1 引言
随着我国数字化进程的加速发展,网站数量和各类应用呈现爆发式增长。 同时,利用Web漏洞的攻击数量也与日俱增,黑客攻击不断升级,包括各种拟人化自动化攻击、API攻击、零日攻击等,给Web应用的安全防护带来了巨大的挑战。
传统的Web应用防火墙(WAF)主要采用规则匹配和基于黑名单的攻击检测方法来防范已知攻击,虽然具有一定的安全防护能力,但无法应对复杂、自动化、智能化的攻击方式。 同时,我们也发现,很多行业用户的安全需求也在从监管合规向更加注重攻防的实际效果转变,也要求WAF具备智能、准确、灵活的实践能力。
大数据、人工智能等新技术的引入,将Web应用防护从传统的签名库、黑名单等单一防御转变为结合安全基线自学习习、智能恶意脚本识别、实时防御机器人自动攻击等的多业务智能综合防御系统,被定义为“现代WAF”。
为了客观真实地反映现代WAF的市场和行业应用情况,数字咨询通过数据收集、问卷调研、企业访谈、市场数据分析等方式编写了《现代WAF市场指南》。 同时,报告还梳理描述了现代WAF的概念、市场规模、行业需求等,供业内人士参考。
2 主要发现
为了识别和防范机器人攻击和各种恶意脚本攻击,现代WAF有两种对策:一种是基于精确的规则库,另一种是基于动态验证、语义分析、行为分析等新技术应用。
现代 WAF 保护的对象范围更广,不仅可以为网站提供安全保护,还可以识别和保护 API、应用程序和小程序等应用程序,无论这些应用程序是在云中运行还是在本地运行。
2022 年的统计数据显示,云 WAF(占 44.8%)的市场份额已经超过了硬件WAF的市场份额(42%),而且这个份额在未来还将继续扩大。
据调查统计,2024年中国Web安全防护(WAF)市场规模将达到35亿元,预计2024年将达到42亿元,预计到2024年,WAF市场规模有望达到70亿元。 现代WAF产品目前占所有WAF市场份额的30%左右,预计未来三到五年,现代WAF产品将逐渐成为主流,并占据WAF产品的大部分市场份额。
目前,WAF产品的主要需求仍是合规,需求量排名前四的行业分别是:金融(164%)、部委(161%)、运营商(158%)和国防公安(115%)。中国现代WAF产品一般针对监管场景进行优化,例如在日志审计和应用监控方面提供更优化的安全操作功能。
在硬件、重防护、攻防演练等关键应用场景下,现代WAF能够有效防御Web攻击,提升防御能力,及时准确地获取攻击者信息,为防御者提供更多的战术选择。 例如,将攻防融合理念与现代WAF相结合的“可编程防御平台”,通过将攻防经验实时转化为防御模板并快速交付,实现敏捷防御,提升现代WAF的实战能力。
3 概念描述
通过对国内市场需求和应用的研究,对现代WAF做出了如下定义:
现代WAF是集成了多个安全检测引擎,具备智能化、自动化、一体化防护能力的Web应用安全解决方案,不仅可以对SQL注入、跨站脚本攻击、应用漏洞攻击、拒绝服务攻击等传统Web应用攻击进行监控、过滤和拦截,还可以应对机器人攻击等新威胁。 应用层DDoS、APT等高级持续性威胁,支持API、小程序等多种业务应用的安全防护。
除了传统WAF的威胁防护能力外,现代WAF还具有以下关键能力:
基于非规则数据库的威胁识别与防护
例如,通过动态验证、语义分析、行为分析等智能分析技术,识别和防范机器人攻击和各种恶意脚本攻击。
多场景应用安全防护
它不仅提供 Web** 防护能力,还支持基于 Web 应用的 API、App、小程序等各种业务场景的安全防护。
支持云化部署和弹性防护性能
通过虚拟化或云原生部署在云环境中,防护性能会根据不同需求弹性变化。
保护功能模块化,满足定制需求
功能模块化交付,不同应用场景或需求的用户可灵活选择,无需二次开发。
现代 WAF 可选功能:
Web 访问优化
网页防篡改
表单加密与信息混淆
敏感数据泄露防护
支持国家密码算法
配合其他安全工具,如扫描、防DDoS、防火墙等我们也注意到,WAAP(Web Application and API Protection)的概念在过去两年中在网络安全领域引起了很多关注。 WAAP 强调 API 保护与 Web 应用程序保护同样重要。 然而,API安全防护面临诸多挑战,如API数量庞大、接口类型多变、传输数据敏感复杂、跨系统协作等流程壁垒等。 事实上,现代WAF和WAAP的API防护能力有限,API安全防护需要更专业的产品来实现。
注意:本报告中所有提及的“现代 WAF”均指此概念中定义的 WAF 解决方案,而仅“WAF”是指传统的 WAF 产品或解决方案。
第4章 市场指南
4.1 能力企业
本报告入选的WAF厂商为(按公司缩写字母顺序排列):安恒信息、安书云、电信安全、冠安信息、浪潮云、绿盟科技、瑞书信息、赛宁网络安全、山石网络科技、盛邦安防、天融信、腾讯安全、网宿安全、云盾智慧、云客安信共15家公司,并按横轴-行情执行, 纵轴-应用创新为基础,通过能力点矩阵图如下:
国内现代WAF厂商能力的点图。
注:部分厂商因自身原因未参与排名)。
为了更客观地反映新赛道上各有能力的企业特点,方便终端用户选择更适合自身需求的安防企业作为潜在合作对象,数字咨询进一步将点阵图横轴的“市场执行力”拆解为四个维度:市场收益、 品牌影响力、行业广度、行业深度,进一步将“应用创新”拆解为产品工程、业务场景、理论和基础研究,技术融合有四个维度,以上八个维度以雷达图的形式展示如下(按公司缩写字母顺序排列):
国内现代WAF制造商能力的雷达图。
注:部分厂商因自身原因未参与排名)。
4.第2章 市场概要
根据本次调查的统计,2024年Web安全防护(WAF)市场规模为35亿元(注:上述未参与市场排名的企业数据也计算在内),根据今年参与安全厂商的WAF收入估算, 2024年WAF市场规模约42亿元,预计到2024年WAF市场规模将达到70亿元,整体WAF市场年复合增长率约为20%。
值得一提的是,大部分销售数据还是传统WAF产品的销售份额,其中现代WAF产品的销量估计占比接近30%,我们也发现,几乎所有厂商在解决方案和产品推广方面都在向现代WAF解决方案或WAAP解决方案转变, 预计未来三到五年,现代WAF产品将逐渐成为主流,并占据WAF产品的大部分市场份额。
WAF 市场规模**。
在2024年之前,WAF市场仍是硬件WAF的发源地,但数据显示,自2024年以来,云WAF的销售额已经超过了硬件WAF(如图),并且随着云计算的快速发展和云业务安全需求的不断释放,未来几年云WAF的市场份额将持续增长。
WAF产品形态。
软件WAF、硬件WAF、云WAF等多元化产品形态为不同客户提供了更多选择,WAF产品整体市场将快速增长,但几代咨询研究发现,三种形态的WAF产品增速不同,预计到2024年, 三类WAF产品的发展趋势如下:
不同形式的 WAF 产品的 5 年趋势**。
4.3 需求分析
从机构用户所在的行业来看,排名前四的行业分别是:金融(164%)、部委(161%)、运营商(158%)和国防公安(115%),完整行业需求占比如下图所示
行业需求占比。
随着行业安全风险的增加和客户需求的升级,调查发现,更多客户对WAF产品的需求不再局限于监管合规,而是更面向实战和持续运营。 推动现代WAF在国内市场发展的主要需求因素有:
需求一:新法规、新政策强力推动WAF应用落地
新《网络安全法》和《数据安全法》颁布后,安全合规成为企业优先考虑的因素之一。 结合行业监管要求,政企用户对WAF产品有明确的监管合规要求,我们发现国内WAF产品在监管需求方面普遍进行了优化,在日志审计和应用监控方面提供了更加优化的安全运营功能,用于辅助用户进行合规测试和风险评估。
需求二:WAF产品的性能和可扩展性是业务规模扩张所要求的
WAF需要能够处理超大规模的业务流量,以保证在大量请求到达时有足够的吞吐量和低延迟。 目前支持软件化部署的软件WAF和云WAF产品在满足这一要求方面具有更多优势,而支持集群化部署的硬件WAF在一定程度上也能满足这样的要求,但过高的采购成本也限制了用户的选择。
需求三:利用WAF提升关键业务场景的战斗力
在硬件、重防护、攻防演练等关键场景下,需要WAF有效防御Web攻击,提升防御能力,获取攻击者信息,为防御者提供更多战术选择。 现代WAF除了利用精准的威胁情报快速检测和拦截攻击外,还可以应用机器习模型,通过自动安全分析,实现攻击行为的快速路径跟踪,帮助用户快速定位问题根源,大大缩短从漏洞利用到发明的时间窗口,满足实战能力的需求。
例如,云客安信针对攻防一体化提出了“可编程防御平台”的概念,将防御功能根据场景组合成“防御模板”,使用户无需了解和学习习复杂的安全防御原理和功能,而只需要根据要防护的业务场景参考相应的防御模板即可。 一方面大大降低了现代WAF的使用门槛,另一方面通过防御模板的快速交付,实现了敏捷防御,提高了现代WAF的实战效能。 为了在攻防对抗中“先行一步”,云客安信利用黑客画像技术,通过分析黑客的攻击行为、手段和风格特征,构建反映黑客风格的画像模型,用于判断和识别特定的黑客或组织,从而开展攻击活动,制定有针对性的防御策略。
要求 4:防御智能和自动化攻击
机器人自动化攻击和各种爬虫攻击大大提高了攻击效率,可以轻松绕过传统WAF的防护规则,不断挑战现代WAF的防御能力。 我们也注意到,国内一些厂商基于动态防御、语义分析等领先技术,赋予现代WAF更智能的攻击和威胁检测能力,通过机器学习习、行为分析等人工智能技术,大大提升了现代WAF的自学习习和适应性。 现代WAF正在成为集成多个安全检测引擎的AI系统,应用AI技术增强现代WAF的自适应防御能力,是应对多变复杂威胁的重要趋势。
需求五:API、APP、小程序等多业务安全防护
随着 API 和小程序使用范围的不断扩大,越权访问、参数篡改、重放攻击等安全威胁也越来越多。 针对API、小程序等接入通道,现代WAF对接口和业务逻辑进行风险扫描和评估,通过限制接口访问、过滤敏感数据等方式,防范数据泄露、业务入侵等风险。
需求6:行业差异化需求
不同行业在网络安全方面存在差异化需求,推动WAF产品向功能多元化方向发展。 例如,金融行业需要重点关注核心业务系统接口的安全防护,因此对WAF的API防护能力需求旺盛。 电信运营商大量使用虚拟化技术,需要WAF通过轻量级虚拟化技术实现云服务的安全防护。 能源、交通等重要行业需要支持OT业务系统,这需要集群部署和统一管理。 各行各业的不同需求,促使WAF厂商集成了多种可自由选择的模块化能力。
5 应用案例
5.1 现代WAF在银行的应用案例(1)。
案例提供:瑞书信息]。
a.案例背景
为方便客户接入和快速开发客户,某大型银行为客户提供多种接入渠道,包括手机银行APP接入、网页接入、H5接入、微信接入、小程序接入和API接入。 随着API业务带来的流量增加和Web暴露风险和风控链的扩展,不仅利用Web应用漏洞的各种攻击事件日益增多,各种拟人化自动化攻击、API业务攻击、零日攻击对金融数字业务的影响也在快速增加, 而且攻击方式也越来越多样化。
1. 攻击的规模越来越大,操作性越来越强
为了牟取经济利益,专业黑客组织利用自动攻击(bots)对金融业进行大规模攻击。 这种模拟合法业务操作,没有明显攻击特征,利用自动化工具模拟用户正常登录、开户、转账、交易、信息查询等业务操作,非法滥用OpenAPI接口的自动化攻击同时,利用漏洞扫描和零日嗅探工具对应用系统漏洞进行批量检测,在攻击手段上呈现出专业性强、针对性强的趋势。
2、单点防御被动,效率低下
目前,金融企业主要针对各类应用面临的安全风险采用单点被动防御技术,整体应用安全防护能力较差。 仅依靠单点应用程序保护产品和解决方案不仅复杂且维护成本高昂。 此外,它无法有效防范新出现的威胁,并且缺乏关联和分析应用程序安全数据的能力。
b.溶液
瑞数下一代WAF-WAAP安全平台通过动态防御技术,实现对手机银行APP、Web**、H5页面、微信、小程序、API接口的统一防护,在下一代WAF-WAAP安全平台上实现各类接入客户端数据的集成。账号信息对各平台的访问数据进行关联和评分,实现多平台业务信息与威胁感知的联动,达到精准识别和拦截恶意自动化非法请求的目的。具体来说,它实现了:
全渠道接入的统一保护:实现全渠道服务(手机银行APP、网页**、H5页面、微信、小程序、API接口)的统一防护。
对跨渠道数据进行统一集成分析实现各类接入客户端数据的整合,通过最优IP和账号信息对各平台的访问数据进行关联和信誉评分,实现多平台业务信息与威胁感知的联动,达到准确识别和拦截恶意自动化非法请求的目的。
建立统一的应用安全标准建立标准安全,实现快速上线部署,规范整个安全流程,实现异构集成,满足安全能力无缝对接,降低金融业务创新成本。
c.方案特点:
1. Web应用协同保护
融合传统架构和云应用在多场景下的适配性和可扩展性,从传统网络边界迁移到各种Web应用、应用应用、API云服务,构建以业务逻辑、用户、数据、应用为核心的可信安全架构,全面抵御新的安全威胁。 系统部署后,大大提升了对欺诈行为的识别和追踪能力**,并可全程掌控攻击全貌,建立全方位的网络空间威胁立体作战能力。
2、安全技术变革,变被动为“主动防御”。
动态安全防御技术,无需依赖规则和补丁,为**安全提供主动安全防护。 以“动态防护”技术为核心,增加服务器行为的“隐身性”为业务层提供主动防御,高效屏蔽伪装、冒充正常行为的已知和未知自动化攻击,阻断未知威胁。
3. 基于AI技术的新思路
通过使用多个威胁模型来识别异常攻击,这些模型可以计算机 习 并阻止已识别的攻击请求。 每个威胁模型都代表一个特定的攻击类别(SQL 注入、跨站点脚本、操作系统命令注入等)。 这些威胁模型使用从各种来源(包括 CVE 和 Exploit DB 等威胁以及威胁情报和第三方漏洞扫描程序)收集的数十万个真实攻击样本中收集的数据进行了广泛的训练和测试,以发现高度隐蔽的攻击、提高检测率并减少误报和误报。 进一步过滤掉自动化攻击的噪音,使大数据风控更加精准高效,大大降低网络交易欺诈风险。
4. 加强对新出现的爬虫程序威胁的防护
机器人防护能力能够有效防御自动化工具发起的恶意爬虫、撞库、虚假注册、交易篡改、内网安全、API滥用、零日攻击等高效大规模攻击,保障业务、应用、数据三层的安全升级。 动态校验技术基于动态算法技术,每次终端巡检的逻辑和形式都不同,攻击者无法预测校验的内容,难以绕过就算你尝试反转**,也只有这次才有效,下次一定要再反转一次,攻击成本极高。 动态验证技术解决了全球同类型方案中易反转和旁路的问题通过对真实运行环境的验证和对终端攻击行为模式的分析,全面掌握攻击的全貌,准确刻画攻击者画像。
d.应用价值
[GF]2022[ GF] 解决业务安全问题
通过将所有Web、APP和API应用全部连接到平台上,通过动态安全技术,结合全量访问记录,利用大数据技术统一汇总访问日志,进行全面的关联安全分析,发现可能的攻击行为,有效拦截各种自动化攻击行为, 并防范黑市发起的各类业务攻击,如:有效阻断自动化工具发起的批量查询和异常交易行为,以及海外IP使用多个账号频繁登录和交易的异常行为。此外,下一代WAF-WAAP安全平台具备防范未知攻击的能力,保护业务系统免受零日漏洞攻击,为安全运维提供充足的时间修复漏洞,为相关一线部门提供自动化工具拦截、安全告警、数据输出、给出处理建议等能力,实现统一的安全威胁防护和分析。
[GF]2022[ GF] 降低金融企业经济损失
金融企业为了提高经济效益,经常组织一流的活动,大量毛党利用自动化工具带走了金融企业的大量一流投资,给企业带来了巨大的经济损失。 此外,通过下一代WAF-WAAP安全平台,可以清晰地了解真实用户对那些业务的热情更高,哪些业务拥有大量用户,哪些活动可以吸引更多的注册用户,从而辅助业务推广通过用户画像了解用户的行为模型,可以实现精准营销,增加收入。
[GF]2022[ GF] 助力金融行业打黑产业链
该项目的成功经验为金融行业对抗黑产业探索了一条新途径,首先,它从黑产业链的核心环节“自动化工具”入手,让所有的自动化工具都无法操作,从而打破黑色产业链;其次,基于Web、APP、API服务的全渠道防护,跨渠道数据融合,业务安全视角,应用安全统一管理,形成安全联防态势,安全能力大幅提升。
e.几辈子的评论
随着金融数字化进程的加速和客户接入渠道的不断增多,金融行业面临着越来越大的安全威胁,传统的基于规则库的WAF防御技术难以有效应对,金融企业亟需新一代Web应用安全解决方案。 瑞数信息的现代WAF解决方案集成了动态防御、AI和机器人防护技术,可实现全渠道Web业务的安全防护。
5.2 现代WAF在银行的应用案例(2)。
案例提供:绿盟科技]。
a.案例背景
数字化转型的需求对金融机构的网络安全建设提出了更高的标准,银行业正在全力打造数字银行、开放银行、场景金融等,这倒逼银行更加重视线上运营,这不仅要求进一步扩大银行开放性,也对安全风控提出了更高的要求。
银行拥有大量的核心Web服务,Web安全建设缺一不可。 金融用户会关注业务安全、微服务架构、集群部署等,随着业务的增长,对高可用性的要求也越来越高。 现代 WAF 是一种安全产品,可防止 Web 攻击并保护银行业务。
某知名银行的现状是,其业务存在于多个地方,需要保护的网站很多,同时存在IPv4和IPv6环境。 银行客户需要解决的问题是:如何统一防护300+站点,未来增加新业务时如何横向扩展安全设备,如何避免单点故障。
b.溶液
本项目采用现代WAF的集群池,结合分组集中管理,解决以下问题:
c.方案特点:
(1) 现代 WAF 反向 ** 部署
通过反向资源池部署,当客户端增加新业务时,无需更换新设备,可以通过扩展WAF资源池来满足需求。 现代WAF首先通过业务稳定性检测和集中策略管理实现高效的Web安全管理,然后使用F5负载均衡的自动最后一跳机制,确保WAF**流量时真实源IP不变,便于安全风险溯源。
(2)WAF集中管理
通过集中管理平台ESPC,对WAF进行集中管理,实时监控设备健康度,快速发现和处置设备问题,大大提高运维效率。
集中式管理平台实现的功能包括:
混合集中管理对于客户部署的大量WAF设备,无论是本地多单元部署、异地部署,还是云本地联合部署,都采用ESPC实现一个管理节点,解决用户多管控的问题,耗时浪费人力投入。
策略是集中管理的:集中式管理平台,可解决逐个配置多个WAF的痛点。 集中管理后,可以通过平台对配置进行统一分发,逐一解决原有手动配置中出现人工错误的意外情况。 现代WAF除了支持一键下发策略配置,节省运维成本外,还支持自动脚本在集中管理平台提前进入策略变更操作,提前灰度验证,一键申请变更时间,确保夜间快速、准确地完成变更。 通过集中管理,运维效率大幅提升,200 台 WAF 配置策略仅需 4 小时,耗时 20 小时。
业务稳定性监控:在一个平台上,您可以直接访问所有WAF的运行状态,并实时监控设备的健康状况。 每天监控WAF磁盘状态、CPU状态、流量状态、日志处理速率、业务状态、数据访问状态、基础服务、应用容器状态、漏洞确认状态等。 一旦发现异常WAF,系统会快速处理问题并切换流量。
自动化运维:现代WAF可以根据客户要求的统一告警格式规范,生产快速发布工具。 此外,通过全开放的API接口和客户态势感知平台,可实现全场景、灵活操作的自动化运维系统,基于典型Web安全场景编写脚本,通过脚本自动封装调用实现运维一体化。
d.应用价值
GF]2022[ GF] 更加稳定,保证业务可靠性。
gf]2022[ gf] 添加或移除集群设备,可随时切换升级。
GF]2022[ GF] 在报告紧急情况时,可以快速切断交通以消除干扰。
GF]2022[ GF] 兼顾 Web 安全、API 安全、机器人安全的一体化解决方案e.几辈子的评论
该方案解决了300+银行站点的统一Web安全防护问题,以及未来新增业务节点时如何横向扩展安全能力,同时避免单点故障。 该方案采用现代WAF资源池部署,业务稳定性更强,可靠性更高,同时大幅降低客户的网络安全运营成本,避免单点故障风险。 对于新业务的推出和旧业务的扩展,也实现了在不断网的情况下扩容。
the end 】—