通付盾WAAP网络与数据安全Agent深度解析

引言

随着现代Web应用程序的发展、应用程序环境和威胁的代际转变，应用的去中心化和分布式趋势明显，Bot 和自动攻击的日益复杂化，移动应用使用量的增加和现代应用开发带来的 API 端点的激增，极大地扩展了威胁面，并引入了来自第三方集成不可预见的风险。

数字化转型的步伐加快，威胁形势的变化速度也在加快。2022年上半年，全球Web 应用程序和API 攻击数量显著增加，攻击尝试次数已超过90 亿次，比2021 年上半年增加了3 倍。分布式拒绝服务 (DDoS) 攻击的规模继续扩大、复杂性继续提升。

面对日趋复杂严峻的网络与数据安全态势，需要一种更新的技术集合来解决此类难题，大模型和Agent技术开启了全面自动化的新时代，安全市场不断发展的成果，将满足这些需求！

图 商业、高科技和金融服务是受 Web 应用程序和 API 攻击影响最为严重的垂直行业

一、网络与数据安全形势

1、Web 应用程序和 API 防护挑战

Web 应用程序不断发展，变得更加复杂，这为企业带来了新的应用程序安全挑战。现代 Web 应用程序和微服务越来越多地依赖 API 进行几乎所有的交互，从而扩大了攻击面，为黑客提供了新的潜在入口点。目前，已知的软件漏洞数量已超过 180,000 个，而且每年还在新发现数千个漏洞。

2、API攻击引发以风险的关注

开放式 Web 应用程序安全项目 (OWASP) 发布了 API 十大安全漏洞名单，从新的名单中可以看出，API 攻击占据的比重日益加大。

图 ：新的 API 十大安全漏洞中包含更多与 API 相关的攻击，并着重强调了授权问题（在前五大攻击中占据四席）

3、传统安全架构的防护窘境

随着应用程序攻击面的扩大，网络犯罪分子发起了越来越复杂的多媒介攻击。攻击者经常使用自动爬虫程序、僵尸网络和漏洞扫描器，借此成功入侵 IT 环境并接管用户帐户，从而窃取数据，破坏业务运营，并发起破坏性的网络攻击。面对复杂攻击，传统堆叠式、积木式、城防式的安全架构，存在漏洞多、兼容性差、笨重不灵活、缺少高效协同劣势，无法有效应对越来越复杂的攻击。

网络安全面对的往往不单单是网络安全，现代应用的无边界化，传统网络安全防护体系已不能适应新的威胁，网络安全与数据安全问题错综复杂，任意一个漏洞都可能直接造成数据安全泄漏。因此，企业必须寻求可以更全面地应对日常安全威胁的集成解决方案，一种更新的方案，将安全性融入持续集成/部署过程中。

图 传统“积木式、城防式架构”任意层漏洞都可直接造成数据泄漏

二、安全市场新技术方向及趋势分析

2023年9月，Gartner发布2023年数据安全五大新兴技术，在此文中，Gartner认为，应对量子计算威胁、安全工具的融合和集成以及管理未知的影子IT数据是当务之急。

1、单点解决方案存在明显短板

据统计数据显示，50% 的大公司和 42% 的中小型公司（SMB）认为，与旧版系统的兼容性问题是采用安全流程和安全技术的一大障碍。

当今企业大多倾向于从多家供应商购买单个产品或单点解决方案，然后选择功能最好、成本最低的产品来满足不同方面的安全要求。但是，这种方法会使基础设施碎片化，从长期来看，这反而需要付出更高的成本和大量的时间进行管理。此外，碎片化的安全环境还可能会存在缺口，不仅让攻击者有机可乘，而且会导致额外的成本。

图 对采用安全解决方案时存在多种障碍表示认同的大公司和中小型公司的比例

2、安全工具的融合与集成效能更高

广泛使用各种安全产品与安全工具固然很好，但构建立体防护会是更好的选择。企业开始寻求融合与集成安全解决方案，而不是购买大量不能交互操作且很难管理的技术。虽然集成解决方案的初期成本较高，但是此类系统更有可能预防 安全漏洞，而且从长期来看所需的维护和管理成本会更少。将安全解决方案融入运营流程，并采用更有效的工具。这些措施所能达到的效果，将远远超过单纯采用单点解决方案。

综合各方考虑，选择安全工具融合与集成的架构是值得的，这比购买大量单点解决方案更高效、更简单。

图 中国的企业和其他国家/地区的企业对各种威胁防御工具的使用情况（单位：百分比）

3、AI Agent是开启全面自动化的关键技术

大模型的出现，自主智能体(AI Agent)正逐渐成为全面自动化的新趋势，AI智能体（AI Agent）是一种具备环境感知、决策制定和行动执行能力的智能存在。与传统AI的主要区别在于其能够针对目标进行思考、决策和行动。只需一个目标，它就能自行规划和实施策略，利用外界反馈和自我思考实现任务。Agent 的关键特点是感知环境、自主决策、具备行动能力，设定明确的目标和任务，适应环境及学习能力。

图 AI Agent(AI 智能体)

三、WAAP-网络与数据安全工具融合与集成方案

图 通付盾WAAP解决方案

通付盾WAAP是一种能够不断自我学习和适应最新攻击行为的网络与数据安全防护技术集合，是一款具有可视化拖拽功能的自动化编排安全体系产品，是一个融合AI Agent（AI智能体）、Web应用防护、API安全、Bot管理、DDOS缓解、风险智能决策等功能的安全工具集成解决方案。通付盾WAAP采用现代技术自适应体系，融合策略、模型、图谱分析进行实时甄别欺诈及批量风险决策，自适应引擎可对复杂环境变化进行快速配置及管理，能够自主分析网络中传输的数据和流量，有效识别并智能拦截恶意攻击，保障现代应用网络与数据安全。

1、解决传统Web防护短板

现代 Web 应用程序的发展，恶意攻击者用来破坏应用程序安全性的技术也在不断发展。有了新的功能和特性，攻击者有更多的表面积可以尝试和瞄准。敏捷方法和 DevOps 实践的采用也导致开发、软件更新和新功能发布的步伐迅速加快。

这些发展趋势也导致传统的 Web 应用防火墙 (WAF) 无法跟上安全需求。 WAF 通常依赖于手动调整和持续维护，并且通常只监控开放 Web 应用程序安全项目（OWASP Top 10）列出的前 10 大最严重威胁。所有这一切意味着当今的开发人员、应用程序安全团队和 DevOps 需要一个更好的解决方案来提供可随 Web 应用程序部署扩展的安全性。

2、集成融合形成立体防护

Web 应用程序安全市场不断发展以跟上新数字经济的步伐。虽然 Web 应用程序防火墙 (WAF) 已被证明是缓解应用程序漏洞的有效工具，但 API 的激增和攻击者复杂程度的提高引发了 WAF、API 安全、机器人防御、DDoS 缓解和应用程序基础设施保护的融合。 WAAP 解决方案可保护应用程序免遭泄露、停机和欺诈。

竞争激烈的数字环境促使组织采用现代软件开发来在市场中取得领先地位，从而实现快速发布周期以引入新功能以及集成、前端用户界面和后端 API 的混搭。因此，新的数字经济需要 Web 应用程序安全进入新时代，以安全地释放创新、有效管理风险并降低运营复杂性。

3、WAAP是网络与数据安全工具的融合与集成

传统Web安全防护更多的点在网络安全层面，针对数据安全需要另外的数据安全产品来补充，一方面，面对不断变化的网络威胁，针对传统Web防护，需要进化与革新，另一方面也需要提供统一的整体防护。WAAP全称是Web应用程序与API保护，它是一个网络安全实现的集合，通过一系列自动伸缩的、云原生的安全模型来保护API和Web应用程序，同时降低机器人扫描的风险，每个模型都有不同的策略来提高安全性，帮助客户提高应用程序的性能与防护能力。以往要解决这些Web问题分别要不同产品和服务获得保护，但是通过WAAP解决方案，可由一个产品或服务就可以提供统一的整体防护，并由一个厂商为解决方案提供支持。

四、WAAP解决的问题

WAAP 解决方案通过集成各种安全控制措施来保护应用，从而降低系统入侵、数据泄露、帐户接管和应用停机的风险，包括：

Web 应用防火墙 (WAF)

Bot 管理

API 安全

DDoS 缓解

图 Web应用和API保护（WAAP）

WAAP通过对API进行漏洞扫描和修复，发现及管理数据资产，及时发现并修复API中的安全漏洞；

通过对API访问进行控制和监控，防止未经授权的访问和恶意攻击；

通过Web动态防御，隐藏攻击入口，提升站点内容保护力度，提高攻击者的攻击成本；

通过基于特征、行为、人机识别等模型，识别与拦截自动化攻击，防范数据爬取，保护数据资产；

通过智能决策，动态应用配置，防范应用层DDOS，降低服务负载，防止过量攻击。

通过体系化的安全模型及防护措施，加强API安全管理，防御自动化攻击，防范数据泄露。

五、WAAP解决方案的作用

1、减少应用程序漏洞

保护应用程序免受关键风险（例如 OWASP Top10中列出的威胁）,针对注入和跨站点脚本 (XSS) 等常见漏洞提供防护措施，并缓解针对复杂软件供应链、第三方集成和跨云安全配置错误的新兴风险。

2、API安全

通过敏感数据的深度发现和分类来检测 API，为所有 API资产，并提供持续保护，对所有端点的全面 API 发现和敏感数据分类，消除数据泄漏和 API 滥用的威胁。

3、减少机器人和滥用行为

正如企业采用自动化来提高流程效率一样，攻击者也利用机器人和自动化来扩大攻击规模、绕过安全对策并接管客户帐户。WAAP解决方案保持弹性并自动适应攻击者的变化，而不依赖于以往常规的安全控制，从而确保业务成功。

4、防御 DDoS 攻击

各种规模的组织都面临着遭受拒绝服务攻击的风险。这些攻击的共同目标是破坏性能和可用性，但攻击本身各不相同。WAAP解决方案可连接到任何架构，以对抗对业务面临的 DoS 和 DDoS 攻击。

六、企业上线WAAP方案利益分析

1、实现广泛的防护

获得针对所有网站、应用程序和 API 提供的全面保护，使其免受广泛的网络威胁，包括自动僵尸网络、基于 API 的攻击、注入攻击和大规模拒绝服务攻击等。

2、减少 API 攻击面

自动发现并保护 API 免受漏洞影响，降低 API 攻击面风险，可自动持续分析流量以发现已知、未知和不断变化的 API（包括其端点、定义和特征），然后使用简单易行的工作流来保护 API 免受 DDoS、注入和撞库攻击的侵扰。比如 OWASP 十大威胁、OWASP 十大 API 威胁，等等

3、用更少的资源完成更多的工作

通过单一解决方案管理 WAAP 保护、爬虫程序监测和抵御、DDoS 防护、Web 优化、API 加速等。

4、自定义 WAAP 规则。

针对突发业务安全问题可提供应急调整，安全团队可以短时间用较少工作量轻松生成自定义规则，以管理标准保护措施未涵盖的情形。

5、阻止 DDoS 攻击

WAAP能立即阻止应用层 DDoS 攻击，降低服务负载，防止过量攻击。

6、灵活展现动态分析

WAAP提供多维动态可视化分析的数据可视化工具，可视化工具制作的分析报表，能够灵活、高效地满足不同浏览者的数据分析需求，帮助浏览者层层分析、掌握数据发展变化、锁定问题产生原因，辅助决策，帮助用户快速解决问题。

7、自动更新 WAAP 保护措施

自动更新到自适应安全引擎中，从而提高安全防护效果，同时尽可能减少管理开销和操作阻碍。

七、WAAP中应用的技术

1、Agent智能体技术

自适应是应用现代应用的重要能力，针对复杂多变的应用防护态势，利用传统僵硬的配置与应对显然不能满足现代应用防护需求。Agent能够感知其环境并在一段时间内对其采取行动以实现自身目标的技术应用，Agent可通过传感器感知环境（收集信息）并通过执行器作用于该环境（采取行动）的事物，可实现复杂流程自动化。智能体模拟，更加拟人可信，针对复杂场景，Agent可提高场景的适应及决策能力，提升决策效率及准确性。

2、API资产发现技术

数据安全保护的基础要求就是摸清被保护的数据资产，数据资产梳理的关键技术首先是数据发现，摸清数据资产底数，形成完整的数据资产视图，对数据进行全面的、细粒度的安全管理。API资产发现技术，可自动地发现业务潜在的API接口，失联的接口、遗留API和历史API，从API资产盘点，到API路径折叠与规范化，再到进一步的敏感数据暴露面清点。通过对API接口进行梳理和盘点，让运营者快速掌握API资产现状，同时实时感知每个API接口的访问情况，综合进行监控。

3、数据加密技术

数据加密技术是保护数据安全的关键技术手段，在数据生命周期的存储、传输、交换阶段都需要加密技术来保护数据安全。采用密码技术中的加密保护技术，可以实现数据的保密性保护。利用实现加密的一段计算机程序，对数据进行加密，可产生形如乱码的密文。攻击者即使窃听了密文，由于加密算法具有足够的强度，也无法从密文中获取有价值的信息。而拥有密钥的一方，利用实现解密的一段计算机程序，可以从乱码中恢复原来的数据。

4、数据脱敏技术

数据脱敏技术是对数据中包含的秘密或隐私信息进行数据变形处理，使用取整、量化、屏蔽、截断、唯一替换、哈希、重排、格式保留加密等手段对敏感数据进行脱敏处理，使得恶意攻击者无法通过经过脱敏处理的数据中直接获取敏感信息，从而实现对机密和隐私信息的保护。

5、数据水印技术

数据水印是通过一定的方法向数据中植入水印标记，从而使数据具有可识别分发者、分发对象、分发时间、分发目的等因素，同时保留目标环境业务所需的数据特性或内容的数据处理过程，通过数字水印技术，解决企业一旦发生数据泄露，缺少追踪办法，无法溯源定责的痛点问题。

6、人工智能技术

人工智能技术可实现数据分类和合规分析。通过人工智能算法训练加密流量检测模型，对异常数据传输进行分析。通过机器学习检测网络中异常行为，检测网络攻击，自动形成应对的操作，减少针对数据攻击的危险。

7、API运行时保护技术

API运行时保护技能通过流量动态分析能力，对API流量进行认证鉴权、攻击防护、流量控制、日志监控等操作。对未经身份验证的API进行阻断，可防止未经验证的API访问敏感数据资源；对传输过程中的数据进行检测，防止敏感数据泄露和提交恶意执行文件；对API访问流量进行监测和控制，防止恶意攻击和破解API，造成数据泄露和服务资源浪费，影响正常业务开展。

8、决策智能技术

决策智能技术是指整合设备指纹探针、深度学习、关联分析等多项技术，在海量数据分析的基础上，建立全面精准的规则引擎，通过事前预警，事中管控，事后关联分析，全程实时监测业务数据潜在威胁，动态预警数据欺诈风险，及时阻断危险操作。

八、总结

现代Web应用的兴起，引发Web应用安全、API安全、运行安全、网络安全及业务欺诈安全等问题聚合出现。自动化攻击技术的不断发展，也让攻击的难度降低，进一步加剧了Web与API安全问题的严重性。保护网络与数据安全问题，需要突破传统架构局限，升级现有架构与安全防护能力，以自适应、自动化、智能化为核心，以网络与数据安全工具的融合与集成方案-WAAP为着手，提升各安全工具间的兼容性，加强各组件协同性能，降低运维成本，提高效率，增强企业应用程序防护及数据保护能力，更好地保障Web应用与API的可靠性和稳定性，确保数据的完整性和安全性，切实做到立体防御，降本增效。