网宿安全2022年Web安全观察报告：API成头号攻击目标

　　6月30日，网宿科技子品牌网宿安全在线上召开2022年度互联网安全报告发布会，正式发布《2022年Web安全观察报告》(以下简称《报告》、《零信任安全白皮书》以及《SASE安全访问服务边缘白皮书》。

　　据悉，此次发布会是网安行业首个由虚拟数字人主持的发布会，运用了网宿科技旗下一站式虚拟数字人直播产品网宿虚拟直播，打破次元壁，实现虚实相融，为公众呈现了一场别开生面的安全趋势解读。

　　会上，网宿科技副总裁、首席安全官吕士表指出，《报告》折射出Web安全面临的威胁愈发严峻，主要体现在几大方面：一是高危Web漏洞持续爆发；二是API已成灰黑产的头号攻击目标；三是DDoS攻击翻番增长，Tbps级别成为常态；四是Bot攻击成倍攀升，自动化攻击强度加大；五是在线业务欺诈风险显著提高；六是多样化威胁层出不穷，亟需新的安全防护方案。

　　具体来看，2022年，网宿安全平台共检测到2700万次针对Log4shell各个变种漏洞的利用，并且诸如Apache Fineract路径遍历漏洞、OpenSSL安全漏洞、SQLite输入验证错误漏洞等大量新的高危漏洞不断涌现。而针对API的攻击占比首次突破50%，达到了58.4%，API上升为黑产攻击的头号目标。

　　吕士表分析认为，核心原因在于企业对自身API资产现状不清，存在未知的僵尸API、影子API等，大量的敏感数据暴露在API之上，给攻击者留下了突破口。同时API没有上下文，攻击成本较低，攻击者通过简单的网络请求即可获取数据或者进行攻击。

　　DDoS攻击方面，《报告》显示，2022年DDoS攻击日均发生43.92万次，同比增长103.8%，T级以上DDoS攻击频发，全年最高攻击峰值达到2.09Tbps。当前的攻击规模已经远远超过单个数据中心的防护能力，运营商、大型的公有云以及分布式的CDN跟边缘计算厂商成为大规模DDoS攻击的防护主力军。

　　Bot攻击则持续倍增。2022年，Bot攻击平均每秒发生约5175次，攻击量为2021年的1.93倍、2020年的4.5倍。Bot攻击手法更加隐蔽，不仅是通过伪造正常的User-Agent或者模拟正常浏览器做自动化框架的攻击，还通过模拟人的行为规避成熟的Bot检测，使得防御难度进一步加大。

　　值得注意的是，随着API广泛应用于各个在线业务，涉及交易、账号敏感相关的环节都备受灰黑产关注，在线业务欺诈风险骤升。《报告》发现，黑灰产已高度成熟，通过大量自动化、流程化的方式进行业务欺诈，并贯穿于整个在线业务场景。在注册、登录、营销场景下，自动化攻击占比均在50%以上。

　　此外，Web安全威胁趋于多样化，同时遇到2种以上威胁的Web业务占比高达87%，遇到3种以上威胁的Web业务占比仍达65%。传统WAF难以覆盖如此多样化的威胁，行业亟需升级安全防线。

　　对此，吕士表进一步指出，从客户服务端到流量侧的边界再到用户访问的第一公里，每个环节都需要相应的防护能力，而从纵深的角度来看，这就意味着需要3-7层的一体化防护。目前，云WAAP是公认的首选。

　　WAAP全称Web Application and API Protection，根据Gartner的定义，WAAP是集DDoS防护、WAF、Bot管理、API防护于一体的下一代Web安全防护解决方案，实现从基础设施防护、Web应用防护、API管理与防护，以及自动化工具管理与威胁防御。

　　据悉，网宿安全于2017年发布了全国首个安全加速解决方案，具备CDN加速和DDoS防护、WAF一体化能力，随后增加了Bot管理、API管理与安全能力，实现了WAAP的全栈能力。

　　此前，网宿安全在业内首家通过了信通院“WAAP安全能力评估”。另外根据国际数据公司IDC报告数据，网宿安全在《IDC MarketShare：中国公有云抗DDoS市场份额，2022》报告中以5.4%的市场份额位列第五，成为前五阵营中唯一一家非公有云计算厂商，而在IDC《中国云Web应用防火墙市场份额，2022》报告中，网宿安全也以5.3%的市场份跻身前五。

　　“目前，从国有银行、到大型的央企到跨国的企业都在广泛使用网宿安全WAAP一体化全栈安全体系。”吕士表表示。

　　据了解，此次《报告》是网宿安全连续第七年面向外界输出专业安全报告，由网宿演武安全实验室基于网宿全球边缘计算及边缘安全平台的监测数据，进行深入挖掘分析而来。依托在全球部署的20多万台服务器、2,800多个节点，网宿平台服务80%的中国网民，日均承载万亿级请求流量，捕获30亿+攻防样本，平台整体防护规模超过15Tbps。