多元化金融应用安全防护—瑞数All in one WAAP解决方案（已脱敏）.pdf

1、多元化金融应用安全防护 瑞数All in one WAAP解决方案 吴剑刚 瑞数信息 技术总监 利用合法业务逻辑 模拟合法操作 大量使用“工具” 高效率和规模化 多源低频多特征 传统安全很难识别 批量注册、撞库及暴力破解 恶意爬取金融产品、敏感数据 虚假交易和交易篡改 漏洞扫描和零日漏洞探测 营销资源恶意抢占、薅羊毛 在线交易 对外业务 市场营销活动 数据服务 注册及登录 金融行业面临的安全风险与挑战 应用安全防护需求 业 务 变 化 业务变化业务变化威胁变化威胁变化攻击手段变化攻击手段变化防护理念变化防护理念变化 （看不起、看不到、看不懂、跟不上 预测、防御、监控、响应） APIAPI管理管

2、理/ /防护防护 安全协同业务安全协同业务 CCCC攻击攻击主动防御主动防御业务攻击业务攻击微服务应用 安全促进业务安全促进业务 APP应用 自动化攻击自动化攻击APPAPP攻击防护攻击防护 设备联动设备联动无漏洞攻击无漏洞攻击 安全从属业务安全从属业务 Web应用 人工渗透人工渗透WebWeb攻击防护攻击防护漏洞攻击漏洞攻击静态规则静态规则 应用安全防护需求的演进 20192019年中国年中国互联网网络安全态势互联网网络安全态势 2019年上半年阿里云Web应用安全报告 2019年Web应用漏洞占CNVD收录漏洞的23.3% 2019年针对国内网站的纂改数量19万个 2019年，每个月的攻击

3、次数都成递增趋势，到5月 每个月拦截的攻击超过19亿，6月份拦截的攻击突破20亿 中国Web应用安全现状 42.07% 46.63% 50.32% 51.82% 60.13% 62.94% 63.28% 65.64% 57.93% 53.37% 49.68% 48.18% 39.87% 37.06% 36.72% 34.36% 0%10%20%30%40%50%60%70%80%90%100% 能源电力 医疗 出版行业 教育 互联网 运营商 金融 政府 自动化工具流量人类流量 注：数据来源瑞数信息2019年 Bots自动化威胁报告 自动化工具流量 VS 人类流量 1/3的Web API调 用来自浏览器 2/3的Web API调 用来自手机、游戏 主机、智能电视 API安全挑战巨大 注：数据来源Akamai 2019 Q1 API 流量增长迅速 0102 04 03 GartnerGartn