Web应用安全迈向智能融合时代 瑞数信息推出ALL IN ONE 一站式WAAP解决方案

至顶网网络与安全频道 07月10日 综合消息：新技术、新应用的蓬勃发展，驱动了安全创新变革，企业数字化进程不断加速，客户需求和Web应用场景愈加广泛，更多门户网站、核心业务、交易平台等日益依赖Web和APP开展。与此同时，越来越多的开放性API业务也正在蓬勃发展，成为企业数字化转型的重要内容。伴随流量的提升，API业务带来的Web敞口风险和风险管控链条的扩大，不仅各种利用Web应用漏洞进行攻击的事件正在与日俱增，各类工具化、智能化、拟人化的Bots攻击对数字化业务的影响也在快速攀升。

这使得解决Web安全的主流技术——WAF传统技术面临各种挑战。越来越多的企业对WAF的防御有效性、业务性能影响性以及高昂的维护成本等问题产生不满和质疑。

Web安全的四大类“新难题”

Ø 难管理，Web安全到底怎么管?

各类应用层安全系统各自为政，缺乏有效的联动和统一编排，切实的安全风险应对能力难以真正得到提升，业务的不断变化使得安全防护是一个体系化工作，管理员和安全团队很难及时掌握最新的攻击和保护措施，如何保障业务关键型Web应用程序免受常见攻击，才能满足更加严格的合规性要求?

Ø 难融合，各类Web安全服务能否统一形成闭环?

不同应用安全层的各类设备及系统，在使用时也由不同厂商提供服务，这就对安全产品的多形态部署能力、协同联动能力提出了很高要求，然而实际上，现有的Web安全服务彼此之间常常出现难以融合的局面，无法实现统一的安全服务闭环。

Ø 难适应，业务三天一调整，政策半年一变化?

当前，随着业务和监管要求的不断变化，新的安全建设在完成之后，仍需不断调整Web安全策略，API业务的调整周期甚至以天为单位。但当那些专注API或是更复杂的业务威胁，比如证书填充、应用逻辑漏洞利用、Bots泛滥导致的API接口被滥用及0day利用来临时，运维管理却复杂低效，乃至束手无策。

Ø 难上线，误报、漏报怎么办?

基于特征匹配和静态签名/规则的传统Web安全检测技术，误报和漏报是一对较难调和的矛盾，通常在应用变更时花费大量时间进行规则调优。而由于误报问题，在生产环境中可能仅启用相对有限的检测规则，这导致Web安全技术被绕过的概率增加。

尝试解决上述难点，需要认真考虑以下三个基本点：

基于业务发展的“一个中心，三个基本点”，安全需要以业务为中心，通过协作为业务提供可持续性保障，当业务不断发展时，安全架构应该是持续动态变化相适应的。

Ø 基本点一：Web应用架构向服务化架构变迁

Web应用架构正从传统的三层架构(Web服务器-应用服务器-数据库)向服务化(API、可编程)架构变迁。基础架构的变化，应用异构混合运行于传统机架服务器上、云上。软件开发模式在DevOps基础上迭代越来越快，业务上线频次从月到周，也可能是天，对Web安全服务提出了更灵活、适配性更强的高要求。

Ø 基本点二：AI、机器学习、行为分析、可编程对抗等新技术突破传统WAF局限

投入相当多资金购买的传统WAF产品，虽然可以顺利通过合规性检查，然而在技术上却有其局限。通过应用学习的WAF，根本无法自适应业务的更改，常常触发基于异常的规则防护;而基于语义分析的 WAF，则仍然不具备对未知威胁的进化适应能力，只能处于被动应对状态，人工添加黑白名单对 WAF 进行防护策略调整。这类WAF 产品安全防护的误报率和漏报率，影响业务使用迟迟不能上线。因此从技术发展趋势上看，人工智能、机器学习、行为分析、可编程对抗等技术的融入必然成为WAF产品升级的新要求。

Ø 基本点三：提升对Bots自动化威胁的防护

随着自动化攻击手段的发展，业务系统面临的攻击类型也越来越多，OWASP最新发布的《Automated Threat Handbook》中提到的自动化威胁已达到21种之多。有咨询机构称，“到2023年，网络中Bot流量的比例将会超过‘人的请求流量’。”

但与此同时，相对于传统安全攻防，企业普遍缺乏对于Bots攻击的认知和防护。Bots流量完全异于之前面对的SQL注入、XSS、漏洞扫描等行为，特别是To B业务中，Bots流量大量存在于第三方接口调用的业务之中，无法依靠简单的阻断来阻止威胁，如何将Bots管理纳入到企业应用和业务威胁管理架构中是各大客户急需解决的一个问题。

Web安全问题的“新高度”：WAAP安全框架

Gartner指出，到2023年，30%以上面向公众的Web应用程序和API将受到云Web应用程序和API保护(WAAP)服务的保护，WAAP服务结合了分布式拒绝服务(DDoS)防御、机器人程序缓解(Bot Mitigation)、API保护和WAF。

瑞数ALL IN ONE 一站式WAAP解决方案

以瑞数信息颠覆性的“动态防御”+“AI智能双引擎”为技术基石，可以与本地、各类云端充分整合，支持WAF、Bots管理、API防护独立或联合部署，提供多层级的联动防御机制，令企业安全地将各类Web业务和应用交付在混合架构中，实现Web安全一体化防御：

ü 动态防御，主动应对已知和未知威胁;

ü AI智能检测，深度识别，精准检测低误报;

ü Bot防护，区分自动化与人类流量;

ü 应用层DDOS保护，运维效率显著提升;

ü 快速部署，易于使用，自动化响应流程;

ü 同时支持内部使用及面向公众的Web应用和API。

瑞数信息利用动态技术隐藏攻击入口，主动识别和阻挡传统防护手段乏力的Bots自动化攻击，同时利用AI人工智能技术，将安全数据与海量威胁情报分析相结合，为用户提供全景的安全威胁可视、攻击溯源定位等功能，为企业客户提供从基础设施到业务的全方位安全保护。

　瑞数WAAP解决方案四大变革

Ø Web应用协同防护

融合传统架构及云上应用多场景的适配和可扩展性，从传统网络边界，迁移到各种 Web应用、APP应用和API云服务，构建集中于业务逻辑、用户、数据和应用的可信安全架构，全面抵挡新的安全威胁。

Ø 安全技术变革，化被动为“主动防御”

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!