(資料圖片僅供參考)

21世紀(jì)經(jīng)濟(jì)報(bào)道記者白楊 北京報(bào)道

6月30日下午，網(wǎng)宿科技子品牌網(wǎng)宿安全發(fā)布了《2022年Web安全觀察報(bào)告》(以下簡稱“報(bào)告”）。報(bào)告指出，2022年，網(wǎng)宿安全平臺(tái)共檢測到2700萬次針對(duì)Log4shell各個(gè)變種漏洞的利用，而針對(duì)API的攻擊占比首次突破50%，達(dá)到了58.4%，API上升為黑產(chǎn)攻擊的頭號(hào)目標(biāo)。

對(duì)此，網(wǎng)宿科技副總裁、首席安全官呂士表呂士表分析認(rèn)為，核心原因在于企業(yè)對(duì)自身API資產(chǎn)現(xiàn)狀不清，存在未知的僵尸API、影子API等，大量的敏感數(shù)據(jù)暴露在API之上，給攻擊者留下了突破口。同時(shí)API沒有上下文，攻擊成本較低，攻擊者通過簡單的網(wǎng)絡(luò)請(qǐng)求即可獲取數(shù)據(jù)或者進(jìn)行攻擊。

DDoS攻擊方面，2022年DDoS攻擊日均發(fā)生43.92萬次，同比增長103.8%，T級(jí)以上DDoS攻擊頻發(fā)，全年最高攻擊峰值達(dá)到2.09Tbps。報(bào)告稱，當(dāng)前的攻擊規(guī)模已經(jīng)遠(yuǎn)遠(yuǎn)超過單個(gè)數(shù)據(jù)中心的防護(hù)能力，運(yùn)營商、大型的公有云以及分布式的CDN跟邊緣計(jì)算廠商成為大規(guī)模DDoS攻擊的防護(hù)主力軍。

而Bot攻擊也持續(xù)倍增，2022年Bot攻擊平均每秒發(fā)生約5175次，攻擊量為2021年的1.93倍、2020年的4.5倍。與此同時(shí)，Bot攻擊手法也變得更加隱蔽，不僅是通過偽造正常的User-Agent或者模擬正常瀏覽器做自動(dòng)化框架的攻擊，還通過模擬人的行為規(guī)避成熟的Bot檢測，使得防御難度進(jìn)一步加大。

值得注意的是，隨著API廣泛應(yīng)用于各個(gè)在線業(yè)務(wù)，涉及交易、賬號(hào)敏感相關(guān)的環(huán)節(jié)都備受灰黑產(chǎn)關(guān)注，在線業(yè)務(wù)欺詐風(fēng)險(xiǎn)驟升。報(bào)告發(fā)現(xiàn)，黑灰產(chǎn)已高度成熟，通過大量自動(dòng)化、流程化的方式進(jìn)行業(yè)務(wù)欺詐，并貫穿于整個(gè)在線業(yè)務(wù)場景。在注冊、登錄、營銷場景下，自動(dòng)化攻擊占比均在50%以上。

此外，Web安全威脅趨于多樣化，同時(shí)遇到2種以上威脅的Web業(yè)務(wù)占比高達(dá)87%，遇到3種以上威脅的Web業(yè)務(wù)占比仍達(dá)65%。

呂士表指出，傳統(tǒng)WAF（web應(yīng)用防護(hù)系統(tǒng)）已無法應(yīng)對(duì)日益嚴(yán)峻的Web安全形勢，行業(yè)亟需新的安全防護(hù)方案，而WAAP成為首選。

據(jù)悉，WAAP全稱Web Application and API Protection，是集DDoS防護(hù)、WAF、Bot管理、API防護(hù)于一體的下一代Web安全防護(hù)解決方案，可實(shí)現(xiàn)從基礎(chǔ)設(shè)施防護(hù)、Web應(yīng)用防護(hù)、API管理與防護(hù)以及自動(dòng)化工具管理與威脅防御。

標(biāo)簽：