应用安全状态

三个令人惊讶的 Web 应用与 API 威胁趋势

在开发和构建 Web 应用时很少考虑安全性。但人们每天都会使用 Web 应用来执行各种关键功能，这让它们成为黑客攻击的目标。

鉴于 Web 应用和 API 的特性以及其中保存的数据的重要性，漏洞利用或未受保护的应用可能会导致业务中断、财务损失和关键基础设施崩溃。

Cloudflare 最近发布的《应用安全趋势》报告显示，企业仍然依赖于陈旧过时的 Web 应用和 API 安全方法，难以抵御网络威胁行为者更高效、更快速的攻击行动。这项研究基于 Cloudflare 全球网络的聚合流量模式（观察时间为 2023 年 4 月至 2024 年 3 月），此网络每天识别并阻止 2090 亿次网络威胁。

本文将重点介绍报告中需要 CISO 立即关注并采取行动的三个主要趋势。

趋势 1：企业普遍使用过时的 API 安全方法

消费者和最终用户期待动态的 Web 和移动体验，这些体验均由 API 提供支持并不断增强。对于企业来说，API 会提供多种竞争优势：更强大的商业智能、敏捷的云部署、整合新增 AI 功能，等等。

然而，许多企业的 API 安全措施已经落后于快速的 API 部署速度。Cloudflare 使用机器学习模型来识别那些可能未计入的 API 流量。本报告数据显示，企业拥有的面向公众的 API 端点数量比他们明确知晓的数量多 33%。（这个数字是根据比较机器学习发现的 API 端点数量，与客户提供的会话标识符检测到的 API 端点数量计算得出。）

虽然 API 与 Web 应用面临的安全挑战各不相同，但我们发现，在受某种形式的第 7 层安全机制保护的 API 流量中，66.6% 的流量主要受传统消极安全 WAF 规则的保护，而不是受采用积极安全模型的专用 API 规则保护。消极安全模型的工作原理是阻止恶意流量并允许所有其他流量通行，而积极安全模型则明确指定允许哪些流量通行，同时拒绝所有其他流量。

建议

随着企业通过 API 提供更多服务，它们应该利用专用 API 安全和管理功能来增强 Web 应用安全工具（例如 WAF 和 DDoS）的防护，并通过无监督机器学习改善管理。

行业最佳实践鼓励使用积极安全模型，而不是依靠消极安全模型规则，来保护 API 安全。积极的 API 安全模型让企业可以通过仅接受符合 OpenAPI 模式设置的流量来保护 API 安全，同时阻止可能包含攻击内容的错误请求和 HTTP 异常流量。

发现影子 API，持续增强 API 安全性。强大的 API 安全工具应该不断扫描企业环境中的每个公共 API，甚至是那些未受管理或未受保护的 API。

趋势 2：第三方代码导致供应链风险增加

大多数组织的 Web 应用依赖于来自第三方提供商的单独的代码片段（通常是 JavaScript）。使用第三方脚本可加速现代 Web 应用的开发，让组织能够更快速地将功能推向市场，而无需在内部自行构建所有新的应用功能。

最新研究显示，Cloudflare 客户网站平均包含 47 个第三方脚本、50 个与 JavaScript 函数及其目标的连接，以及提供 12 个 cookie。

第三方代码和 cookie 会给 Web 访问者带来安全风险，因为此类代码通常在用户的浏览器中加载，而且 cookie 可能会被篡改用于接管会话或帐户等。攻击者可以通过多种方式来获取修改网站中所用 JavaScript 组件代码的访问权限，例如使用盗取的账户凭据，或者利用零日漏洞或未修补的漏洞。然后，他们利用这种特权访问权限，对每个使用该 JavaScript 代码的网站发起下游攻击。

建议

寻找能够自动识别第三方脚本风险，并提供完整的单一仪表板视图来显示网站正在使用的所有第一方 Cookie 的安全供应商。

趋势 3：三分之一的互联网流量源自机器人，但某些行业比其他行业受到的影响更大

平均而言，机器人流量占 Cloudflare 处理的所有应用流量的三分之一 (31.2%)。这个比例在过去三年一直保持着相对稳定，徘徊在 30% 左右。

“机器人流量”一词可能带有负面含义，但实际上，机器人流量没有善恶之分，它完全取决于机器人的用途。一些机器人是“善意的”，它们执行必要的服务，例如客户服务聊天机器人和授权的搜索引擎爬虫。但有些机器人则会滥用线上产品或服务，需要加以阻止，因为它们可能会对收入造成影响。事实上，美国和英国的恶意机器人攻击每年会导致企业损失 4% 以上的在线收入。

以下行业的机器人流量日均占比最高：

图片来源：《2024 年应用安全趋势》

建议

如果您所在的行业往往会面临更多机器人流量，请考虑增加机器人管理方面的投资，以先发制人地阻止恶意机器人的威胁。

寻找具备以下功能的机器人管理服务：

• 通过对海量、多样化的数据应用行为分析、机器学习和指纹识别技术，大规模准确识别机器人流量

• 与企业的其他 Web 应用安全和性能服务（例如 WAF、CDN、DDoS）轻松集成

• 让善意机器人流量（例如：属于搜索引擎的流量）可以继续访问您的网站，同时阻止恶意流量

提前防范各种新兴风险

许多企业都采用传统安全硬件、云原生安全和自主开发的安全措施来解决所有应用安全挑战。但是，这种碎片化的方法导致连接和保护 SaaS 应用、Web 应用和其他 IT 基础设施更加困难。IT 架构的无序扩张使攻击者更容易发现和利用漏洞。统一集成平台方法有助于确保改善安全、无延迟的连接，通过让企业在开拓新市场时遵守当地法规来推动业务增长，并增强客户信任。

Cloudflare 应用安全解决方案可保护应用和 API 免遭滥用，阻止恶意机器人，挫败 DDoS 攻击，以及监测可疑的有效负载和浏览器供应链攻击。我们的应用安全产品与性能套件密切协作，全部通过 Cloudflare 全球连通云（公共云的下一代演进）提供，这是一个统一、智能的可编程云原生服务平台，提供各种可编程、可组合的服务。

Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章，本文为其一。

关键要点

阅读本文后，您将能够了解：

• 应用和 API 在现代商业和通信中的作用

• CISO 亟需关注的三个新兴 Web 应用与 API 趋势

• 帮助企业领先一步抵御各种威胁的实用建议

相关资源

• 2024 年应用安全趋势

• 2024 年全球安全简报

• 客户端攻击持续增加