網(wǎng)宿安全最新報告：全球Web應(yīng)用程序攻擊超7千億次，數(shù)據(jù)泄露增長44%

摘要： 網(wǎng)宿科技旗下網(wǎng)宿安全正式發(fā)布《2023互聯(lián)網(wǎng)安全報告：“體系化主動安全”建設(shè)指南》

為幫助企業(yè)洞察最新的Web安全威脅和辦公安全威脅態(tài)勢，并提供防護(hù)思路，近日，網(wǎng)宿科技旗下網(wǎng)宿安全正式發(fā)布《2023互聯(lián)網(wǎng)安全報告：“體系化主動安全”建設(shè)指南》（以下簡稱《報告》）。

發(fā)布會上，網(wǎng)宿安全高級總監(jiān)胡鋼偉對《報告》進(jìn)行了詳細(xì)解讀，并與北京網(wǎng)絡(luò)行業(yè)協(xié)會副秘書長羅藝、國內(nèi)資深的網(wǎng)絡(luò)安全媒體安全牛分析師王劍橋圍繞生成式AI的防范、WAAP與零信任的發(fā)展趨勢以及安全出海等話題展開了深入交流。

同時，億邦動力技術(shù)總監(jiān)王永來分享了億邦動力的網(wǎng)絡(luò)安全建設(shè)經(jīng)驗，網(wǎng)宿科技售前及解決方案部大區(qū)經(jīng)理王華強則分享了網(wǎng)宿安全體系化主動安全的實踐。

 

 
Web安全多維度威脅持續(xù)升高
《報告》顯示，2023年，網(wǎng)宿安全平臺監(jiān)測到的全球Web應(yīng)用程序攻擊數(shù)量達(dá)到7309億次，同比增長30%。其中，2023年應(yīng)用層DDoS攻擊次數(shù)達(dá)4500億次，同比增長26%，針對境外目標(biāo)的DDoS攻擊同比增長了近220%，或與企業(yè)出海趨勢相關(guān)；同時，Web應(yīng)用漏洞利用攻擊為416億次，同比增長8%。此外，電商、文旅行業(yè)所遭受到的惡意Bot攻擊達(dá)到了462次，占全平臺Bot請求數(shù)比例為22%，相比2022年的170億、10%分別增長了172%、120%。

在攻擊體量持續(xù)高漲的同時，新型攻擊威脅也層出不窮，2023年，網(wǎng)宿安全發(fā)現(xiàn)了一個基于HTTP/2 Continuation Flood 的新型威脅攻擊，其攻擊峰值rps相比傳統(tǒng)HTTP Flood可實現(xiàn)一個數(shù)量級突破，從千萬級到億級。

從攻擊手法來看，據(jù)網(wǎng)宿安全平臺數(shù)據(jù)，2023年針對API的攻擊占比上升到了63%，《報告》推測該增長源于生成式AI在網(wǎng)絡(luò)安全以及入侵攻擊方面的應(yīng)用得到了普及。

生成式AI正在助長威脅態(tài)勢。胡鋼偉在會上指出，生成式AI在提升效率的同時，也會成為攻擊者武器庫的一部分，讓現(xiàn)有攻擊更隱蔽、逃避檢測，同時還能生成攻擊代碼，讓自動化的攻擊以及漏洞利用的效率變得更高。
 
勒索攻擊與數(shù)據(jù)泄露成企業(yè)安全兩大核心問題
伴隨著網(wǎng)絡(luò)技術(shù)的日新月異，企業(yè)辦公網(wǎng)絡(luò)所面臨的安全威脅愈發(fā)復(fù)雜多變。在眾多的網(wǎng)絡(luò)安全威脅中，勒索軟件攻擊和數(shù)據(jù)泄露成為最受企業(yè)關(guān)注的兩大核心問題。

2023年，網(wǎng)宿安全平臺監(jiān)測的勒索軟件攻擊事件增加了一倍以上。網(wǎng)宿安全演武實驗室基于對勒索軟件入侵事件的分析發(fā)現(xiàn)，通過漏洞利用、釣魚郵件、弱口令占據(jù)入侵攻擊手段的60%以上，成為企業(yè)面臨的主要網(wǎng)絡(luò)威脅。

同時，勒索軟件對某些高危和超危等級的漏洞利用較為頻繁，2023年有44個漏洞被全球勒索組織頻繁利用，77%的常用漏洞類型主要為遠(yuǎn)程代碼執(zhí)行與權(quán)限提升漏洞。此外，2023年還出現(xiàn)了多種新型攻擊手法，例如，深度學(xué)習(xí)和AI技術(shù)被用于生成更加精準(zhǔn)的釣魚郵件，提高了欺騙性。

數(shù)據(jù)泄露方面，2023年網(wǎng)宿安全平臺監(jiān)測的數(shù)據(jù)泄露事件的數(shù)量同比2022年顯著增加了44%以上，這主要歸因于網(wǎng)絡(luò)攻擊手段的不斷升級和多樣化。

網(wǎng)宿安全對企業(yè)用戶訪談?wù){(diào)研發(fā)現(xiàn)，受監(jiān)管壓力和發(fā)生潛在數(shù)據(jù)泄露的風(fēng)險影響，目前80%的企業(yè)正在考慮或未來考慮實施數(shù)據(jù)安全管控措施，55%的企業(yè)正在或計劃對數(shù)據(jù)防泄露技術(shù)廠商進(jìn)行選型和調(diào)研。
 
行業(yè)亟需轉(zhuǎn)向新一代的一體化安全防御架構(gòu)
《報告》指出，傳統(tǒng)安全建設(shè)思路已經(jīng)難以應(yīng)對不斷變化升級的網(wǎng)絡(luò)威脅，行業(yè)亟需向新一代的一體化安全防御架構(gòu)——WAAP和SASE轉(zhuǎn)型。

WAAP通過集成Web應(yīng)用防火墻、DDoS防護(hù)、Bot管理、API安全、威脅情報和自動化響應(yīng)等安全功能，可以為企業(yè)Web安全提供全面的威脅檢測和防御體系。此次《報告》，網(wǎng)宿安全結(jié)合自身在WAAP方面的實踐經(jīng)驗，從頂層設(shè)計、全業(yè)務(wù)渠道接入、統(tǒng)一管理平臺和API、數(shù)據(jù)驅(qū)動和AI應(yīng)用、核心防護(hù)能力等幾方面提出了具體的建設(shè)落地方式建議。

在企業(yè)安全方面，SASE架構(gòu)則成為企業(yè)新一代的辦公網(wǎng)絡(luò)安全防護(hù)體系的理想方案。SASE架構(gòu)可以降低企業(yè)和組織的網(wǎng)絡(luò)安全風(fēng)險，提高企業(yè)和組織的網(wǎng)絡(luò)效率和業(yè)務(wù)靈活性、降低企業(yè)和組織的IT成本，符合企業(yè)辦公安全需求。此次《報告》中，網(wǎng)宿安全建議企業(yè)根據(jù)自己當(dāng)前所處的階段以及自己安全建設(shè)的目標(biāo)，分階段落地SASE架構(gòu)。

值得注意的是，基于對網(wǎng)絡(luò)安全攻防態(tài)勢的分析，以及結(jié)合當(dāng)前的降本增效背景，《報告》也對企業(yè)體系化主動安全能力建設(shè)進(jìn)行了詳細(xì)探討。

2023年，盡管企業(yè)安全建設(shè)依然以合規(guī)為導(dǎo)向，但也呈現(xiàn)出諸多變化。一方面，隨著企業(yè)對安全的接受程度逐漸增加，企業(yè)對安全的認(rèn)知逐漸從“絕對安全”轉(zhuǎn)變?yōu)?ldquo;相對安全”。同時，隨著企業(yè)出海以及一帶一路的政策發(fā)展，跨境數(shù)據(jù)流動，給企業(yè)帶來了巨大挑戰(zhàn)。此外，生成式AI與大模型的落地，也給整個網(wǎng)絡(luò)安全行業(yè)注入變量。

胡鋼偉指出，在這些變革之下，企業(yè)在安全建設(shè)過程當(dāng)中，僅以合規(guī)為驅(qū)動，會存在一些局限性，包括成本浪費、重復(fù)投入、實戰(zhàn)能力跟不上等，難以匹配企業(yè)當(dāng)前的安全現(xiàn)狀。

對此，網(wǎng)宿安全建議企業(yè)在安全建設(shè)時首先應(yīng)轉(zhuǎn)變理念，從被動合規(guī)向主動建設(shè)體系化安全轉(zhuǎn)變，同時企業(yè)應(yīng)積極擁抱云安全技術(shù)，借助云安全服務(wù)的成本效益、可擴(kuò)展性、安全能力高度整合、專業(yè)服務(wù)支持等優(yōu)勢，通過基于“網(wǎng)絡(luò)安全能力成熟度”的方法論，構(gòu)建云端+本地協(xié)同的安全防御和安全運營雙體系，實現(xiàn)真正可用于實戰(zhàn)的主動安全防御體系。

胡鋼偉表示，通過體系化主動安全的核心理念分享，網(wǎng)宿安全希望能夠全面賦能企業(yè)的安全架構(gòu)升級，幫助精進(jìn)技術(shù)運營效率，共筑數(shù)字未來的安全。
 
生成式AI的防范建議
此次圓桌環(huán)節(jié)，北京網(wǎng)絡(luò)行業(yè)協(xié)會副秘書長羅藝從行業(yè)角度，談到了如何維護(hù)和保證互聯(lián)網(wǎng)環(huán)境的健康有序。羅藝指出，網(wǎng)絡(luò)安全、數(shù)據(jù)安全管理是一個體系化、全方位的工作，離不開政府監(jiān)管、行業(yè)自律和網(wǎng)絡(luò)監(jiān)督。在行業(yè)自律方面，企業(yè)要依法依規(guī)地經(jīng)營發(fā)展，同時要在網(wǎng)絡(luò)安全、數(shù)據(jù)安全方向建立有效的管理制度。

對于企業(yè)出海對國內(nèi)網(wǎng)絡(luò)安全行業(yè)的影響，安全牛分析師王劍橋與網(wǎng)宿安全高級總監(jiān)胡鋼偉均認(rèn)為，企業(yè)出海將帶動安全剛需，為國內(nèi)安全廠商提供發(fā)展新動力，但與此同時也將對國內(nèi)網(wǎng)安廠商的技術(shù)能力提出更高要求，“打鐵還需自身硬”將愈發(fā)關(guān)鍵。羅藝則表示，這或?qū)Ⅱ?qū)動國內(nèi)安全企業(yè)創(chuàng)新發(fā)展，破除同質(zhì)化內(nèi)卷，推動國內(nèi)網(wǎng)安行業(yè)壯大。

此外，圍繞熱議的生成式AI威脅話題，王劍橋與胡鋼偉也在會上分享了防范建議。

王劍橋表示，生成式AI的攻擊鏈條核心還是按照“網(wǎng)絡(luò)殺傷鏈”模型的六個步驟來進(jìn)行，包括偵察跟蹤、工具構(gòu)建、載荷投遞、漏洞利用、安裝植入、命令與控制等，生成式AI更多的是提高效率和提高效果。作為防守方，要做到以不變應(yīng)萬變，防護(hù)好風(fēng)險點，一是主動做好安全意識培訓(xùn)，提升內(nèi)部員工的防范意識，二是及時查漏補缺，減少風(fēng)險暴露點，三是變單點防護(hù)為全面防護(hù)，聯(lián)動更多安全組件，全面識別風(fēng)險。

胡鋼偉認(rèn)為，防范生成式AI帶來的威脅應(yīng)回歸安全的本質(zhì)，單點防護(hù)已經(jīng)失靈，企業(yè)應(yīng)該構(gòu)建體系化主動安全。體系化主動安全包含幾個核心，首先風(fēng)險管理是基礎(chǔ)，要收斂暴露面、管理漏洞，以及加強人員意識管理等，其次企業(yè)要完善自身體系化安全的建設(shè)，最后所謂的用魔法打敗魔法，企業(yè)可以將AI賦能到防守以及安全運營方面，提升防護(hù)效率。

據(jù)悉，網(wǎng)宿安全已經(jīng)將AI能力賦能到整體防護(hù)能力上，其中較為典型的應(yīng)用場景是Bot智能識別，基于AI的智能識別已經(jīng)貢獻(xiàn)了超40%的Bot識別率，而且這一比例還在上升。
 

---

詳情請關(guān)注安在新媒體，一家信息安全領(lǐng)域媒體，以“做有內(nèi)涵的泛黑客媒體”為方向，線上通過自媒體，采訪網(wǎng)絡(luò)安全領(lǐng)域人物梳理行業(yè)脈絡(luò)，通過介紹他們的經(jīng)歷、感悟、對行業(yè)的看法等來剖析網(wǎng)絡(luò)安全發(fā)展的脈絡(luò)；致力于建立完整的信息發(fā)布矩陣，覆蓋微信、微博、知乎等主流自媒體渠道。

 

官網(wǎng)：http://anzerclub.com/

市場部聯(lián)系（廠商）：徐倩（微信：Madeline_Sue）

市場部聯(lián)系（甲方）：Tina（微信：xuqingqing823125689 ）及 Enco（微信：Anzer10）