(资料图片仅供参考)

21世纪经济报道记者白杨 北京报道

6月30日下午,网宿科技子品牌网宿安全发布了《2022年Web安全观察报告》(以下简称“报告”)。报告指出,2022年,网宿安全平台共检测到2700万次针对Log4shell各个变种漏洞的利用,而针对API的攻击占比首次突破50%,达到了58.4%,API上升为黑产攻击的头号目标。

对此,网宿科技副总裁、首席安全官吕士表吕士表分析认为,核心原因在于企业对自身API资产现状不清,存在未知的僵尸API、影子API等,大量的敏感数据暴露在API之上,给攻击者留下了突破口。同时API没有上下文,攻击成本较低,攻击者通过简单的网络请求即可获取数据或者进行攻击。

DDoS攻击方面,2022年DDoS攻击日均发生43.92万次,同比增长103.8%,T级以上DDoS攻击频发,全年最高攻击峰值达到2.09Tbps。报告称,当前的攻击规模已经远远超过单个数据中心的防护能力,运营商、大型的公有云以及分布式的CDN跟边缘计算厂商成为大规模DDoS攻击的防护主力军。

而Bot攻击也持续倍增,2022年Bot攻击平均每秒发生约5175次,攻击量为2021年的1.93倍、2020年的4.5倍。与此同时,Bot攻击手法也变得更加隐蔽,不仅是通过伪造正常的User-Agent或者模拟正常浏览器做自动化框架的攻击,还通过模拟人的行为规避成熟的Bot检测,使得防御难度进一步加大。

值得注意的是,随着API广泛应用于各个在线业务,涉及交易、账号敏感相关的环节都备受灰黑产关注,在线业务欺诈风险骤升。报告发现,黑灰产已高度成熟,通过大量自动化、流程化的方式进行业务欺诈,并贯穿于整个在线业务场景。在注册、登录、营销场景下,自动化攻击占比均在50%以上。

此外,Web安全威胁趋于多样化,同时遇到2种以上威胁的Web业务占比高达87%,遇到3种以上威胁的Web业务占比仍达65%。

吕士表指出,传统WAF(web应用防护系统)已无法应对日益严峻的Web安全形势,行业亟需新的安全防护方案,而WAAP成为首选。

据悉,WAAP全称Web Application and API Protection,是集DDoS防护、WAF、Bot管理、API防护于一体的下一代Web安全防护解决方案,可实现从基础设施防护、Web应用防护、API管理与防护以及自动化工具管理与威胁防御。

推荐内容