突破传统WAF的瓶颈·WAAP平台将是未来发展的必然趋势

近年来，基础组件相继爆出严重的高危漏洞，层出不穷的“核弹级”0-day漏洞事件不断破圈，Web应用已成攻击者首要目标，让整个泛IT行业都难堪其扰，疲于应对。根据Gartner调查显示，信息安全攻击有75%都是发生在Web应用层而非网络层面上，2/3的Web站点都相当脆弱，容易成为攻击目标。

作为一种成熟的安全产品品类，WAF能够基于规则和特征为Web应用提供各种安全规则，并通过不断维护规则库，对Web应用进行保护。

然而，随着攻防水平的不断升级，这一套传统的防御体系正在被逐渐打破。

传统WAF可以“被绕过”

由于传统WAF基于规则构建安全策略，只要针对Web服务器、Web应用对协议解析、字符解析、文件名解析、编码解析以及SQL语法解析的差异进行变形，就可能达到绕过WAF的效果。

传统WAF无法对新型的攻击进行有效的识别和阻断

目前市面上大多数的WAF都是基于规则匹配的，但规则的更新往往是滞后于攻击发生，例如：0-day漏洞攻击，没有预配置的规则，只能在漏洞披露后，依据漏洞特征建立防护规则。再比如，利用海量IP地址池的多源低频攻击，使得限频限IP的规则失效。

传统WAF对于逻辑漏洞的防御捉襟见肘

传统WAF对攻击的识别来自于已经设定好的规则库，对于看似“正常”的业务逻辑漏洞却无能为力。例如越权操作，入侵者可以用低权限账号登陆系统后，通过拦截并修改用户参数，以达到查看或者修改其它权限账号的目的，而传统WAF并不能识别这一看似正常的操作。

不难发现，传统WAF技术由于存在较大的局限性，已经难以跟上威胁态势发展的步伐。数字化时代的WAF防护机制该如何演进，才能助力企业抵御未知威胁，做好新时代的安全运营？这是几乎所有企业都在面临的一个共性问题。

一、从WAF走向WAAP平台

面对新的挑战，该如何与时俱进，对WAF技术的进一步演化给出了答案。将多年来发布的WAF魔力象限改为了WAAP魔力象限，进一步扩展了安全防护范围和安全深度。

据预测，到2023年，30%以上的面向公众的Web应用程序和API将受到云Web应用程序和API保护（WAAP）服务的保护，这种服务结合了分布式拒绝服务（DDoS）保护、机器人程序缓解（bot mitigation）、API保护和Web应用防火墙（WAF）。

我们能逐渐观察到，在数字化转型过程中企业越来越需要以Web、App和API等多种形态建构现代应用，来满足和支持业务的快速迭代和不同场景需求，同时，利用App、API应用特点的攻击方法、形形色色的Bot自动化攻击手段也在超越传统Web攻击成为主流。未来的应用安全趋势是Gartner提出的WAAP应用安全融合平台的方向，WAF将只是其中的一个组件功能，企业的防御也必将从由客户自己集成单点的应用安全产品走向融合和平台化。

传统WAF功能将被纳入到WAAP平台中，与威胁情报、Bot攻击防护、DDoS防御、API保护等功能组件紧密协同，帮助企业用户打造针对Web应用的主动防护体系。这既能够降低各个独立安全产品各自为战的协作问题，同时也能降低企业安全运维方面的压力。而对于中小规模的企业用户，平台化WAF产品也具备灵活性、可扩展性等方面的优势，能够更好地适应企业快速变化的应用场景，以模块化的方式迅速响应在相应场景下的安全需求。

由于API安全威胁的快速增长，能够同时保护Web应用程序和API的组合解决方案——WAAP（Web和API保护）已经开始流行。WAAP解决方案通常包括以下功能：WAF、API安全、拒绝服务保护和bot防护。增加bot防护是因为除了合法搜索引擎之外，越来越多的恶意bot程序未经授权收集信息或执行由网络罪犯远程控制的自动攻击。

WAAP是如何工作的？

WAAP在OSI模型的第7层运行，可以拦截范围广泛的威胁，包括注入、跨站点脚本(XSS)和其他攻击。该保护适用于服务器应用程序及其数据，但不适用于访问它的浏览器或设备。从技术角度来看，通常需要反向代理打破加密（HTTPS）连接，控制双向数据流并在必要时进行更改。或者，将保护功能嵌入到应用程序中——这种方法称为运行时应用程序自我保护(RASP)，不太常见，因为集成到应用程序中要复杂得多。

下列WAAP保护机制可用于防止不同类型的攻击：

黑名单过滤器：使用阻止列表检测并阻止可疑模式和已知类型的攻击，例如跨站点脚本或注入攻击。
白名单过滤器：白名单过滤规则阻止所有未经允许的内容。白名单列表可由学习模式产生。
身份验证和访问控制：只有授权用户才能访问应用程序，这可以显著减少攻击面。通过与身份服务提供商合作，每个用户都需要预先经过身份验证。这意味着没有有效访问权限的攻击者甚至无法寻找漏洞。
速率限制和配额：限制流量会使暴力攻击或内容抓取更加困难。理想情况下，这些限制取决于调用者的身份，尤其是在调用API时。
异常检测：可以使用人工智能检测与“正常”用户行为的明显偏差。如果怀疑不受欢迎的bot在活动，可以要求其重新登录或解决验证码问题。
威胁情报：某些用户可通过位置或IP地址判断其可信度。这种方法可以拒绝来自暗网或故意隐瞒身份的人。
Cookie保护：Cookie通常用于跟踪Web应用程序上的用户会话。WAAP解决方案可以防止Cookie的修改，从而防止会话劫持。
会话保护：隐藏的令牌可防止跨站点请求伪造攻击，防止登录的受害者在不知情的情况下发起不需要的操作。

二、WAAP平台，最需关注的六大安全挑战要点

当企业在选择合适-WAAP平台时，应当尤为关注以下六大要点，以确认其是否能够对传统WAF能力进行充分升级，从而有效应对当下复杂的网络攻击形势：

01 是否具备对Bots攻击的高识别力

如今自动化攻击数量已超过人类行为流量。据Imperva统计，全球范围内90%的安全事件是由恶意Bots引起的。由于自动化攻击手段持续升级，一方面自动化攻击工具不断迭代，另一方面自动化攻击逐渐操作拟人化、手段拟人化、隐藏恶意特征，使得传统WAF对Bots自动化攻击的识别与防护难度越来越大。

因此，WAAP平台应不仅应当具备通过频率、工具特征识别Bots自动化攻击的能力，还应使用更加高识别力的人机识别和防御技术，识别各种隐藏工具特性、高度拟人化的绕过WAF检测的访问行为，企业应关注下一代WAF对Bots流量识别的效率和深入。

02 是否具备不依赖补丁的漏洞防护能力

尽管开发人员和IT安全团队尽了最大努力，但大多数应用程序都存在漏洞。数据显示，在被扫描的网站中，超过83%的站点至少有一个漏洞，20%的站点被发现有一个“关键”漏洞，这使得黑客很容易利用漏洞访问敏感数据或更改网站内容。最糟糕的是，漏洞的平均修复时间为59天，这使得应用程序暴露在攻击之下的时间过长。除了修复漏洞的成本和时间问题，遗留应用程序中的漏洞可能已经多年未被触及，寻找应用程序供应商获取补丁可能难上加难。

因此，WAAP平台必须有能力不依赖补丁对已知漏洞、0-day漏洞探测和利用进行识别，通过动态技术、智能威胁分析技术等手段进行更加主动的威胁防护。

03 能否识别伪装和欺诈流量

与传统应用类型漏洞相比，逻辑漏洞具有不易发现、不易防护的特点，当攻击者实施违规操作时，传统WAF并不能识别这类看似正常的操作。当攻击者利用越来越普遍存在的业务逻辑漏洞，发起越权操作、刷单、模拟登录操作等行为时，WAF要如何区分这是攻击者所为，还是正常的用户行为？

因此，WAAP平台在具备人机识别能力的同时，还应能通过流量学习和智能行为分析技术，以区分恶意攻击、异常业务流量，以及DDos这类的重复攻击。在不阻止合法流量的情况下阻止网络攻击。

04 能否领先于黑客，进行主动防御

随着攻防战的升级，黑客在持续创造新的攻击工具，磨炼现有技术，招募团伙共同作案，不断对应用程序造成新的威胁，甚至可以通过丰富的语法和参数变形、流量加密等方式绕过传统WAF的特征检查功能。

基于此，WAAP平台应需拥有最新的主动防御技术，才能击败日益升级的网络威胁，通过动态安全、机器学习和智能分析模型、威胁情报等新兴技术对抗黑客。在攻击者进行扫描探测漏洞之时及时发现和阻止，将欺诈行为及时甄别，实现业务风控前置。

05 能否多形态部署

在数字化时代，企业IT形态多样，应用程序可能部署在本地、云上乃至混合环境中。因此，下一代WAF-WAAP平台应支持多种丰富的部署形态，包括反向代理、透明部署、镜像部署、插件化部署，满足各类用户场景的部署需求。同时，应支持集群多节点部署，满足用户海量业务流量的防护需求。

06 能否多应用支持

随着Web、APP、API、微信、小程序等业务接入渠道的愈加丰富，下一代WAF-WAAP平台也应当具备对多应用的支持能力，满足用户在任何Web场景的需要，实现全业务渠道防护。此外，应通过全访问记录和多维度关联分析，将各业务接入渠道的数据进行融合，实现用户访问数据追踪和透视，达成Web安全一体化的统一管理。

三、德迅云安全WAAP全站防护

全站防护是基于风险管理和WAAP理念打造的安全方案，以“体系化主动安全” 取代安全产品的简单叠加，为各类Web、API业务等防御来自网络层和应用层的攻击，帮助企业全面提升Web安全水位和安全运营效率。

平台特色

全周期风险管理：基于事前-事中-事后全流程，通过资产发现→策略布防→体系化运营，实现风险管理闭环。

全方位防护：聚合DDoS云清洗、Web攻击防护、业务安全、API安全、全站隔离5大模块，实现覆盖L3-L7层的全站防护

简化安全运营：统一纳管多云环境所有Web业务、一个后台统一控制、打破数据孤岛，大幅降低安全运营复杂度和人力成本

防护效果卓越：多模块数据联动，秒级识别低频DDoS、业务欺诈等隐藏恶意行为；主动威胁情报和全站隔离技术实现主动防护、屏蔽0day漏洞威胁

产品功能

1.云端部署：一键接入，无需改造现有架构，专家7*24小时在线支撑，实时解决问题

2.风险管理：在事前阶段，结合安全专家服务，帮助企业发现并收敛Web业务安全风险

------漏洞扫描：通过漏洞扫描器对Web应用资产进行安全扫描，发现Web应用中存在的安全漏洞(OWASP TOP10、弱口令、CVE漏洞等)；

------渗透测试：派出安全专家，以黑客视角对目标系统进行非破坏性漏洞挖掘，清查目标系统潜在的安全隐患；

------智能化防护策略：平台基于客户业务的智能化分析，可自动适配防护策略，实现开箱即用；

------API资产盘点：基于流量分析，帮助企业从流量数据中发现尚未掌握的API业务，形成API资产清单，为后续的防护工作做好资产盘点；

------互联网暴露面资产发现：通过平台和人工服务的方式，对域名、IP及关键字的综合查询及关联分析，提供互联网资产的发现、识别、监测、稽核等服务，帮助用户发现和梳理互联网资产；

3.全站防护：在事中阶段，从网络安全、应用安全、业务安全、API安全各层面，为Web应用提供全面安全防护闭环

------DDoS防护：秒级检测专利技术，在边缘实时清洗网络层DDoS攻击；

------CC防护：基于AI的流量行为分析技术，实现对应用层CC攻击的秒级检测及防御；

------业务安全：针对业务层面，提供轻量化的信息防爬和场景化风控能力；

------API安全：针对API应用进行精细化的管理和防护，规避API滥用行为、防止数据泄露；

------Web攻击防护：覆盖OWASP Top10的各类Web攻击防护，基于CDN的分布式算力提供弹性防护和海量IP封禁，同时支持与源站本地防护联合决策提高防御精度；

------全站隔离：基于远程浏览器隔离技术使网站源代码不可见，从而主动隐藏网站攻击面，同时结合混淆访问路径、加密交互内容等技术，实现对0day漏洞攻击的有效屏蔽；

------协同防护：通过全站防护管理平台，对网络L3-L7层各防护模块的安全策略进行统一管理，并通过数据聚合、情报协同，形成真正的纵深防护，简化运营工作的同时进一步提升整体安全的防护水位。

4.安全运营：在事后阶段，以降低风险为目标，全站防护管理平台提供体系化的安全运营能力，帮助企业夯实全周期风险管理闭环

------全面的安全态势：聚合各防护模块数据，以简洁、贴近业务的形式呈现，用户可总览web安全态势，主动感知和响应已知安全事件；

------持续优化的托管策略：结合平台实战对抗经验和持续的攻防研究成果，管理平台持续提供推送更高质量的防护规则和策略建议，对业务防护策略进行优化，与黑产持续对抗；

------安全专家运营：德迅云安全资深安全专家提供策略优化、应急响应、重保等专项安全服务，同时对客户风险的持续监测与防护管理。

应用场景

金融机构：在云端为金融行业提供第一道安全防线，与本地防御形成联合防控体系，解决重大活动期间本地防御性能瓶颈问题，保障业务高可用、安全高水位。

------超大规模算力及防护资源，弹性应对业务突增，并承接对性能消耗极大的防护策略（如海量IP封禁），缓解本地压力；

------通过补充最外层云端防线，形成云地联合防控，帮助政府单位、央企国企及其下属二、三级单位的门户网站、信息公示系统统一安全水位、提升合规水平，并提供重要时期安保、政务数据保护、打击山寨钓鱼网站等能力。

------所有业务云端统一纳管，为集团及下属二级、三级单位提供集中安全防护。全网威胁情报、云端攻击数据共享，为本地安全体系提升主动防御能力和运营团队研判效率；

------云端检测能力与本地互补，形成异构深度检测，避免漏报；

------通过高危情报、防自动化扫描及全站隔离防护能力，实现对0day攻击的无规则防护。

政务及央企国企：通过补充最外层云端防线，形成云地联合防控，帮助政府单位、央企国企及其下属二、三级单位的门户网站、信息公示系统统一安全水位、提升合规水平，并提供重要时期安保、政务数据保护、打击山寨钓鱼网站等能力。

------阻断漏洞扫描行为，WAF防护率行业领先的，帮助政企单位提升合规水平；

------超强抗D、专项情报、专项策略模板、政企白名单等能力，强化两会、国庆等重要时期安全保障；

------网站防复制、数据防抓取技术，防止黑灰产利用爬虫工具复制政府网站用于钓鱼、诈骗等恶意目的；

------所有业务云端统一纳管，为集团及下属二级、三级单位提供集中安全防护。

媒体资讯：针对媒体资讯类网站对内容安全及合规建设的高要求，在云端补充最外层防线，统一收敛攻击面，提升防护水位，建立风险闭环。

------行业领先的WAF防护率，防止新闻媒体网站被攻击、篡改，造成不良社会影响；

------媒体网站通常内容丰富、目录层级较深，全站防护提供定期的网站风险检测，避免出现暗链、黑链等风险；

------网站防复制、内容防抓取技术，防止黑灰产利用爬虫工具复制新闻网站，进行钓鱼、诈骗、造谣等恶意行为。

电商零售：为电商及零售企业提供全面的业务安全风险防控。

------对于黑灰产利用自动化工具“薅羊毛”、刷水刷量、占座抢票等业务欺诈行为，提供多层级、场景化AI反欺诈风控能力进行强力反制；

------防止竞争对手、第三方比价软件利用爬虫工具长期抓取、监控电商平台商品价格信息，导致平台定价策略、优惠策略泄露；

------防止黑灰产利用爬虫工具抓取用户的登录信息、交易信息等，造成用户信息泄露；

------大促、新品发布期间，防护黑产DDoS勒索，并支持一体化安全加速，保障网站业务可用和用户体验。