Web应用云原生化:企业数字化转型促使Web应用架构复杂,微服务、Serverless技术兴起,多云战略普及,传统单体式WAF难以满足需求,需构建适配云原生的新型WAF。
高级Web攻击技术:新型攻击手段如恶意程序变种、零日漏洞利用、文件上传漏洞、API滥用、Bot攻击等不断涌现,攻击成本降低,效率提升,传统检测手段面临严峻挑战。
传统WAF局限性:传统WAF在未知威胁防护、精准度和性能方面存在不足,对未知威胁防护滞后,误报率高、检出率低,性能瓶颈明显,难以满足云原生时代Web安全防护需求。
受访者概况:受访者来自多行业,企业规模多样,岗位职责集中于安全规划和管理岗位。
当前Web应用风险现状:企业关注多种Web安全内容,Web风险影响程度较高,SQL注入和敏感数据泄露风险突出,Bot攻击关注度较低,多数企业曾遭受Web风险。
当前Web安全建设现状:多数企业已采取Web安全防护措施,防护产品以传统防火墙和漏扫为主,部署方式私有化仍占主流,防护效果中等偏下。
当前Web安全建设难点:企业Web安全建设支出计划以百万以内中小规模为主,选型关注产品成熟度等指标,选择供应商面临多种难点,安全运营存在告警处理等问题,希望提升多方面安全能力。
系统框图:Web安全经历传统、新一代、智能化三个阶段,新一代Web安全系统应构建多层级、细粒度、纵深防御架构,涵盖资产识别、威胁检测与防护、风险分析和可视化、响应处置等能力。
技术特点:具有云原生架构,支持容器化/微服务化部署和弹性扩展/自动化运维;多云环境支持,实现互联、管控、协同;模块化设计,提升扩展性;自适应安全策略,利用机器学习优化;API安全防护,强化威胁检测等;智能化防护,应用机器学习等技术。
部署方式:包括云端部署(SaaS)、本地部署和混合部署。云端部署简便、弹性高,适合云上业务;本地部署适合对安全设备物理可控、需深度定制策略的企业;混合部署适用于复杂多云环境下的大型企业。
方案选型:新一代Web安全方案呈现云服务化趋势,部分厂商进行产品重构,云计算和信创是重点方向,安全防护愈发智能化。报告评选出10家代表性厂商,如安天、长亭科技等,各有优势。
某企业WAF资源池建设案例:某国有大型商业银行面临Web安全挑战,部署绿盟科技WAF设备,实现全面防护、资源池化部署、安全运营和不改变源IP,提升了攻击防护、弹性、运维效率和安全运营能力。
某企业WAAP安全平台应用与建设案例:某金融企业为应对数字化进程中的安全风险,采用瑞数WAAP安全平台方案,实现多元化攻击防护和全渠道应用安全防护体系,探索了高级威胁防护解决方案。
云原生安全治理框架:Web安全能力将纳入CNAPP,实现一体化、平台化交付,厂商需适配新技术,融入企业IT架构。
集成纵深防御立体化安全:Web安全防护体系将向细粒度、纵深防御演进,适应攻击手段变化和企业需求。
AI深化应用:AI在Web安全防护中将聚焦业务自适应、策略自适应、攻防实战,提升智能化水平。
SECaaS加持下的发展:Web安全在SECaaS作用下将更轻量化、弹性化、服务精细化,形成防护闭环。
新兴领域安全发展:5G、物联网等新兴领域Web安全将进一步发展,WAF需应对新攻击面,与相关技术整合。
下一篇:暂无
- 手机:
- 13968960023
- 邮箱:
- kuyou@chaoshuntong.com
- 电话:
- 010-80480367
- 地址:
- 北京市怀柔区琉璃庙镇老公营村293号-20室
