(資料圖)

21世紀經(jīng)濟報道記者白楊 北京報道

6月30日下午，網(wǎng)宿科技子品牌網(wǎng)宿安全發(fā)布了《2022年Web安全觀察報告》(以下簡稱“報告”）。報告指出，2022年，網(wǎng)宿安全平臺共檢測到2700萬次針對Log4shell各個變種漏洞的利用，而針對API的攻擊占比首次突破50%，達到了58.4%，API上升為黑產(chǎn)攻擊的頭號目標。

對此，網(wǎng)宿科技副總裁、首席安全官呂士表呂士表分析認為，核心原因在于企業(yè)對自身API資產(chǎn)現(xiàn)狀不清，存在未知的僵尸API、影子API等，大量的敏感數(shù)據(jù)暴露在API之上，給攻擊者留下了突破口。同時API沒有上下文，攻擊成本較低，攻擊者通過簡單的網(wǎng)絡請求即可獲取數(shù)據(jù)或者進行攻擊。

DDoS攻擊方面，2022年DDoS攻擊日均發(fā)生43.92萬次，同比增長103.8%，T級以上DDoS攻擊頻發(fā)，全年最高攻擊峰值達到2.09Tbps。報告稱，當前的攻擊規(guī)模已經(jīng)遠遠超過單個數(shù)據(jù)中心的防護能力，運營商、大型的公有云以及分布式的CDN跟邊緣計算廠商成為大規(guī)模DDoS攻擊的防護主力軍。

而Bot攻擊也持續(xù)倍增，2022年Bot攻擊平均每秒發(fā)生約5175次，攻擊量為2021年的1.93倍、2020年的4.5倍。與此同時，Bot攻擊手法也變得更加隱蔽，不僅是通過偽造正常的User-Agent或者模擬正常瀏覽器做自動化框架的攻擊，還通過模擬人的行為規(guī)避成熟的Bot檢測，使得防御難度進一步加大。

值得注意的是，隨著API廣泛應用于各個在線業(yè)務，涉及交易、賬號敏感相關的環(huán)節(jié)都備受灰黑產(chǎn)關注，在線業(yè)務欺詐風險驟升。報告發(fā)現(xiàn)，黑灰產(chǎn)已高度成熟，通過大量自動化、流程化的方式進行業(yè)務欺詐，并貫穿于整個在線業(yè)務場景。在注冊、登錄、營銷場景下，自動化攻擊占比均在50%以上。

此外，Web安全威脅趨于多樣化，同時遇到2種以上威脅的Web業(yè)務占比高達87%，遇到3種以上威脅的Web業(yè)務占比仍達65%。

呂士表指出，傳統(tǒng)WAF（web應用防護系統(tǒng)）已無法應對日益嚴峻的Web安全形勢，行業(yè)亟需新的安全防護方案，而WAAP成為首選。

據(jù)悉，WAAP全稱Web Application and API Protection，是集DDoS防護、WAF、Bot管理、API防護于一體的下一代Web安全防護解決方案，可實現(xiàn)從基礎設施防護、Web應用防護、API管理與防護以及自動化工具管理與威脅防御。

關鍵詞：