6月30日，網宿科技子品牌網宿安全在線上召開2022年度互聯網安全報告發布會，正式發布《2022年Web安全觀察報告》(以下簡稱《報告》、《零信任安全白皮書》以及《SASE安全訪問服務邊緣白皮書》。

據悉，此次發布會是網安行業首個由虛擬數字人主持的發布會，運用了網宿科技旗下一站式虛擬數字人直播產品網宿虛擬直播，打破次元壁，實現虛實相融，為公眾呈現了一場別開生面的安全趨勢解讀。

會上，網宿科技副總裁、首席安全官呂士表指出，《報告》折射出Web安全面臨的威脅愈發嚴峻，主要體現在幾大方面：一是高危Web漏洞持續爆發；二是API已成灰黑產的頭號攻擊目標；三是DDoS攻擊翻番增長，Tbps級別成為常態；四是Bot攻擊成倍攀升，自動化攻擊強度加大；五是在線業務欺詐風險顯著提高；六是多樣化威脅層出不窮，亟需新的安全防護方案。

具體來看，2022年，網宿安全平臺共檢測到2700萬次針對Log4shell各個變種漏洞的利用，并且諸如Apache Fineract路徑遍歷漏洞、OpenSSL安全漏洞、SQLite輸入驗證錯誤漏洞等大量新的高危漏洞不斷涌現。而針對API的攻擊占比首次突破50%，達到了58.4%，API上升為黑產攻擊的頭號目標。

呂士表分析認為，核心原因在于企業對自身API資產現狀不清，存在未知的僵尸API、影子API等，大量的敏感數據暴露在API之上，給攻擊者留下了突破口。同時API沒有上下文，攻擊成本較低，攻擊者通過簡單的網絡請求即可獲取數據或者進行攻擊。

DDoS攻擊方面，《報告》顯示，2022年DDoS攻擊日均發生43.92萬次，同比增長103.8%，T級以上DDoS攻擊頻發，全年最高攻擊峰值達到2.09Tbps。當前的攻擊規模已經遠遠超過單個數據中心的防護能力，運營商、大型的公有云以及分布式的CDN跟邊緣計算廠商成為大規模DDoS攻擊的防護主力軍。

Bot攻擊則持續倍增。2022年，Bot攻擊平均每秒發生約5175次，攻擊量為2021年的1.93倍、2020年的4.5倍。Bot攻擊手法更加隱蔽，不僅是通過偽造正常的User-Agent或者模擬正常瀏覽器做自動化框架的攻擊，還通過模擬人的行為規避成熟的Bot檢測，使得防御難度進一步加大。

值得注意的是，隨著API廣泛應用于各個在線業務，涉及交易、賬號敏感相關的環節都備受灰黑產關注，在線業務欺詐風險驟升。《報告》發現，黑灰產已高度成熟，通過大量自動化、流程化的方式進行業務欺詐，并貫穿于整個在線業務場景。在注冊、登錄、營銷場景下，自動化攻擊占比均在50%以上。

此外，Web安全威脅趨于多樣化，同時遇到2種以上威脅的Web業務占比高達87%，遇到3種以上威脅的Web業務占比仍達65%。傳統WAF難以覆蓋如此多樣化的威脅，行業亟需升級安全防線。

對此，呂士表進一步指出，從客戶服務端到流量側的邊界再到用戶訪問的第一公里，每個環節都需要相應的防護能力，而從縱深的角度來看，這就意味著需要3-7層的一體化防護。目前，云WAAP是公認的首選。

WAAP全稱Web Application and API Protection，根據Gartner的定義，WAAP是集DDoS防護、WAF、Bot管理、API防護于一體的下一代Web安全防護解決方案，實現從基礎設施防護、Web應用防護、API管理與防護，以及自動化工具管理與威脅防御。

據悉，網宿安全于2017年發布了全國首個安全加速解決方案，具備CDN加速和DDoS防護、WAF一體化能力，隨后增加了Bot管理、API管理與安全能力，實現了WAAP的全棧能力。

此前，網宿安全在業內首家通過了信通院“WAAP安全能力評估”。另外根據國際數據公司IDC報告數據，網宿安全在《IDC MarketShare：中國公有云抗DDoS市場份額，2022》報告中以5.4%的市場份額位列第五，成為前五陣營中唯一一家非公有云計算廠商，而在IDC《中國云Web應用防火墻市場份額，2022》報告中，網宿安全也以5.3%的市場份躋身前五。

“目前，從國有銀行、到大型的央企到跨國的企業都在廣泛使用網宿安全WAAP一體化全棧安全體系。”呂士表表示。

據了解，此次《報告》是網宿安全連續第七年面向外界輸出專業安全報告，由網宿演武安全實驗室基于網宿全球邊緣計算及邊緣安全平臺的監測數據，進行深入挖掘分析而來。依托在全球部署的20多萬臺服務器、2,800多個節點，網宿平臺服務80%的中國網民，日均承載萬億級請求流量，捕獲30億+攻防樣本，平臺整體防護規模超過15Tbps。