文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

网宿安全2022年Web安全观察报告:API成头号攻击目标,DDoS、Bot攻击倍增

2024-11-30 11:46

关注

据悉,此次发布会是网安行业首个由虚拟数字人主持的发布会,运用了网宿科技旗下一站式虚拟数字人直播产品网宿虚拟直播,打破次元壁,实现虚实相融,为公众呈现了一场别开生面的安全趋势解读。

会上,网宿科技副总裁、首席安全官吕士表指出,《报告》折射出Web安全面临的威胁愈发严峻,主要体现在几大方面:一是高危Web漏洞持续爆发;二是API已成灰黑产的头号攻击目标;三是DDoS攻击翻番增长,Tbps级别成为常态;四是Bot攻击成倍攀升,自动化攻击强度加大;五是在线业务欺诈风险显著提高;六是多样化威胁层出不穷,亟需新的安全防护方案。

具体来看,2022年,网宿安全平台共检测到2700万次针对Log4shell各个变种漏洞的利用,并且诸如Apache Fineract路径遍历漏洞、OpenSSL安全漏洞、SQLite输入验证错误漏洞等大量新的高危漏洞不断涌现。而针对API的攻击占比首次突破50%,达到了58.4%,API上升为黑产攻击的头号目标。

吕士表分析认为,核心原因在于企业对自身API资产现状不清,存在未知的僵尸API、影子API等,大量的敏感数据暴露在API之上,给攻击者留下了突破口。同时API没有上下文,攻击成本较低,攻击者通过简单的网络请求即可获取数据或者进行攻击。

DDoS攻击方面,《报告》显示,2022年DDoS攻击日均发生43.92万次,同比增长103.8%,T级以上DDoS攻击频发,全年最高攻击峰值达到2.09Tbps。当前的攻击规模已经远远超过单个数据中心的防护能力,运营商、大型的公有云以及分布式的CDN跟边缘计算厂商成为大规模DDoS攻击的防护主力军。

Bot攻击则持续倍增。2022年,Bot攻击平均每秒发生约5175次,攻击量为2021年的1.93倍、2020年的4.5倍。Bot攻击手法更加隐蔽,不仅是通过伪造正常的User-Agent或者模拟正常浏览器做自动化框架的攻击,还通过模拟人的行为规避成熟的Bot检测,使得防御难度进一步加大。

值得注意的是,随着API广泛应用于各个在线业务,涉及交易、账号敏感相关的环节都备受灰黑产关注,在线业务欺诈风险骤升。《报告》发现,黑灰产已高度成熟,通过大量自动化、流程化的方式进行业务欺诈,并贯穿于整个在线业务场景。在注册、登录、营销场景下,自动化攻击占比均在50%以上。

此外,Web安全威胁趋于多样化,同时遇到2种以上威胁的Web业务占比高达87%,遇到3种以上威胁的Web业务占比仍达65%。传统WAF难以覆盖如此多样化的威胁,行业亟需升级安全防线。

对此,吕士表进一步指出,从客户服务端到流量侧的边界再到用户访问的第一公里,每个环节都需要相应的防护能力,而从纵深的角度来看,这就意味着需要3-7层的一体化防护。目前,云WAAP是公认的首选。

WAAP全称Web Application and API Protection,根据Gartner的定义,WAAP是集DDoS防护、WAF、Bot管理、API防护于一体的下一代Web安全防护解决方案,实现从基础设施防护、Web应用防护、API管理与防护,以及自动化工具管理与威胁防御。

据悉,网宿安全于2017年发布了全国首个安全加速解决方案,具备CDN加速和DDoS防护、WAF一体化能力,随后增加了Bot管理、API管理与安全能力,实现了WAAP的全栈能力。

此前,网宿安全在业内首家通过了信通院“WAAP安全能力评估”。另外根据国际数据公司IDC报告数据,网宿安全在《IDC MarketShare:中国公有云抗DDoS市场份额,2022》报告中以5.4%的市场份额位列第五,成为前五阵营中唯一一家非公有云计算厂商,而在IDC《中国云Web应用防火墙市场份额,2022》报告中,网宿安全也以5.3%的市场份跻身前五。

“目前,从国有银行、到大型的央企到跨国的企业都在广泛使用网宿安全WAAP一体化全栈安全体系。”吕士表表示。

据了解,此次《报告》是网宿安全连续第七年面向外界输出专业安全报告,由网宿演武安全实验室基于网宿全球边缘计算及边缘安全平台的监测数据,进行深入挖掘分析而来。依托在全球部署的20多万台服务器、2,800多个节点,网宿平台服务80%的中国网民,日均承载万亿级请求流量,捕获30亿+攻防样本,平台整体防护规模超过15Tbps。

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯