分析的基礎上，建立全面精準的規(guī)則引擎，通過事前預警，事中管控，事后關聯(lián)分析，全程實時監(jiān)測業(yè)務數(shù)據(jù)潛在威脅，動態(tài)預警數(shù)據(jù)欺詐風險，及時阻斷危險操作。

八、總結

現(xiàn)代Web應用的興起，引發(fā)Web應用安全、API安全、運行安全、網(wǎng)絡安全及業(yè)務欺詐安全等問題聚合出現(xiàn)。自動化攻擊技術的不斷發(fā)展，也讓攻擊的難度降低，進一步加劇了Web與API安全問題的嚴重性。保護網(wǎng)絡與數(shù)據(jù)安全問題，需要突破傳統(tǒng)架構局限，升級現(xiàn)有架構與安全防護能力，以自適應、自動化、智能化為核心，以網(wǎng)絡與數(shù)據(jù)安全工具的融合與集成方案-WAAP為著手，提升各安全工具間的兼容性，加強各組件協(xié)同性能，降低運維成本，提高效率，增強企業(yè)應用程序防護及數(shù)據(jù)保護能力，更好地保障Web應用與API的可靠性和穩(wěn)定性，確保數(shù)據(jù)的完整性和安全性，切實做到立體防御，降本增效。