《新一代Web安全技术应用指南(2024版)》报告发布(附下载二维码)
日期:2024年12月25日 阅:103
当前数字化转型正深入推进,Web应用成为驱动企业数字化转型、重塑企业业务价值的关键抓手。企业纷纷利用Web应用推动业务创新和价值重构,从面向互联网用户的业务系统到面向企业用户的办公系统,都开始加速向Web化、移动化升级。随着5G、物联网等技术的广泛应用,Web应用进一步渗透到了云计算、移动应用、物联网等新兴领域,其部署和访问方式相比传统应用环境也有了较大的变化。同时,Web应用作为数据流转的载体承载了更多的敏感文件、敏感数据的访问流量。
Web应用在数字经济中的地位日益凸显,针对Web应用的网络攻击也呈现了频发、隐蔽、复杂等新特点。WAF作为Web安全防护的关键利器,在过去的20年经历了多次功能迭代。近几年由于人工智能技术的广泛应用,Web攻击工具、攻击手段又有了显著进步。Web应用面临的风险除了DDoS攻击、SQL注入、XSS攻击外,进一步叠加了Bot攻击、API攻击、0day漏洞利用等速度更快、针对性更强的新型攻击方式,这使Web应用原有风险暴露面进一步扩大,给企业业务,特别是敏感数据的安全,带来了新的挑战。这意味着,WAF必须适配新的业务环境和网络环境,相应地其安全策略、检测防护能力、系统适配性、性能等也必须进一步向前演进。
为帮助用户进一步了解如何构建应对新型Web攻击及新兴业务场景所需的Web安全能力,安全牛在2023年发布的《新一代WAF技术应用指南》基础上,组织编写了《新一代Web安全技术应用指南(2024版)》研究报告,对新一代Web安全市场发展进行洞察分析,评选该领域的代表性厂商,同时为用户甄选和分享优秀的落地应用案例。
12月25日,《新一代Web安全技术应用指南(2024版)》报告正式发布。
关键发现
1、最常见的Web风险类型
本次调研发现,56.3%的受访者表示遭受过2次以上Web风险。其中,Web非法访问风险(21.9%)、SQL注入风险(21.9%)、数据泄露风险(18.8%)和Bot攻击(18.8%)是最为常见的风险类型。
2、Web安全防护有效性
本次调研发现,传统攻击类型中,DDoS防御有效性方面取得一定进展,而SQL注入防御难度仍然较高,防御措施有效性有待进一步提高;新型风险中,敏感数据泄露备受关注,但Bot攻击尚未引起广泛关注。
3、Web安全的部署方式
本次调研发现,本地部署、容器化部署和SaaS服务的比例是2/5:1/4:1/3。说明私有化部署仍是当前的主流部署模式,其次是SaaS服务,容器化部署也展示出一定的技术趋势,但还不是用户的主流选择。
4、新一代Web安全建设思想
为应对云原生时代Web面临的安全挑战,报告从系统化建设角度提出了新一代Web安全建设的思想,并从Web安全演进历程和系统能力建设两个方面阐述了新一代Web安全能力建设的具体内容。
5、新一代Web安全方案技术应用
安全牛认为,Web安全正从硬件、软件形态向服务化方向演进,并且在技术上广泛融合智能化、可视化、云原生等先进理念。新一代Web安全技术特点主要体现为:云原生架构、多云环境支持、模块化设计、自适应安全策略、API安全防护、智能化防护六个方面。
6、新一代Web安全方案
根据调研中各厂商所提供的方案建设特点,报告将新一代Web安全方案分为:私有化建设方案、SaaS化云服务方案、混合部署方案三类。同时结合对厂商产品的了解,安全牛认为,当前国内新一代Web安全产品和方案已经呈现出云化、服务化、智能化的鲜明特征。
7、向云服务方向发展
调研发现,由于云计算的广泛应用,部分成熟的Web安全能力逐渐脱离了原始的技术开发商,不断向云服务方向倾斜,而不再是传统的本地集成服务。
8、新兴领域引领Web安全发展
Web安全与新技术不断碰撞融合,已经开始结合AI、SECaaS、5G等新兴技术,以及CNAPP、零信任等新兴安全理念的发展。安全牛认为,云原生安全、纵深防御、API、SECaaS等新兴领域将会在未来进一步引领Web安全发展的新方向。
新一代Web安全及系统框架
为应对云原生时代日益严峻的Web安全风险,报告在下一代WAF产品化演进的基础上,进一步从系统化建设的角度提出了新一代Web安全系统化建设思路,并从Web安全演进历程和系统能力建设两个方面,详细阐述新一代Web安全的具体内容。希望能为企业规划和实施Web安全建设提供有价值的参考。
在这一阶段,Web安全的资产范围在Web站点、Web页面的基础上扩展了Web应用、API接口、Web数据。Web安全的重点,需要在满足传统Web威胁检测、防御SQL注入、XSS等Web攻击的基础上,加强对Bot攻击、API攻击等新型Web攻击向量的防御,加强对云原生架构的支持。我们将这一阶段称为:新一代Web安全。典型的Web安全技术,包括抗Bot、API监测、数据泄露防护,基于威胁情报实施主动防护,利用AI、大数据等技术提升检测的准确性和自动化水平。代表性产品有下一代WAF和WAAP。
从传统 WEB 安全到智能化 WEB 安全(E)的演变过程。
威胁的演变过程:已知威胁 → 未知威胁 → 业务和数据威胁。
基于IPDR主动防御理念,安全牛在2023年发布的《新一代WAF技术应用指南》基础上,从资产识别、威胁检测和防护、风险分析和可视化、响应处置四个方面,系统化地构建了新一代Web安全系统框图。
这是一张新一代 Web 安全系统框图,图中详细描述了系统的各个组成部分及其功能。以下是图中的文字内容:
新一代 Web 安全系统框图
加强细粒度,深度防御
报告认为,新一代Web安全防护系统应以全新的安全视角,构建多层级的、细粒度的和纵深防御的Web安全架构,注重提升新型攻击应对能力,强化关键业务数据的安全防护;同时,要基于工具和流程进一步完善Web风险事前、事中、事后的管理机制,实现Web风险管理闭环,夯实Web管理体系,提升 Web 安全建设的持续性和有效性。
在技术应用方面,安全牛认为,新一代Web安全正从硬件、软件形态向服务化方向演进,并广泛融合智能化、可视化、云原生等先进技术理念。原生云化、微服务化的架构形态,自适应、智能化的安全策略,以及与各类云服务的协同联动能力,将成为衡量新一代Web安全核心竞争力的关键要素。报告从云原生架构、多云环境支持、模块化设计、自适应安全策略、API安全防护,智能化防护六个方面,对新一代Web安全的技术特点进行了具体分析。
这张图展示了新一代 WEB 安全的技术特点,具体内容如下:
在图的中心位置,有一个灰色的三角形,里面写着 “新一代 WEB 安全的技术特点”。
从这个三角形向外延伸出多条彩色的线,每条线连接到一个代表特定技术特点的图标,并在旁边标注了对应的文字:
这些技术特点展示了新一代 WEB 安全在架构、环境支持、设计、策略、防护等多个方面的创新和发展方向。
部署方案和产品选择建议
WAF作为新一代Web安全典型的产品化解决方案,交付形态更加多样。根据调研,目前主流的部署方式有:云端部署、本地部署或混合部署三种方式。企业需充分评估自身的业务特点、IT环境和安全需求,权衡不同部署模式的优劣。
为帮助用户进一步了解厂商当前新一代Web安全解决方案,安全牛采用问卷、厂商访谈和产品演示结合的方式,对国内代表性的Web安全提供商开展了调研。
本次报告参与调研的厂商共14家,基本覆盖了国内主流的Web安全提供商。根据各厂商所提供的方案特点,报告将新一代Web安全分为:私有化建设方案、SaaS化云服务方案、混合部署方案三类。从方案提供商的数量来看,私有化建设提供商数量最多,共7家,占比50%;其次是SaaS化服务提供商,共6家,占比43%;混合部署方案厂商调研中只有1家,占比7%。
报告认为,我国当前正处于本地数据中心、云原生、多云混合,并且深受特色国情影响的复杂的网络环境中,Web安全从能力和架构正在迎来一个全新的发展阶段。新一代Web安全产品和方案已经呈现出云化、服务化、智能化的鲜明特征。具体表现在以下4个方面。
展示了供给侧产品和方案的四个特征:
这些特征围绕着一个中心标题 “供给侧产品和方案特征”,通过箭头和编号依次排列,形成一个圆形布局。
趋势与预测
随着数字经济的浪潮席卷全球,云原生、智能协同的时代大幕被逐步拉开,基于云原生的“大安全”时代正在到来。Web安全站在网络安全的前沿,也迎来了从单体“堡垒”向泛在“免疫网络”蜕变的关键节点。
“AI 驱动的安全” 的几个关键方面,具体内容如下:
这些内容以一个扇形图的形式展示,每个部分都有相应的图标和文字说明,共同构成了 “AI 驱动的安全” 的主要特点。
基于对新兴技术的研究,报告总结了Web安全的5个发展趋势:
年度代表性厂商
结合调研,本报告对国内Web安全方案提供商从市场影响、技术、产品、方案、服务5个维度进行了综合能力评估。最终评选出10家有年度代表性的厂商进行能力介绍,其中包括安天、长亭科技、电信安全、绿盟科技、瑞数信息、山石网科、网宿科技、新华三信息安全、云盾智慧、知道创宇。
新一代Web安全领域年度代表性厂商
(排名不分先后,按公司简称首字母排序展现)
安天 | ① 在威胁检测方面有多年的技术积累,为Web安全提供了强有力的技术支持。 ② 产品支持基础、高级、API等多层级的Web安全防护能力。 ③ 策略配置简单,易用性较好,支持国产化系统适配。 ④ 服务方面,有较好的应急保障能力和专家服务团队。 |
长亭科技 | ① 基于理念创新和技术突破赢得了广泛用户认可,有长期的客户积累,用户基数、品牌影响力、客户认可度都非常高。 ② Web攻击检测方面拥有创新性理念和长期的技术积累,研发团队有优秀的持续创新能力。 ③ 产品成熟度高,支持信创、云原生、SDK多种环境,场景化适配和覆盖能力非常强,本地交付方式也比较灵活。 ④ 服务方面,有优秀的风险评估和应急响应能力,以及全国服务覆盖能力。 |
电信安全 | ① 凭借运营商级的系统资源,有广泛的用户基础。 ② 技术上侧重于提供多维度的攻击防护能力。 ③ 方案方面结合SaaS服务弹性和抗DDoS攻击的优势。 ④ 拥有完善的安全服务体系、流程和团队,能提供电信级服务可用性保障。 |
绿盟科技 | ① 注重产学研合作、前沿技术分享和交流。在该领域有超过15年的市场积累,拥有长期信赖的客户支持。 ② 技术方面,有较强的自主创新能力,基于深厚的技术积累可以提供多引擎联合研判能力。 ③ 方案定制化能力强,方案的灵活性、兼容性、场景化适配能力较好。 ④ 服务方面,拥有非常高的全国服务覆盖能力,以及专业的售后服务和专家团队,能为Web安全落地提供高质量的运维保障和事件响应能力。 |
瑞数信息 | ① 持续深耕Web及应用安全,拥有长期的技术积累,并且市场认可度和品牌影响力较好; ② 应用先进的自动化和智能化技术,注重高级Web威胁防护能力研究,创新能力较强; ③ 产品注重系统化、模块化设计及行业特性化功能挖掘,UI设计和用户体验也较好; ④ 能提供场景化到平台化的多种解决方案,场景化应用覆盖度较高; ⑤ 服务方面,重视运维和应急响应能力,拥有较好的全国服务覆盖能力。 |
山石网科 | ① 在网络安全领域持续深耕多年,有自己的特定的行业客户,市场相对稳定。 ② 技术上,拥有完善的研发管理体系、软硬件全面信创的技术能力。 ③ 产品开发是自主研发的操作系统,可移植性受限,但系统安全性会更好些。功能上,在新一代WAF功能基础上,进一步集成了重保等国内特色功能,并结合自研的漏扫能力和虚拟补丁提升风险闭环管理能力。 ④ 企业有较高的安全运维和应急响应能力,以及全国服务覆盖能力。 |
网宿科技 | ① 依托成功云运营商的优势,拥有相对稳定的SaaS客户群体。 ② 在传统Web防护基础上持续构建了API、数据安全等全站防护能力,并结合全站防护能力进一步构建了风险闭环的安全管理体系,帮助用户从云防护迈向云安全运营。有一定应用创新能力。 ③ 方案支持弹性交付,部署灵活、便捷,抗DDoS攻击能力强。 ④ 服务方面拥有云运营和云服务的成功经验,节点资源丰富,安全服务和应急服务体系完善。 |
新华三信息安全 | ① 企业拥有创新开放的生态建设,良好的品牌影响力,行业认可度和客户依赖度也非常高。 ② 技术上,有优秀的研发团队,较强的前沿技术研发和解决方案创新能力,以及多维度、多层级的深度Web安全防护能力。 ③ 产品上,为方便不同防御水平的用户配置,设计上采用纵深防护的思想进行功能分组,提高了易用性,UI设计清晰,用户体验良好。 ④ 方案上,有优秀的垂直市场方案能力,以及全栈的产品化解决方案。 ⑤ 服务方面,按照本地+云的服务模式,实现全集化安全运营,拥有较强的全国服务覆盖能力。 |
云盾智慧 | ① 注重产学研联动,在云防护市场有较好的品牌影响力,市场营收稳定,多年入选行业百强榜。 ② 技术方面,注重Web安全领域的技术创新,研发团队有较好的技术运用能力。 ③ 以Web防护服务能力为主。基于安全技术和云资源的优势为云Web防护打造了8项基础防御能力和6项扩展能力;同时在攻击检测和漏洞检测方面也结合了行业最有优势的情报更新能力。 ④ 方案拥有SaaS服务的先天优势,抗DDoS攻击能力强。 ⑤ 服务方面,拥有完善的应急响应处置流程,强调服务可用性,重视服务合约、服务质量方面的保障。 |
知道创宇 | ① 该公司立足于攻防实战,在云防领域有专项研究和深厚的经验积累。 ② 技术上,结合了云防平台和云防大数据能力,创新性提出了本地和云防混合防御的Web安全方案,提升了本地及多云环境下Web安全的主动防御和实时防御能力。 ③ 适用于Web应用分布部署及多云混合部署的环境,应用场景有较强的代表性。 ④ 服务方面,基于云防业务体系拥有较好的应急响应能力,注重提供高级的服务可用性保障。 |
扫码下载报告全文、扫码进行AI报告问答互动