6月30日,網(wǎng)宿科技子品牌網(wǎng)宿安全在線上召開2022年度互聯(lián)網(wǎng)安全報(bào)告發(fā)布會,網(wǎng)宿科技副總裁、首席安全官呂士表在會上發(fā)布了《2022年Web安全觀察報(bào)告》(以下簡稱《報(bào)告》、《零信任安全白皮書》以及《SASE安全訪問服務(wù)邊緣白皮書》。
(相關(guān)資料圖)
據(jù)悉,此次發(fā)布會是網(wǎng)安行業(yè)首個(gè)由虛擬數(shù)字人主持的發(fā)布會,運(yùn)用了網(wǎng)宿科技旗下一站式虛擬數(shù)字人直播產(chǎn)品網(wǎng)宿虛擬直播,打破次元壁,實(shí)現(xiàn)虛實(shí)相融,為公眾呈現(xiàn)了一場別開生面的安全趨勢解讀。
Web威脅愈演愈烈,WAAP成防護(hù)首選
此次《報(bào)告》是網(wǎng)宿安全連續(xù)第七年面向外界輸出專業(yè)安全報(bào)告,由網(wǎng)宿演武安全實(shí)驗(yàn)室基于網(wǎng)宿全球邊緣計(jì)算及邊緣安全平臺的監(jiān)測數(shù)據(jù),進(jìn)行深入挖掘分析而來。
根據(jù)《報(bào)告》,2022年,網(wǎng)宿安全平臺共檢測到2700萬次針對Log4shell各個(gè)變種漏洞的利用,并且諸如Apache Fineract路徑遍歷漏洞、OpenSSL安全漏洞、SQLite輸入驗(yàn)證錯誤漏洞等大量新的高危漏洞不斷涌現(xiàn)。而針對API的攻擊占比首次突破50%,達(dá)到了58.4%,API上升為黑產(chǎn)攻擊的頭號目標(biāo)。
DDoS攻擊方面,《報(bào)告》顯示,2022年DDoS攻擊日均發(fā)生43.92萬次,同比增長103.8%,T級以上DDoS攻擊頻發(fā),全年最高攻擊峰值達(dá)到2.09Tbps。Bot攻擊則持續(xù)倍增,2022年Bot攻擊平均每秒發(fā)生約5175次,攻擊量為2021年的1.93倍、2020年的4.5倍。
值得注意的是,隨著API廣泛應(yīng)用于各個(gè)在線業(yè)務(wù),涉及交易、賬號敏感相關(guān)的環(huán)節(jié)都備受灰黑產(chǎn)關(guān)注,在線業(yè)務(wù)欺詐風(fēng)險(xiǎn)驟升。此外,Web安全威脅趨于多樣化,同時(shí)遇到2種以上威脅的Web業(yè)務(wù)占比高達(dá)87%,遇到3種以上威脅的Web業(yè)務(wù)占比仍達(dá)65%。
呂士表在會上指出,傳統(tǒng)WAF已無法應(yīng)對日益嚴(yán)峻的Web安全形勢,行業(yè)亟需新的安全防護(hù)方案,云WAAP成為首選。
WAAP全稱Web Application and API Protection,是集DDoS防護(hù)、WAF、Bot管理、API防護(hù)于一體的下一代Web安全防護(hù)解決方案。
據(jù)悉,網(wǎng)宿安全于2017年發(fā)布了全國首個(gè)安全加速解決方案,具備CDN加速和DDoS防護(hù)、WAF一體化能力,隨后增加了Bot管理、API管理與安全能力,實(shí)現(xiàn)了WAAP的全棧能力。
“目前,從國有銀行,到大型的央企,再到跨國的企業(yè)都在廣泛使用網(wǎng)宿安全WAAP一體化全棧安全體系。”呂士表表示。
另外根據(jù)國際數(shù)據(jù)公司IDC報(bào)告數(shù)據(jù),網(wǎng)宿安全在《IDC MarketShare:中國公有云抗DDoS市場份額,2022》報(bào)告中以5.4%的市場份額位列第五,成為前五陣營中唯一一家非公有云計(jì)算廠商,而在IDC《中國云Web應(yīng)用防火墻市場份額,2022》報(bào)告中,網(wǎng)宿安全也以5.3%的市場份躋身前五。
零信任與SASE的建設(shè)需體系化推進(jìn)
面對層出不窮的新安全威脅,安全防御的理念和技術(shù)也在不斷演進(jìn)。零信任與SASE正代表了全球網(wǎng)絡(luò)安全的大勢所趨。
作為國內(nèi)最早對零信任與SASE展開探索的安全服務(wù)商,網(wǎng)宿安全基于自身豐富的落地實(shí)踐,面向公眾首次發(fā)布《零信任安全白皮書》和《SASE安全訪問服務(wù)邊緣白皮書》。
呂士表表示,網(wǎng)宿安全的零信任和SASE產(chǎn)品已經(jīng)服務(wù)于近千家客戶,在實(shí)踐過程中形成了完整的技術(shù)體系、交付體系和服務(wù)體系。“我們希望通過白皮書輸出能力與經(jīng)驗(yàn),為企業(yè)落地新技術(shù)提供樣本,同時(shí)也對行業(yè)發(fā)展提供助力。”
會上,呂士表分享了網(wǎng)宿安全對于建設(shè)零信任的路徑經(jīng)驗(yàn),即按照“統(tǒng)籌規(guī)劃、分步實(shí)施、迭代演進(jìn)”體系化推進(jìn)。
第一階段是從遠(yuǎn)程辦公場景切入,通過利用零信任SDP的網(wǎng)絡(luò)隱身、基于身份的動態(tài)授權(quán),實(shí)現(xiàn)對VPN的替代。同時(shí),從網(wǎng)宿安全的實(shí)踐經(jīng)驗(yàn)來看,建議把零信任與全球加速相結(jié)合,實(shí)現(xiàn)用戶體驗(yàn)和安全性的一致。
第二階段是建立數(shù)據(jù)安全,從數(shù)據(jù)本身的資產(chǎn)盤點(diǎn)、敏感數(shù)據(jù)的外發(fā)審計(jì)以及核心數(shù)據(jù)的防護(hù),形成基于零信任的數(shù)據(jù)安全整體解決方案。第三階段是建立一個(gè)集成流量安全、數(shù)據(jù)安全與訪問安全的防護(hù)系統(tǒng),將RBI、SWG、EDR以及第三方的安全產(chǎn)品納入到零信任中,實(shí)現(xiàn)整體聯(lián)動,形成統(tǒng)一的一體化安全策略,實(shí)現(xiàn)高水位的安全運(yùn)營。
據(jù)介紹,網(wǎng)宿安全于2019年就已推出零信任訪問SecureLink產(chǎn)品。網(wǎng)宿SecureLink將網(wǎng)絡(luò)連接能力與數(shù)據(jù)安全防護(hù)能力以云原生形態(tài)融合,提供統(tǒng)一云化服務(wù),是國內(nèi)首家集RBI、SWG和端點(diǎn)安全工作空間于一體的零信任數(shù)據(jù)安全產(chǎn)品,可從端點(diǎn)、身份、網(wǎng)絡(luò)、業(yè)務(wù)多層面檢測和保護(hù)企業(yè)數(shù)據(jù)安全。
而對于SASE的實(shí)踐,呂士表則提到,SASE的建設(shè)需要組織、人員、流程、資源的長期至上而下的戰(zhàn)略規(guī)劃。
呂士表指出,第一個(gè)環(huán)節(jié)需實(shí)現(xiàn)網(wǎng)絡(luò)的統(tǒng)一管理與管控,即用SD-WAN替代傳統(tǒng)專線;第二個(gè)環(huán)節(jié)需將SD-WAN與安全融合,實(shí)施零信任;第三個(gè)環(huán)節(jié)需將數(shù)據(jù)安全、訪問安全、流量安全進(jìn)行統(tǒng)一結(jié)合;最終階段,集成各種安全能力,實(shí)現(xiàn)統(tǒng)一編排,通過SASE實(shí)現(xiàn)統(tǒng)一的安全策略、統(tǒng)一的高效用戶體驗(yàn)。
據(jù)悉,網(wǎng)宿安全已經(jīng)建立了“3+X+AI”SASE體系,通過將網(wǎng)絡(luò)、安全和邊緣計(jì)算三大能力開放,并結(jié)合合作伙伴的安全能力,實(shí)現(xiàn)完整的SASE能力,提供統(tǒng)一的管控與用戶體驗(yàn)保障。而隨著AI特別是生成式AI的發(fā)展,AI能力對于安全檢測、響應(yīng)、安全運(yùn)營有顯著價(jià)值,網(wǎng)宿安全將AI能力融入到安全防御各環(huán)節(jié),進(jìn)一步增強(qiáng)整體防護(hù)水平。
聚焦主動安全,持續(xù)研發(fā)投入
值得一提的是,此次發(fā)布會上,呂士表還談到了網(wǎng)宿安全的業(yè)務(wù)規(guī)劃,其表示,接下來網(wǎng)宿安全將聚焦GPT、威脅情報(bào)、威脅狩獵等主動安全技術(shù),加大研發(fā)投入,為客戶提供高水位、高效的安全服務(wù)。
據(jù)了解,作為網(wǎng)宿科技“2+3”戰(zhàn)略布局的核心主業(yè)之一,網(wǎng)宿安全現(xiàn)已構(gòu)建完善的服務(wù)體系,能夠滿足企業(yè)在生產(chǎn)辦公、安全合規(guī)與安全實(shí)戰(zhàn)的整體需求。網(wǎng)宿安全業(yè)務(wù)涵蓋三大領(lǐng)域,一是面向Web的WAAP,實(shí)現(xiàn)企業(yè)基礎(chǔ)設(shè)施與應(yīng)用安全的整體安全防護(hù);二是企業(yè)安全,主要包含安全SD-WAN與零信任;三是安全服務(wù),包含安全咨詢服務(wù)、安全專家服務(wù)以及安全運(yùn)營管理。
防護(hù)能力上,依托網(wǎng)宿在全球部署的20多萬臺服務(wù)器、2800多個(gè)節(jié)點(diǎn),網(wǎng)宿平臺服務(wù)80%的中國網(wǎng)民,日均承載萬億級請求流量,捕獲30億+攻防樣本,平臺整體防護(hù)規(guī)模超過15Tbps。
關(guān)鍵詞:
營業(yè)執(zhí)照公示信息
