6月30日，網(wǎng)宿科技子品牌網(wǎng)宿安全在線上召開2022年度互聯(lián)網(wǎng)安全報告發(fā)布會，正式發(fā)布《2022年Web安全觀察報告》(以下簡稱《報告》、《零信任安全白皮書》以及《SASE安全訪問服務邊緣白皮書》。

據(jù)悉，此次發(fā)布會是網(wǎng)安行業(yè)首個由虛擬數(shù)字人主持的發(fā)布會，運用了網(wǎng)宿科技旗下一站式虛擬數(shù)字人直播產(chǎn)品網(wǎng)宿虛擬直播，打破次元壁，實現(xiàn)虛實相融，為公眾呈現(xiàn)了一場別開生面的安全趨勢解讀。

會上，網(wǎng)宿科技副總裁、首席安全官呂士表指出，《報告》折射出Web安全面臨的威脅愈發(fā)嚴峻，主要體現(xiàn)在幾大方面：一是高危Web漏洞持續(xù)爆發(fā)；二是API已成灰黑產(chǎn)的頭號攻擊目標；三是DDoS攻擊翻番增長，Tbps級別成為常態(tài)；四是Bot攻擊成倍攀升，自動化攻擊強度加大；五是在線業(yè)務欺詐風險顯著提高；六是多樣化威脅層出不窮，亟需新的安全防護方案。

具體來看，2022年，網(wǎng)宿安全平臺共檢測到2700萬次針對Log4shell各個變種漏洞的利用，并且諸如Apache Fineract路徑遍歷漏洞、OpenSSL安全漏洞、SQLite輸入驗證錯誤漏洞等大量新的高危漏洞不斷涌現(xiàn)。而針對API的攻擊占比首次突破50%，達到了58.4%，API上升為黑產(chǎn)攻擊的頭號目標。

呂士表分析認為，核心原因在于企業(yè)對自身API資產(chǎn)現(xiàn)狀不清，存在未知的僵尸API、影子API等，大量的敏感數(shù)據(jù)暴露在API之上，給攻擊者留下了突破口。同時API沒有上下文，攻擊成本較低，攻擊者通過簡單的網(wǎng)絡請求即可獲取數(shù)據(jù)或者進行攻擊。

DDoS攻擊方面，《報告》顯示，2022年DDoS攻擊日均發(fā)生43.92萬次，同比增長103.8%，T級以上DDoS攻擊頻發(fā)，全年最高攻擊峰值達到2.09Tbps。當前的攻擊規(guī)模已經(jīng)遠遠超過單個數(shù)據(jù)中心的防護能力，運營商、大型的公有云以及分布式的CDN跟邊緣計算廠商成為大規(guī)模DDoS攻擊的防護主力軍。

Bot攻擊則持續(xù)倍增。2022年，Bot攻擊平均每秒發(fā)生約5175次，攻擊量為2021年的1.93倍、2020年的4.5倍。Bot攻擊手法更加隱蔽，不僅是通過偽造正常的User-Agent或者模擬正常瀏覽器做自動化框架的攻擊，還通過模擬人的行為規(guī)避成熟的Bot檢測，使得防御難度進一步加大。

值得注意的是，隨著API廣泛應用于各個在線業(yè)務，涉及交易、賬號敏感相關的環(huán)節(jié)都備受灰黑產(chǎn)關注，在線業(yè)務欺詐風險驟升?！秷蟾妗钒l(fā)現(xiàn)，黑灰產(chǎn)已高度成熟，通過大量自動化、流程化的方式進行業(yè)務欺詐，并貫穿于整個在線業(yè)務場景。在注冊、登錄、營銷場景下，自動化攻擊占比均在50%以上。

此外，Web安全威脅趨于多樣化，同時遇到2種以上威脅的Web業(yè)務占比高達87%，遇到3種以上威脅的Web業(yè)務占比仍達65%。傳統(tǒng)WAF難以覆蓋如此多樣化的威脅，行業(yè)亟需升級安全防線。

對此，呂士表進一步指出，從客戶服務端到流量側的邊界再到用戶訪問的第一公里，每個環(huán)節(jié)都需要相應的防護能力，而從縱深的角度來看，這就意味著需要3-7層的一體化防護。目前，云WAAP是公認的首選。

WAAP全稱Web Application and API Protection，根據(jù)Gartner的定義，WAAP是集DDoS防護、WAF、Bot管理、API防護于一體的下一代Web安全防護解決方案，實現(xiàn)從基礎設施防護、Web應用防護、API管理與防護，以及自動化工具管理與威脅防御。

據(jù)悉，網(wǎng)宿安全于2017年發(fā)布了全國首個安全加速解決方案，具備CDN加速和DDoS防護、WAF一體化能力，隨后增加了Bot管理、API管理與安全能力，實現(xiàn)了WAAP的全棧能力。

此前，網(wǎng)宿安全在業(yè)內(nèi)首家通過了信通院“WAAP安全能力評估”。另外根據(jù)國際數(shù)據(jù)公司IDC報告數(shù)據(jù)，網(wǎng)宿安全在《IDC MarketShare：中國公有云抗DDoS市場份額，2022》報告中以5.4%的市場份額位列第五，成為前五陣營中唯一一家非公有云計算廠商，而在IDC《中國云Web應用防火墻市場份額，2022》報告中，網(wǎng)宿安全也以5.3%的市場份躋身前五。

“目前，從國有銀行、到大型的央企到跨國的企業(yè)都在廣泛使用網(wǎng)宿安全WAAP一體化全棧安全體系。”呂士表表示。

據(jù)了解，此次《報告》是網(wǎng)宿安全連續(xù)第七年面向外界輸出專業(yè)安全報告，由網(wǎng)宿演武安全實驗室基于網(wǎng)宿全球邊緣計算及邊緣安全平臺的監(jiān)測數(shù)據(jù)，進行深入挖掘分析而來。依托在全球部署的20多萬臺服務器、2,800多個節(jié)點，網(wǎng)宿平臺服務80%的中國網(wǎng)民，日均承載萬億級請求流量，捕獲30億+攻防樣本，平臺整體防護規(guī)模超過15Tbps。