《新一代Web安全技术应用指南(2024版)》报告发布(附下载二维码)
2024-12-25 05:25:35 Author: www.aqniu.com(查看原文) 阅读量:3 收藏

《新一代Web安全技术应用指南(2024版)》报告发布(附下载二维码)

日期:2024年12月25日 阅:103

当前数字化转型正深入推进,Web应用成为驱动企业数字化转型、重塑企业业务价值的关键抓手。企业纷纷利用Web应用推动业务创新和价值重构,从面向互联网用户的业务系统到面向企业用户的办公系统,都开始加速向Web化、移动化升级。随着5G、物联网等技术的广泛应用,Web应用进一步渗透到了云计算、移动应用、物联网等新兴领域,其部署和访问方式相比传统应用环境也有了较大的变化。同时,Web应用作为数据流转的载体承载了更多的敏感文件、敏感数据的访问流量。

Web应用在数字经济中的地位日益凸显,针对Web应用的网络攻击也呈现了频发、隐蔽、复杂等新特点。WAF作为Web安全防护的关键利器,在过去的20年经历了多次功能迭代。近几年由于人工智能技术的广泛应用,Web攻击工具、攻击手段又有了显著进步。Web应用面临的风险除了DDoS攻击、SQL注入、XSS攻击外,进一步叠加了Bot攻击、API攻击、0day漏洞利用等速度更快、针对性更强的新型攻击方式,这使Web应用原有风险暴露面进一步扩大,给企业业务,特别是敏感数据的安全,带来了新的挑战。这意味着,WAF必须适配新的业务环境和网络环境,相应地其安全策略、检测防护能力、系统适配性、性能等也必须进一步向前演进。

为帮助用户进一步了解如何构建应对新型Web攻击及新兴业务场景所需的Web安全能力,安全牛在2023年发布的《新一代WAF技术应用指南》基础上,组织编写了《新一代Web安全技术应用指南(2024版)》研究报告,对新一代Web安全市场发展进行洞察分析,评选该领域的代表性厂商,同时为用户甄选和分享优秀的落地应用案例。

12月25日,《新一代Web安全技术应用指南(2024版)》报告正式发布。

关键发现

1、最常见的Web风险类型

本次调研发现,56.3%的受访者表示遭受过2次以上Web风险。其中,Web非法访问风险(21.9%)、SQL注入风险(21.9%)、数据泄露风险(18.8%)和Bot攻击(18.8%)是最为常见的风险类型。

2、Web安全防护有效性

本次调研发现,传统攻击类型中,DDoS防御有效性方面取得一定进展,而SQL注入防御难度仍然较高,防御措施有效性有待进一步提高;新型风险中,敏感数据泄露备受关注,但Bot攻击尚未引起广泛关注。

3、Web安全的部署方式

本次调研发现,本地部署、容器化部署和SaaS服务的比例是2/5:1/4:1/3。说明私有化部署仍是当前的主流部署模式,其次是SaaS服务,容器化部署也展示出一定的技术趋势,但还不是用户的主流选择。

4、新一代Web安全建设思想

为应对云原生时代Web面临的安全挑战,报告从系统化建设角度提出了新一代Web安全建设的思想,并从Web安全演进历程和系统能力建设两个方面阐述了新一代Web安全能力建设的具体内容。

5、新一代Web安全方案技术应用

安全牛认为,Web安全正从硬件、软件形态向服务化方向演进,并且在技术上广泛融合智能化、可视化、云原生等先进理念。新一代Web安全技术特点主要体现为:云原生架构、多云环境支持、模块化设计、自适应安全策略、API安全防护、智能化防护六个方面。

6、新一代Web安全方案

根据调研中各厂商所提供的方案建设特点,报告将新一代Web安全方案分为:私有化建设方案、SaaS化云服务方案、混合部署方案三类。同时结合对厂商产品的了解,安全牛认为,当前国内新一代Web安全产品和方案已经呈现出云化、服务化、智能化的鲜明特征。

7、向云服务方向发展

调研发现,由于云计算的广泛应用,部分成熟的Web安全能力逐渐脱离了原始的技术开发商,不断向云服务方向倾斜,而不再是传统的本地集成服务。

8、新兴领域引领Web安全发展

Web安全与新技术不断碰撞融合,已经开始结合AI、SECaaS、5G等新兴技术,以及CNAPP、零信任等新兴安全理念的发展。安全牛认为,云原生安全、纵深防御、API、SECaaS等新兴领域将会在未来进一步引领Web安全发展的新方向。

新一代Web安全及系统框架

为应对云原生时代日益严峻的Web安全风险,报告在下一代WAF产品化演进的基础上,进一步从系统化建设的角度提出了新一代Web安全系统化建设思路,并从Web安全演进历程和系统能力建设两个方面,详细阐述新一代Web安全的具体内容。希望能为企业规划和实施Web安全建设提供有价值的参考。

在这一阶段,Web安全的资产范围在Web站点、Web页面的基础上扩展了Web应用、API接口、Web数据。Web安全的重点,需要在满足传统Web威胁检测、防御SQL注入、XSS等Web攻击的基础上,加强对Bot攻击、API攻击等新型Web攻击向量的防御,加强对云原生架构的支持。我们将这一阶段称为:新一代Web安全。典型的Web安全技术,包括抗Bot、API监测、数据泄露防护,基于威胁情报实施主动防护,利用AI、大数据等技术提升检测的准确性和自动化水平。代表性产品有下一代WAF和WAAP。

从传统 WEB 安全到智能化 WEB 安全(E)的演变过程。

  1. 传统 WEB 安全
    • 基于规则和特征。
  2. 新一代 WEB 安全
    • 基于语义分析。
    • 基于行为分析。
    • 主动防御。
    • 自动化防御。
  3. 智能化 WEB 安全(E)
    • 大数据分析。
    • 自然语言解析。
    • 人工智能。

威胁的演变过程:已知威胁 → 未知威胁 → 业务和数据威胁。

基于IPDR主动防御理念,安全牛在2023年发布的《新一代WAF技术应用指南》基础上,从资产识别、威胁检测和防护、风险分析和可视化、响应处置四个方面,系统化地构建了新一代Web安全系统框图。

这是一张新一代 Web 安全系统框图,图中详细描述了系统的各个组成部分及其功能。以下是图中的文字内容:

标题

新一代 Web 安全系统框图

顶部说明

  • 加强细粒度,深度防御
  • 重视事前事中事后闭环

主要模块

  1. 风险分析和可视化
    • Web 资产管理
    • 风险态势展示
    • 事件告警
    • 关联分析
    • 自动化编排
  2. 威胁检测和防护
    • 访问控制
      • 基础访问控制
      • 常见攻击检测
      • 合规合测
      • 反爬虫
      • 逻辑欺诈
      • 抗 BOT
      • 语义分析
      • 特征匹配
      • 安全 (AI) 模型
      • 黑名单
      • 行为学习
      • 网站蜜罐
      • 身份认证
      • 边界控制
      • 访问代理
    • 本地防护
      • CC 攻击防护
      • 网页篡改
      • 注入攻击防护
      • XSS
      • 木马防护
    • 高级威胁检测
      • 逻辑检测
      • 合规合测
      • 智能防护
      • 主动防御
      • 行为学习
      • 拟态防御
    • WEB 数据检测
      • 逻辑检测
      • 内容合规检测
      • 流量控制
      • 数据泄露检测
      • 数据会话控制
      • API 接口防护
      • 数据防护
      • 木马防护
  3. 响应处置
    • 事前预防
    • 漏洞扫描
    • 合规审计
    • 事中防护 (联动)
    • 流量控制
    • 数据会话控制
    • API 接口防护
    • 数据防护
    • 事后修复
    • 策略加固
    • 漏洞验证和修复
    • 完善应急预案
  4. 资产识别
    • Web 应用
    • Web 站点
    • Web 页面
    • API 接口
    • 数据
    • 传统 / DC
    • 信创环境
    • 云计算环境
    • 容器化应用

底部说明

加强细粒度,深度防御

报告认为,新一代Web安全防护系统应以全新的安全视角,构建多层级的、细粒度的和纵深防御的Web安全架构,注重提升新型攻击应对能力,强化关键业务数据的安全防护;同时,要基于工具和流程进一步完善Web风险事前、事中、事后的管理机制,实现Web风险管理闭环,夯实Web管理体系,提升 Web 安全建设的持续性和有效性。

在技术应用方面,安全牛认为,新一代Web安全正从硬件、软件形态向服务化方向演进,并广泛融合智能化、可视化、云原生等先进技术理念。原生云化、微服务化的架构形态,自适应、智能化的安全策略,以及与各类云服务的协同联动能力,将成为衡量新一代Web安全核心竞争力的关键要素。报告从云原生架构、多云环境支持、模块化设计、自适应安全策略、API安全防护,智能化防护六个方面,对新一代Web安全的技术特点进行了具体分析。

这张图展示了新一代 WEB 安全的技术特点,具体内容如下:
在图的中心位置,有一个灰色的三角形,里面写着 “新一代 WEB 安全的技术特点”。
从这个三角形向外延伸出多条彩色的线,每条线连接到一个代表特定技术特点的图标,并在旁边标注了对应的文字:

  1. 云原生架构:用蓝色图标表示,图标中有一个云的形状,连接到三角形的蓝色线条。
  2. 多云环境支持:用浅蓝色图标表示,图标中有多个云的形状,连接到三角形的浅蓝色线条。
  3. 模块化设计:用绿色图标表示,图标中有拼图的形状,连接到三角形的绿色线条。
  4. 自适应安全策略:用黄色图标表示,图标中有盾牌的形状,连接到三角形的黄色线条。
  5. API 安全防护:用橙色图标表示,图标中有锁的形状,连接到三角形的橙色线条。
  6. 智能化防护:用红色图标表示,图标中有芯片的形状,连接到三角形的红色线条。

这些技术特点展示了新一代 WEB 安全在架构、环境支持、设计、策略、防护等多个方面的创新和发展方向。

部署方案和产品选择建议

WAF作为新一代Web安全典型的产品化解决方案,交付形态更加多样。根据调研,目前主流的部署方式有:云端部署、本地部署或混合部署三种方式。企业需充分评估自身的业务特点、IT环境和安全需求,权衡不同部署模式的优劣。

云端部署、本地部署和混合部署

为帮助用户进一步了解厂商当前新一代Web安全解决方案,安全牛采用问卷、厂商访谈和产品演示结合的方式,对国内代表性的Web安全提供商开展了调研。

本次报告参与调研的厂商共14家,基本覆盖了国内主流的Web安全提供商。根据各厂商所提供的方案特点,报告将新一代Web安全分为:私有化建设方案、SaaS化云服务方案、混合部署方案三类。从方案提供商的数量来看,私有化建设提供商数量最多,共7家,占比50%;其次是SaaS化服务提供商,共6家,占比43%;混合部署方案厂商调研中只有1家,占比7%。

  1. 私有化部署(软、硬、虚拟化)
    • 绿盟科技
    • 长亭科技
    • 瑞数信息
    • 新华三信息安全
    • 安天
    • 山石网科
    • 北京国舜
  2. SaaS 化云服务(云 WAF)
    • 网宿科技
    • 云盾智慧
    • 电信安全
    • 国旭科技
    • 云翌科技
    • 华清信安(安全即服务)
  3. 混合部署(云 WAF + 本地 WAF)
    • 知道创宇

报告认为,我国当前正处于本地数据中心、云原生、多云混合,并且深受特色国情影响的复杂的网络环境中,Web安全从能力和架构正在迎来一个全新的发展阶段。新一代Web安全产品和方案已经呈现出云化、服务化、智能化的鲜明特征。具体表现在以下4个方面。

展示了供给侧产品和方案的四个特征:

  1. 新一代 Web 安全方案正在呈现云服务化的典型发展趋势。
  2. 部分厂商已经或正在进行 Web 安全产品重构。
  3. 云计算和信创是当前场景化应用的两个重点方向。
  4. Web 安全愈发智能化,主动防御、Bot 防护、API 安全应用广泛。

这些特征围绕着一个中心标题 “供给侧产品和方案特征”,通过箭头和编号依次排列,形成一个圆形布局。

趋势与预测

随着数字经济的浪潮席卷全球,云原生、智能协同的时代大幕被逐步拉开,基于云原生的“大安全”时代正在到来。Web安全站在网络安全的前沿,也迎来了从单体“堡垒”向泛在“免疫网络”蜕变的关键节点。

 “AI 驱动的安全” 的几个关键方面,具体内容如下:

  1. 纵深防御
    • 利用 AI 和深度学习增强安全防护。
    • 从单一防御转向多层次的安全策略。
  2. 云原生安全
    • 将 Web 安全整合到统一的云原生治理框架中。
  3. SECaaS 增强
    • 通过 SECaaS 实现更轻量化和精细化的安全服务。
  4. 新兴领域安全
    • 专注于 5G 和物联网等新兴领域的安全发展。

这些内容以一个扇形图的形式展示,每个部分都有相应的图标和文字说明,共同构成了 “AI 驱动的安全” 的主要特点。

基于对新兴技术的研究,报告总结了Web安全的5个发展趋势:

  1.  Web安全能力将会被纳入云原生安全治理框架,借助 CNAPP 实现一体化交付,安全厂商需适配并融入新技术架构。
  2. 无论是云原生还是本地IDC,都需要更加细粒度的、多层次的Web安全防护体系。Web安全架构逐渐从单体防御向集成、纵深防御的立体化安全方向发展。
  3. AI 和深度学习将在Web安全防护中围绕业务、策略、攻防深化应用,虽有挑战但前景可期。
  4. 在 SECaaS 加持下Web安全将更加轻量化、弹性化、服务精细化,形成云边端协同交付范式与防护闭环。
  5. 5G、物联网等新兴领域的 Web 安全将会得到进一步发展,如移动 Web 安全利用 MEC – WAF 构筑纵深防御,IoT 领域以 “原子能力” 下沉并联动防护面,以应对新挑战与机遇,全面推动 Web 安全迈向新阶段。

年度代表性厂商

结合调研,本报告对国内Web安全方案提供商从市场影响、技术、产品、方案、服务5个维度进行了综合能力评估。最终评选出10家有年度代表性的厂商进行能力介绍,其中包括安天、长亭科技、电信安全、绿盟科技、瑞数信息、山石网科、网宿科技、新华三信息安全、云盾智慧、知道创宇。

新一代Web安全领域年度代表性厂商
   (排名不分先后,按公司简称首字母排序展现)

安天① 在威胁检测方面有多年的技术积累,为Web安全提供了强有力的技术支持。 
② 产品支持基础、高级、API等多层级的Web安全防护能力。
③ 策略配置简单,易用性较好,支持国产化系统适配。
④ 服务方面,有较好的应急保障能力和专家服务团队。
长亭科技① 基于理念创新和技术突破赢得了广泛用户认可,有长期的客户积累,用户基数、品牌影响力、客户认可度都非常高。
② Web攻击检测方面拥有创新性理念和长期的技术积累,研发团队有优秀的持续创新能力。
③ 产品成熟度高,支持信创、云原生、SDK多种环境,场景化适配和覆盖能力非常强,本地交付方式也比较灵活。 
④ 服务方面,有优秀的风险评估和应急响应能力,以及全国服务覆盖能力。
电信安全① 凭借运营商级的系统资源,有广泛的用户基础。
② 技术上侧重于提供多维度的攻击防护能力。
③ 方案方面结合SaaS服务弹性和抗DDoS攻击的优势。
④ 拥有完善的安全服务体系、流程和团队,能提供电信级服务可用性保障。
绿盟科技① 注重产学研合作、前沿技术分享和交流。在该领域有超过15年的市场积累,拥有长期信赖的客户支持。
② 技术方面,有较强的自主创新能力,基于深厚的技术积累可以提供多引擎联合研判能力。
③ 方案定制化能力强,方案的灵活性、兼容性、场景化适配能力较好。
④ 服务方面,拥有非常高的全国服务覆盖能力,以及专业的售后服务和专家团队,能为Web安全落地提供高质量的运维保障和事件响应能力。
瑞数信息① 持续深耕Web及应用安全,拥有长期的技术积累,并且市场认可度和品牌影响力较好;
② 应用先进的自动化和智能化技术,注重高级Web威胁防护能力研究,创新能力较强;
③ 产品注重系统化、模块化设计及行业特性化功能挖掘,UI设计和用户体验也较好;
④ 能提供场景化到平台化的多种解决方案,场景化应用覆盖度较高;
⑤ 服务方面,重视运维和应急响应能力,拥有较好的全国服务覆盖能力。
山石网科① 在网络安全领域持续深耕多年,有自己的特定的行业客户,市场相对稳定。
② 技术上,拥有完善的研发管理体系、软硬件全面信创的技术能力。
③ 产品开发是自主研发的操作系统,可移植性受限,但系统安全性会更好些。功能上,在新一代WAF功能基础上,进一步集成了重保等国内特色功能,并结合自研的漏扫能力和虚拟补丁提升风险闭环管理能力。
④ 企业有较高的安全运维和应急响应能力,以及全国服务覆盖能力。
网宿科技① 依托成功云运营商的优势,拥有相对稳定的SaaS客户群体。
② 在传统Web防护基础上持续构建了API、数据安全等全站防护能力,并结合全站防护能力进一步构建了风险闭环的安全管理体系,帮助用户从云防护迈向云安全运营。有一定应用创新能力。
③ 方案支持弹性交付,部署灵活、便捷,抗DDoS攻击能力强。
④ 服务方面拥有云运营和云服务的成功经验,节点资源丰富,安全服务和应急服务体系完善。
新华三信息安全① 企业拥有创新开放的生态建设,良好的品牌影响力,行业认可度和客户依赖度也非常高。 
② 技术上,有优秀的研发团队,较强的前沿技术研发和解决方案创新能力,以及多维度、多层级的深度Web安全防护能力。
③ 产品上,为方便不同防御水平的用户配置,设计上采用纵深防护的思想进行功能分组,提高了易用性,UI设计清晰,用户体验良好。
④ 方案上,有优秀的垂直市场方案能力,以及全栈的产品化解决方案。
⑤ 服务方面,按照本地+云的服务模式,实现全集化安全运营,拥有较强的全国服务覆盖能力。
云盾智慧① 注重产学研联动,在云防护市场有较好的品牌影响力,市场营收稳定,多年入选行业百强榜。
② 技术方面,注重Web安全领域的技术创新,研发团队有较好的技术运用能力。
③ 以Web防护服务能力为主。基于安全技术和云资源的优势为云Web防护打造了8项基础防御能力和6项扩展能力;同时在攻击检测和漏洞检测方面也结合了行业最有优势的情报更新能力。
④ 方案拥有SaaS服务的先天优势,抗DDoS攻击能力强。
⑤ 服务方面,拥有完善的应急响应处置流程,强调服务可用性,重视服务合约、服务质量方面的保障。
知道创宇① 该公司立足于攻防实战,在云防领域有专项研究和深厚的经验积累。 
② 技术上,结合了云防平台和云防大数据能力,创新性提出了本地和云防混合防御的Web安全方案,提升了本地及多云环境下Web安全的主动防御和实时防御能力。
③ 适用于Web应用分布部署及多云混合部署的环境,应用场景有较强的代表性。
④ 服务方面,基于云防业务体系拥有较好的应急响应能力,注重提供高级的服务可用性保障。

扫码下载报告全文、扫码进行AI报告问答互动


文章来源: https://www.aqniu.com/homenews/107661.html
如有侵权请联系:admin#unsafe.sh