8月25日，由中国信息通信研究院(以下简称“中国信通院”)和中国通信标准化协会联合主办的“2023云软件安全大会”在北京举行。

会上，瑞数信息与中国信通院云计算与大数据研究所联合撰写的《云上WAAP开发洞察报告(2023)》(以下简称《报告》)正式发布。本报告旨在通过分析WAAP解决方案的优势和核心能力要求，帮助安全从业者更好地了解WAAP的全貌；通过分析构建全方位的WAAP安全防护体系结构和典型的应用场景，为企业应用WAAP提供良好的着陆思路。

(资料图片)

瑞数信息CTO马蔚彦参加了云上WAAP开发洞察报告(2023)的发布仪式

瑞数信息技术总监吴建剑刚对云上WAAP开发洞察报告(2023)进行了解读

一、WAAP已成为未来安全防护的发展方向

随着云和云原生应用的快速普及，云的复杂性增加，网络攻击面翻了一番，伴随着新的安全风险。一方面，Web、H5、APP、小程序等多种接入渠道加剧了应用安全风险，突出了数据安全问题。同时，API接口攻击和分布式拒绝服务(DDoS)攻击、Bot攻击等新的攻击方法层出不穷，传统的安全解决方案难以满足日益复杂的安全需求；另一方面，我国各级监管越来越严格，企业在应用业务云过程中，面对严峻的数据安全考验，应用漏洞风险造成的安全隐患和严重后果已上升到法律层面。

在此背景下，传统Web应用防护系统(WAF)技术需要创新。报告指出，WAAP作为下一代Web安全防护解决方案，正在成为未来安全防护的发展方向。

WAAP，即Web Application and API Protection的缩写是指Web应用程序和API保护。WAAP是一种由Web应用防火墙四部分组成的综合多层防护解决方案(WAF)、API保护，分布式拒绝服务攻击(DDoS)Bot访问管理的防御和防御。

报告显示，WAAP可以通过多层保护规则提供可靠、安全的Web应用程序和API保护平台，避免SQL注入、跨站脚本攻击、跨站请求伪造、仓库碰撞、爬虫、DDOS攻击、API接口滥用等各种网络攻击，护送业务连续性和数据安全。

与传统WAF相比，WAAP的优势包括两个方面：一是实现Web应用程序和API的统一管理。二是从Web应用安全防护、DDOS攻击防御、Bot管理到API安全防护等多维度构建Web应用安全防御系统。

二、WAAP应具备五大核心能力

随着WAAP概念的提出，国内外WAF制造商迅速跟进，中国WAF制造商和云服务提供商逐步建立了BOT保护功能和API保护能力，加快了实用的WAAP安全保护系统的实施。但如何拥有完善的WAAP保护能力，测试了主要制造商的技术和产品能力。

报告指出，WAAP并不是简单地平行考虑所有能力。企业在设计安全系统时，应考虑如何配合功能，如何合理调度和分配底层系统资源和流量。因此，WAAP的核心能力要求主要集中在四个部分：Web应用程序保护、DDOS防御、BOT管理和API安全保护，并对平台的底层联动提出要求。

● Web应用程序的防护能力

Web应用程序防护是指针对Web安全攻击的各种防御措施。主要功能应包括:Web攻击防护(如:SQL注入、命令注入、XSS跨站、Webshell上传、Web服务器漏洞攻击等。)、CC攻击防护、漏洞虚拟补丁、网页防篡改、访问合规性检测等。通过规则匹配、流量学习、语义分析、威胁情报等技术，Web攻击防护可以实现更精确的防护。

● DDOS防御能力

分布式拒绝服务(DDoS)防御是指保护Web应用程序和API应用程序免受DDOS攻击，支持DDOS攻击的异常监控、攻击防护和弹性管理。DDOS攻击防护可以从请求速度限制、TCP检测和代理检测、HTTP客户验证、威胁信息等方面进行保护。

● Bot管理能力

Bot管理是指支持各种Bot识别、保护和行为管理，可以筛选恶意Bot，释放善意Bot。Bot攻击保护可以从客户验证、验证码挑战、行为分析、威胁情报等方面进行保护。

● API安全防护能力

API安全保护是指在API资产识别的基础上，监控API运行状态、异常访问行为、敏感信息和安全攻击，实现对API资产的全面控制。API安全保护可以从API流量分析、特征识别、行为分析、敏感信息检测、威胁情报等方面进行识别和保护。

● 底层联动性

底层联动是指WAAP的核心能力可以实现数据共享和攻击联合防御。在采用针对性防护技术实现不同防护场景的基础上，也可以重用技术，以提高检测和保护效率，降低维护成本。底层联动可以从可编程、报纸统一检测、数据共享、联合防御和联合控制四个方面进行调度。

三、WAAP安全防护体系建设思路

WAAP架构作为一种一站式WAAP解决方案，迫切需要更积极、高效、集成、智能的应用安全保护，以人工智能智能分析技术为基础，通过多种技术手段和统一的战略管理平台，提供多云混合云中一致的应用安全服务能力。为此，本报告提出了WAAP安全保护系统的建设思路：

● 全业务渠道接入

WAAP解决方案涵盖了几乎所有的业务访问渠道，包括Web、APP、API、微信、小程序等，可实现全业务渠道保护；通过用户账户、设备指纹等唯一识别和全访问记录，整合各业务访问渠道的数据，实现用户访问数据的跟踪和透视。

● 全功能融合

以“人工智能智能”技术为核心，结合规则匹配、流量学习、客户验证、行为分析和威胁情报技术，构建多检测引擎协同工作机制。

● 核心技术

一是以“客户端验证”技术为核心，实现bot识别、客户端环境验证和客户端操作行为验证，帮助企业安全团队实现以被动保护为主动保护，突破被动保护困境。

二是人工智能智能引擎，高效协同防御。通过流量学习、行为分析、机器学习等技术，结合第三方漏洞库、威胁情报等信息，发现高度隐蔽的攻击，有效提高检测率，减少错误报告，实现业务威胁的视角。

● 核心建设内容

WAAP安全防护系统建设时，应从顶层设计的角度考虑统一建设和协同工作，避免独立建设能力带来的资源消耗和性能消耗。具体施工内容包括以下五个方面：一是客户端收集；二是业务访问；三是检测引擎；四是智能策略；五是核心能力。

同时，报告还对WAAP的典型应用场景和案例进行了深入分析，展望了WAAP未来的发展趋势，努力让行业从业者更好地了解WAAP的全貌，紧跟安全防护的最新趋势，推动WAAP安全新技术的进一步实践。

瑞士数字信息作为报告的联合作者，是中国动态安全技术的创新者和Bots自动攻击防御领域的专业制造商，提供覆盖网络、APP、全渠道应用、业务、数据、云安全等安全产品和服务。云和API资产。此前，Gartner已经使用了瑞数信息、IDC等国际知名咨询机构连续几年被列入云安全领域和API安全领域的代表性制造商。同时，它也是中国第一家获得中国信通研究所云本地API安全和WAAP能力认证的安全制造商，显示了瑞数信息在云WAP安全领域的强大实力。

未来，瑞数信息将继续创新技术、产品和服务，提高用户云WAAP的安全能力，为企业有效抵御新兴威胁、合规建设应用安全和数据安全奠定坚实基础。