黄志敏-应用防护、随需而变-瑞数All in One WAAP解决方案（16页）.pdf

1、瑞数信息 黄志敏业务的不断变化，导致应用安全防护需求不断升级业务的不断变化，导致应用安全防护需求不断升级应用安全防护需求业务变化业务变化业务变化 威胁变化威胁变化 手段变化手段变化 防护理念变化防护理念变化APIAPI管理管理/防护防护安全协同业务安全协同业务CCCC攻击攻击主动防御主动防御业务攻击业务攻击微服务应用安全促进业务安全促进业务APP应用自动化攻击自动化攻击APPAPP攻击防护攻击防护设备联动设备联动无漏洞攻击无漏洞攻击安全从属业务安全从属业务Web应用人工渗透人工渗透WebWeb攻击防护攻击防护漏洞攻击漏洞攻击静态规则静态规则应用安全防护需求的演进应用安全防护需求的演进Gartn

2、er WAAP Gartner WAAP 体系架构体系架构01020403GartnerGartnerAPI API 保护保护不光保护内部使用的 Web 应用和 API 还保护面向公众的 Web 应用和 APIDDoS DDoS 保护保护CC 攻击防御自动化攻击防护自动化攻击防护区别自动化流量和人类用户，并对这两类流量实施适当的控制；WAFWAF尽量提高已知和未知威胁的检测率和捕获率；到 2020 年，独立的 WAF 硬件设备在新部署的 WAF 中所占的比例将不到 20%，明显低于目前的 35%。到 2023 年，30%以上面向公众的 Web应用将受到云 Web 应用和 API 保护（WAAP

3、）服务的保护，与目前的 10%相比将有巨大提升。分布式拒绝服务（DDoS）防御、bot 管理服务、API 保护和 WAF 等功能，可以为 Web 应用提供更好的安全保护。四个核心原则四个核心原则各行业自动化威胁概览各行业自动化威胁概览42.07%46.63%50.32%51.82%60.13%62.94%63.28%65.64%57.93%53.37%49.68%48.18%39.87%37.06%36.72%34.36%0%10%20%30%40%50%60%70%80%90%100%能源电力医疗出版行业教育互联网运营商金融政府自动化工具流量人类流量注：数据来源瑞数信息2019年 Bots自

4、动化威胁报告中国中国WebWeb应用安全现状应用安全现状20192019年上半年我国互联网网络安全态势年上半年我国互联网网络安全态势2019年上半年阿里云Web应用安全报告2019年Web应用漏洞占CNVD收录漏洞的23.3%2019年针对国内网站的纂改数量近19万个2019年，每个月的攻击次数都成递增趋势，到5月 每个月拦截的攻击超过19亿，6月份拦截的攻击突破20亿API API 调研数据统计调研数据统计 API技术使用广泛，特别是在新基建的时代背景下 79%的API为RESTful API 内部与外部API共存，API安全挑战巨大注：数据来源SmartBearThe state of A

5、PI 2019Gartner WAAP Gartner WAAP 技术架构技术架构注：数据来源为Gartner WAAP 2019报告原文瑞数瑞数WAAPWAAP整体架构整体架构安全前置、动态对抗大数据安全分析、安全服务通过动态技术，针对自动化攻击建立全方位纵深防御体系，从而形成事前，事中，事后安全风险闭环，消除用户信息安全体系建设中的“安全孤岛”问题，适应当前复杂多变的网络和应用环境，保障信息系统的动态、长期安全。webH5APP/小程序APIWWA AA AP P平平台台业务场景业务场景Web攻击防护APP攻击防护API 管理/保护业务攻击防护功能层功能层动态令牌动态验证动态混淆动态封装

6、设备指纹威胁模型生成信誉库攻击者画像信誉数据输入输出定时器软拦截动态挑战CC防御基于有监督和无监督学习模式下的智能AI识别引擎API管理/防护动态WAFBot防护AIAI+动动态态策策略略层层可编程对抗业务威胁感知动态技术1 1数据共享第三方数据输入/输出瑞数情报数据APP数据API网关数据接入渠道接入渠道WAAP Bot 防护Bot Bot 防护：动态安全保护业务及应用安全防护：动态安全保护业务及应用安全浏览器浏览器WebWeb服务器服务器移动移动AppApp对应用层的HTML代码进行动态变幻动态变幻动态验证动态验证运行环境验证，以甄别“人”还是“自动化”如：对抗模拟浏览器及自动化的攻击瑞数