近年來，隨著移動互聯網的快速發展，誕生了APP、H5、小程序等多種應用形式，更多的企業核心業務、交易平臺都越來越依賴這些新型應用程序。與此同時，越來越多的第三方API接口被調用，API業務帶來的Web敞口風險和風險管控鏈條的不斷擴大，已非傳統WAF的防護范疇。雖然WAF產品通過多年的發展已經相對成熟，但其對復雜威脅的檢測和響應能力仍有待進一步提升，新一代WAF的產品理念開始被提出。

為了更好探尋新一代WAF的應用價值與發展方向，安全牛聯合瑞數信息等7家國內WAF產品研發與應用領域代表廠商，啟動《新一代WAF技術應用指南》報告研究工作，從企業當前的Web應用防護需求入手，并圍繞用戶的系統應用特征，給出新一代WAF產品的部署和選型建議。12月19日，報告正式發布。瑞數信息技術總監吳劍剛受邀參與當天舉行的線上發布會，并結合“多元防護 動態融合”主題，分享了瑞數信息在構建WAAP解決方案過程中的實踐與探索。

瑞數信息技術總監吳劍剛

Web安全面臨新挑戰，傳統應用安全技術失效

據吳劍剛介紹，今年以來，越來越多的企業遭遇到零日漏洞的高頻攻擊，攻擊者通過利用軟件中的漏洞對企業服務器進行未經授權的訪問、加密和操控，并以此作為勒索籌碼，為企業造成巨大損失和業務中斷。

根據身份盜竊資源中心（ITRC）的統計數據顯示，零日漏洞攻擊尤其呈上升趨勢，與去年相比，2023年前三個季度的攻擊數量增長了1620%。一系列因零日漏洞所引起的安全事件引發了企業的廣泛關注和恐慌，也暴露出網絡安全的脆弱性和企業在面對新興威脅時的不足之處。

與此同時，隨著企業業務朝向多態方向發展，除了傳統網站業務之外，APP、小程序、H5、API等各類端口進一步豐富，也持續增大了風險的暴露面。特別是APP和小程序的普及應用，由于開發相對簡單快速，其安全防護并不像傳統安全防護那么細致，因此成為主要的攻擊目標之一。

吳劍剛介紹，攻擊者往往為了降低攻擊成本，會嘗試繞過APP和小程序對客戶端的限制，直接對API接口發起攻擊，由于脫離了設備限制，攻擊門檻大幅降低，這對初級黑灰產組織而言，也可以非常輕易地實施規模化攻擊。

對于傳統Web安全而言，防御手段追求靜態的“絕對安全”，在全生命周期內很難經受的住惡意攻擊的考驗。隨著應用安全架構的持續升級，一系列新的安全挑戰隨之而來。

其中，業務和數據正在成為網絡攻擊的主要目標。比如企業在為客戶提供服務時，通常會提供注冊和登錄接口，這些接口會面臨批量注冊、撞庫和暴力破解的風險；當網站提供服務時，將面臨被惡意爬取網站信息、敏感數據等風險；在進行在線交易時，會面臨虛假交易和交易被篡改的風險；在開展線上營銷活動時，也會面臨營銷資源惡意搶占、薅羊毛等危害程度不一的風險。

隨著新技術的不斷發展，攻擊手段也會隨之動態升級，以上這些風險往往都批著“合法”的外衣，利用工具模擬合法的業務操作，具有更強的隱蔽性。同時，通過大量使用自動化工具，使網絡攻擊更加高效、更具規模化，再加上多源低頻的特征，讓防火墻等傳統安全很難識別和防護。

據吳劍剛介紹，全球范圍內超過90%的安全攻擊是由自動化攻擊發起的，攻擊流量中超過90%的流量是由自動化工具發起的，網絡流量中超過50%的是自動化工具發起的流量。隨著網絡攻擊的技術水平不斷提高，攻擊特征也愈發隱蔽，其已經由最初對已知漏洞進行攻擊，通過高級自動化攻擊、自動化+黑產資源庫等多種技術手段加持，進化為可以隱藏機器特征和惡意特征。另外，通過智能化的AI技術，可以繞過基于規則庫、特征庫、流量學習、信譽庫、威脅情報等傳統防護手段，讓被動防御面臨“失效”境地。

變被動響應為主動防御，構建多元防護、動態融合的WAAP安全防御系統

針對日趨嚴峻的網絡安全形勢，吳劍剛認為，更需要變被動響應為主動防御，實施積極防御，這就需要以更加全面的視角看待網絡安全問題，并依靠各技術之間的相互配合，對應用和系統安全做到心中有數、防護有方。

Gartner預測，2026年，40%的企業會基于更高級的API防護能力選擇WAAP解決方案，而更加自動化的風險發現能力和異常檢測能力將備受行業關注。

伴隨下一代應用安全WAAP能力的不斷演進，未來的應用安全趨勢將是WAAP應用安全融合平臺。對此，吳劍剛表示，瑞數信息WAAP解決方案構建起全業務渠道統一防護的能力，不僅實現Web應用程序和API的統一管理，還能進行多維度統一防護，從Web應用安全防護、DDoS攻擊防御、Bot管理到API安全防護等多維度構建應用安全防御體系，為企業業務連續性和數據安全保駕護航。

綜合來看，瑞數信息WAAP解決方案將全渠道業務進行歸集融合統一防護，通過設備指紋、全訪問記錄、客戶端采集、行為分析對攻擊進行精準溯源，并利用漏洞隱藏、攻擊阻斷等方式，為Web、H5、APP、小程序、API提供全面防護，實現資產暴露面收斂。同時對WAF、Bot、DDoS、API等多元攻擊進行充分防護，最終實現不同業務渠道之間、與其他安全產品的聯防聯控。

針對愈演愈烈的自動化攻擊，瑞數信息通過一系列動態安全技術，包括動態驗證、動態封裝、動態令牌和動態混淆等，不斷改變目標系統反應的內容和行為，防止攻擊者找到突破口，并預測目標系統的行為，從而增加攻擊難度，讓攻擊者無從下手。

此外，瑞數信息還將動態安全技術和AI技術融合起來，涵蓋了機器學習、智能人機識別、智能威脅檢測、全息設備指紋、智能響應等AI技術，對客戶端到服務器端所有的請求日志進行全訪問記錄，持續監控并分析流量行為，實現精準攻擊定位和追蹤溯源，并對潛在和更加隱蔽的攻擊行為進行更深層次的分析和挖掘，更加精準、持續地對抗惡意爬蟲帶來的自動化攻擊。

目前，瑞數WAAP解決方案支持本地、云及SaaS等多形態部署，也支持Web、APP、API、微信、小程序等多種業務接入渠道，已擁有超過1000家頭部標桿和關鍵基礎設施企業客戶，用戶群廣泛覆蓋政府、電信、金融、醫療、教育、電力能源、互聯網等眾多行業和領域。

近兩年，瑞數信息憑借近年來API領域和數據安全領域所取得的突出成績，其技術實力和市場表現受到國際權威機構認可。今年9月，瑞數信息入選Gartner中國API領域代表廠商；11月，瑞數信息被IDC列為中國數據安全市場代表廠商，并作為防勒索+防爬蟲兩大熱點領域的代表性技術提供商被收錄其中。

同時，瑞數信息成為國內首批“云原生API安全能力”和“WAAP能力”認證的安全廠商，深度參與中國信通院發起的《云原生安全能力要求第1部分：API安全治理》標準編制，為云服務商及企業用戶構建云原生API安全治理能力提供參考。今年8月，瑞數信息還與中國信通院云計算與大數據研究所聯合撰寫并發布《云上WAAP發展洞察報告（2023）》，足見瑞數信息在API、WAAP等綜合領域的強勁實力。

在AI和大模型時代，網絡安全攻防的對抗不斷升級。對于瑞數信息的未來，吳劍剛表示：“瑞數信息將以技術前瞻的視角，持續進行安全科技創新，鞏固應用和數據安全的基礎，為企業用戶構建面向智能時代的新一代主動防御安全體系。”