毋庸置疑，傳統(tǒng)WAF正在失去價值。

據(jù)Neustar國際網(wǎng)絡安全委員會在2020年發(fā)布的調(diào)查報告顯示，四成受訪的安全相關人員表示，至少有一半針對他們應用層的攻擊繞過了WAF；而有一成的人員表示，超過90%的攻擊可以輕松避開WAF防御。

這份報告也佐證了Ponemon Institute在2019年的調(diào)研結(jié)果：65%的組織在他們的WAF中經(jīng)歷過旁路，而只有9%的組織表示他們沒有被入侵；同時，只有40%的受訪者對他們現(xiàn)有的WAF感到滿意。Ponemon Institute還發(fā)現(xiàn)，平均每家企業(yè)雇用2.5名安全管理員，他們每周花費45個小時處理WAF警報，另外每周花費16個小時編寫WAF新規(guī)則。

傳統(tǒng)WAF的可靠性和滿意度問題已經(jīng)引起了業(yè)界的高度關注，這意味著WAF市場正面臨一次重大的調(diào)整和變革。

多類型應用興起，凸顯傳統(tǒng)WAF防護局限

事實上，WAF是一個相當成熟的安全品類，發(fā)展至今已近20年。

在早期，以網(wǎng)站為核心的Web應用興起，由于應用類型單一，惡意程序的復雜度較低，基于規(guī)則和特征匹配的傳統(tǒng)WAF可以滿足Web應用防護的需求。

然而，時代在飛速的變化。近年來移動互聯(lián)網(wǎng)的快速發(fā)展，誕生了APP、H5、小程序等多種應用形式，更多的企業(yè)核心業(yè)務、交易平臺都越來越依賴這些新型應用程序，它們可能部署在本地、云上乃至混合環(huán)境中，企業(yè)員工和用戶都可以從網(wǎng)絡的任意位置進行訪問。與此同時，越來越多的第三方API接口被調(diào)用，API業(yè)務帶來的Web敞口風險和風險管控鏈條的不斷擴大，已非傳統(tǒng)WAF的防護范疇。

Bot威脅攀升，Bot機器人管理超越傳統(tǒng)WAF

傳統(tǒng)WAF除了防護范圍的局限外，在識別各類規(guī)?；?、高效率的工具化、智能化、擬人化的Bots攻擊行為的能力上也是捉襟見肘。Bots威脅不僅讓各種利用Web應用漏洞進行攻擊的事件與日俱增，更對數(shù)字化業(yè)務產(chǎn)生重大影響和危害。應對Bots所產(chǎn)生的已知和未知應用風險、數(shù)據(jù)泄漏風險、業(yè)務風險，已經(jīng)大大超出了傳統(tǒng)WAF的防護能力范圍。

《Forrester Analytics: Application Security Solutions Forecast, 2020 To 2025 (Global)》報告指出，2019年到2025年，應用安全解決方案市場規(guī)模將從47億美元增長到129億美元，Bot機器人管理將涵蓋許多Web應用程序防火墻（WAF）的核心功能，并能夠在2025年超越傳統(tǒng)WAF成為核心應用程序保護解決方案。通過Bot機器人管理，一系列基于Bot的攻擊，包括撞庫、爬蟲等欺詐威脅，都可以被檢測并阻攔。另外，在Bot機器人管理工具保護應用程序免受惡意機器人攻擊的同時，善意機器人將被允許通行，人類用戶也不會受到不必要的驗證碼和其他挑戰(zhàn)的阻礙。

下一代WAF，從WAF工具走向WAAP平臺

不難發(fā)現(xiàn)，傳統(tǒng)WAF已經(jīng)難以跟上威脅態(tài)勢發(fā)展的步伐。數(shù)字化時代的WAF防護機制該如何演進，才能助力企業(yè)抵御未知威脅，做好新時代的安全運營？作為業(yè)界公認的權(quán)威咨詢機構(gòu)，Gartner對WAF技術(shù)的進一步演化給出了答案。2021年，Gartner將多年來發(fā)布的WAF魔力象限改為了WAAP魔力象限，進一步擴展了安全防護范圍和安全深度。

Gartner指出，到2023年，30%以上面向公眾的Web應用程序和API將受到云Web應用程序和API保護(WAAP)服務的保護，WAAP服務結(jié)合了分布式拒絕服務(DDoS)防御、機器人程序緩解(Bot Mitigation)、API保護和WAF。

WAF能力：WAF不僅能檢測已知威脅，還要能檢測未知威脅，這對于基于規(guī)則和特征匹配的傳統(tǒng)WAF來說是一個很大的挑戰(zhàn)。

Bots自動化攻擊防護能力：Bots自動化攻擊在逐年增加，幾乎60%的互聯(lián)網(wǎng)流量都是機器人程序生成的。為了提高攻擊效率，Bots攻擊者嘗試利用各種各樣的手段繞過檢測措施，這使得前端對抗不斷升級。但相對于傳統(tǒng)安全攻防，企業(yè)普遍缺乏對于Bots攻擊的認知，這進一步加劇了Bots攻擊帶來的危害。因此，下一代WAF應具備Bots自動化攻擊的識別和防護能力。

API保護能力：相比傳統(tǒng)的Web頁面，API承載了更多業(yè)務流程。隨著API訪問環(huán)境的愈發(fā)開放、API數(shù)量的極速攀升，以及API本身的快速變化，基于規(guī)則的API應用漏洞攻擊防護，已經(jīng)無法滿足API接口被濫用、越權(quán)訪問、僵尸API、數(shù)據(jù)泄漏等安全防護需求。因此，下一代WAF應具備API內(nèi)外保護的能力，這也是目前市場上很多WAF產(chǎn)品都在努力補足的方向。

DDoS防護能力：DDoS是一種常見的攻擊方式，尤其在攻擊應用時非常有效。如今黑灰產(chǎn)的DDoS攻擊能力在逐年加強，大規(guī)模攻擊的組織能力也在不斷提升，攻擊者嘗試通過變化多種攻擊特征和大規(guī)模分布式加大攻擊量，繞過防御規(guī)則，壓垮防護設備性能；同時，可以在不觸發(fā)限速防御策略的情況下實現(xiàn)攻擊，讓傳統(tǒng)WAF的策略失效。因此，下一代WAF應具備DDosS防護能力，對漏洞的威脅面要有更好的預判，對攻擊團伙的監(jiān)控要有更深入而持續(xù)的跟蹤。

雖然WAF產(chǎn)品通過多年的發(fā)展已經(jīng)相對成熟，但其對復雜威脅的檢測和響應能力仍有待進一步提升。因此，傳統(tǒng)WAF功能將被納入到WAAP平臺中，與威脅情報、Bot防護、DDoS防御、API保護等功能組件緊密協(xié)同，幫助企業(yè)用戶打造針對Web應用的主動防護體系。

瑞數(shù)下一代WAF - WAAP平臺，提供一站式動態(tài)主動防御

瑞數(shù)下一代WAF，即WAAP平臺，以獨特的“動態(tài)安全”為核心技術(shù)，以Bot防護為核心功能，結(jié)合智能威脅檢測技術(shù)、行為分析技術(shù)，提供傳統(tǒng)Web安全防御能力的同時，更能將威脅提前止于攻擊的漏洞探測和踩點階段，輕松應對新興和快速變化的Bots攻擊、0day攻擊、應用DDoS攻擊和API安全防護。

在Bot防護層面，針對Bots自動化工具的識別與防御是瑞數(shù)信息產(chǎn)品中所反應出的最突出的能力之一。瑞數(shù)信息以“動態(tài)安全”技術(shù)為核心的“動態(tài)安全引擎”，通過對服務器網(wǎng)頁底層代碼的持續(xù)動態(tài)變換，以動態(tài)封裝、動態(tài)驗證、動態(tài)混淆、動態(tài)令牌等創(chuàng)新技術(shù)，增加服務器行為的“不可預測性”，讓攻擊者無從下手，大幅提升攻擊難度，從而實現(xiàn)了從用戶端到服務器端的全方位“主動防護”。

在DDoS 防護層面，多源低頻、慢速攻擊、精準打擊等技術(shù)的應用，讓針對業(yè)務/應用層的CC攻擊難以防護。區(qū)別基于限頻的防護技術(shù)，瑞數(shù)信息“動態(tài)安全引擎”中的“動態(tài)令牌”技術(shù)，可從根源上對Bots發(fā)起的CC攻擊進行識別攔截，降低資源消耗，保障業(yè)務的正常穩(wěn)定性運行。

在WAF層面，借助“動態(tài)安全引擎”，瑞數(shù)信息不依賴基于簽名和特征的傳統(tǒng)規(guī)則，即可實現(xiàn)對工具化應用漏洞探測和攻擊的識別，以及0day的自動化攻擊和探測。同時，與“智能威脅檢測引擎”“規(guī)則引擎”形成三大引擎協(xié)同工作，對手動攻擊、自動化攻擊提供更為高效全面的Web應用防護能力，實現(xiàn)縱深防御。

在API防護層面，瑞數(shù)信息采用智能威脅檢測技術(shù)、行為分析技術(shù)，通過API感知、發(fā)現(xiàn)、監(jiān)控分析和保護四大模塊，實現(xiàn)對API接口的自動發(fā)現(xiàn)，建立API清單，能夠有效實現(xiàn)API資產(chǎn)管理和API訪問行為管控。同時，建立API安全基線，對API濫用、API異常訪問、惡意掃描、注入攻擊等進行監(jiān)控分析，能夠?qū)崿F(xiàn)API安全防護和敏感數(shù)據(jù)管控。

目前，瑞數(shù)下一代WAF - WAAP平臺已廣泛應用在運營商、金融、政府、教育、醫(yī)院、企業(yè)客戶中，幫助各類組織機構(gòu)真正實現(xiàn)網(wǎng)站/APP/小程序/API的安全防護，有效抗擊黑產(chǎn)，降低其安全風險和經(jīng)濟損失。同時，瑞數(shù)信息參與了大量攻防實戰(zhàn)演練、進博會保障、建國70周年保障等國家級網(wǎng)絡安全重保工作，并取得了良好的成績，因而被用戶贊譽為“重保神器”。

正如瑞數(shù)信息技術(shù)總監(jiān)吳劍剛所說，“網(wǎng)絡安全遵從‘木桶原理’，網(wǎng)絡整體安全水平由安全級別最低的部分所決定”。當單一的WAF產(chǎn)品已不足以解決無處不在的安全風險，從WAF走向WAAP的整體安全能力才能夠補足現(xiàn)有的安全盲點，實現(xiàn)真正覆蓋Web、APP、云和API資產(chǎn)的應用安全一體化防御，而瑞數(shù)下一代WAF - WAAP平臺正是這樣的代表之作。