应用安全状态
三个令人惊讶的 Web 应用与 API 威胁趋势
在开发和构建 Web 应用时很少考虑安全性。但人们每天都会使用 Web 应用来执行各种关键功能,这让它们成为黑客攻击的目标。
鉴于 Web 应用和 API 的特性以及其中保存的数据的重要性,漏洞利用或未受保护的应用可能会导致业务中断、财务损失和关键基础设施崩溃。
Cloudflare 最近发布的《应用安全趋势》�报告显示,企业仍然依赖于陈旧过时的 Web 应用和 API 安全方法,难以抵御网络威胁行为者更高效、更快速的攻击行动。这项研究基于 Cloudflare 全球网络的聚合流量模式(观察时间为 2023 年 4 月至 2024 年 3 月),此网络每天识别并阻止 2090 亿次网络威胁。
本文将重点介绍报告中需要 CISO 立即关注并采取行动的三个主要趋势。
趋势 1:企业普遍使用过时的 API 安全方法
消费者和最终用户期待动态的 Web 和移动体验,这些体验均由 API 提供支持并不断增强。对于企业来说,API 会提供多种竞争优势:更强大的商业智能、敏捷的云部署、整合新增 AI 功能,等等。
然而,许多企业的 API 安全措施已经落后于快速的 API 部署速度。Cloudflare 使用机器学习模型来识别那些可能未计入的 API 流量。本报告数据显示,企业拥有的面向公众的 API 端点数量比他们明确知晓的数量多 33%。(这个数字是根据比较机器学习发现的 API 端点数量,与客户提供的会话标识符检测到的 API 端点数量计算得出。)
虽然 API 与 Web 应用面临的安全挑战各不相同,但我们发现,在受某种形式的第 7 层安全机制保护的 API 流量中,66.6% 的流量主要受传统消极安全 WAF 规则的保护,而不是受采用积极安全模型的专用 API 规则保护。消极安全模型的工作原理是阻止恶意流量并允许所有其他流量通行,而积极安全模型则明确指定允许哪些流量通行,同时拒绝所有其他流量。
建议
随着企业通过 API 提供更多服务,它们应该利用专用 API 安全和管理功能来增强 Web 应用安全工具(例如 WAF 和 DDoS)的防护,并通过无监督机器学习改善管理。
行业最佳实践鼓励使用积极安全模型,而不是依靠消极安全模型规则,来保护 API 安全。积极的 API 安全模型让企业可以通过仅接受符合 OpenAPI 模式设置的流量来保护 API 安全,同时阻止可能包含攻击内容的错误请求和 HTTP 异常流量。
发现影子 API,持续增强 API 安全性。强大的 API 安全工具应该不断扫描企业环境中的每个公共 API,甚至是那些未受管理或未受保护的 API。
趋势 2:第三方代码导致供应链风险增加
大多数组织的 Web 应用依赖于来自第三方提供商的单独的代码片段(通常是 JavaScript)。使用第三方脚本可加速现代 Web 应用的开发,让组织能够更快速地将功能推向市场,而无需在内部自行构建所有新的应用功能。
最新研究显示,Cloudflare 客户网站平均包含 47 个第三方脚本、50 个与 JavaScript 函数及其目标的连接,以及提供 12 个 cookie。
第三方代码和 cookie 会给 Web 访问者带来安全风险,因为此类代码通常在用户的浏览器中加载,而且 cookie 可能会被篡改用于接管会话或帐户等。攻击者可以通过多种方式来获取修改网站中所用 JavaScript 组件代码的访问权限,例如使用盗取的账户凭据,或者利用零日漏洞或未修补的漏洞。然后,他们利用这种特权访问权限,对每个使用该 JavaScript 代码的网站发起下游攻击。
建议
寻找能够自动识别第三方脚本风险,并提供完整的单一仪表板视图来显示网站正在使用的所有第一方 Cookie 的安全供应商。
趋势 3:三分之一的互联网流量源自机器人,但某些行业比其他行业受到的影响更大
平均而言,机器人流量占 Cloudflare 处理的所有应用流量的三分之一 (31.2%)。这个比例在过去三年一直保持着相对稳定,徘徊在 30% 左右。
“机器人流量”一词可能带有负面含义,但实际上,机器人流量没有善恶之分,它完全取决于机器人的用途。一些机器人是“善意的”,它们执行必要的服务,例如客户服务聊天机器人和授权的搜索引擎爬虫。但有些机器人则会滥用线上产品或服务,需要加以阻止,因为它们可能会对收入造成影响。事实上,美国和英国的恶意机器人攻击每年会导致企业损失 4% 以上的在线收入。
以下行业的机器人流量日均占比最高:
图片来源:《应用安全状态》
建议
如果您所在的行业往往会面临更多机器人流量,请考虑增加机器人管理方面的投资,以先发制人地阻止恶意机器人的威胁。
寻找具备以下功能的机器人管理服务:
通过对海量、多样化的数据应用行为分析、机器学习和指纹识别技术,大规模准确识别机器人流量
与企业的其他 Web 应用安全和性能服务(例如 WAF、CDN、DDoS)轻松集成
让善意机器人流量(例如:属于搜索引擎的流量)可以继续访问您的网站,同时阻止恶意流量
提前防范各种新兴风险
许多企业都采用传统安全硬件、云原生安全和自主开发的安全措施来解决所有应用安全挑战。但是,这种碎片化的方法导致连接和保护 SaaS 应用、Web 应用和其他 IT 基础设施更加困难。IT 架构的无序扩张使攻击者更容易发现和利用漏洞。统一集成平台方法有助于确保改善安全、无延迟的连接,通过让企业在开拓新市场时遵守当地法规来推动业务增长,并增强客户信任。
Cloudflare 应用安全可以保护应用和 API 免受滥用,阻止恶意机器人,挫败 DDoS 攻击,以及监测可疑的有效负载和浏览器供应链攻击。Cloudflare 应用安全产品与性能套件密切协作,通过 Cloudflare 全球连通云(公共云的下一代演进)提供所有功能,这是一个智能、统一、可编程的云原生服务平台,由可编程的全球云网络提供支持。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。