2022年Web安全觀察報告

近日，網宿安全在線上舉辦第7次年度安全報告發布會，正式發布《2022年Web安全觀察報告》、《零信任安全白皮書》以及《SASE安全訪問服務邊緣白皮書》。發布會現場，網宿科技副總裁、首席安全官呂士表與虛擬主持人對話，深入解讀了Web安全威脅最新發展趨勢，并分享了零信任與SASE的落地路徑。

Web安全六大威脅趨勢

會上，呂士表首先揭曉了《2022年Web安全觀察報告》的6個核心發現：

1、Web安全漏洞持續爆發

2022年網宿安全平臺檢測到針對Log4shell各種變種的利用超過2,700萬次，包括Apache、SQLite、OpenSSL等都爆出了大量高危漏洞。CNVD披露的數據也顯示高危漏洞數量同比增長了13.07%。

2、API成為頭號的攻擊目標

Web攻擊中針對API的攻擊占比達到58.4%，首次超過50%。究其原因在于，企業在Web、APP、小程序各種場景都有廣泛的API應用，API 資產數量龐大但管理不清，存在大量的僵尸API、影子API和敏感數據暴露。較低的攻擊門檻和成本更加劇了攻擊者對API的利用。

3、DDoS攻擊翻倍增長

網宿安全平臺在2022年日均監測到DDoS攻擊43.92萬次，同比增長超過100%；全年發生8次Tb級別的安全攻擊，其中最高峰值達到2.09Tbps。當前的DDoS規模已遠遠超過單個數據中心的清洗能力，運營商、大型公有云、分布式的CDN與邊緣計算，成為目前超大規模DDoS攻擊的防護主體。

4、Bot攻擊連年倍增

網宿安全平臺監測到2022年平均每秒就發生超過5175次Bot攻擊，攻擊量達到2021年的近2倍、2020年的4.5倍。Bot攻擊手法也越發隱蔽，不僅通過偽造正常的User-Agent，或者模擬正常瀏覽器做自動化框架的攻擊，還通過模擬人的行為規避成熟的Bot檢測，攻擊防御難度持續地提升。

5、在線業務欺詐風險顯著增加

注冊、登錄、下單等一系列與交易、賬號密切相關的環節，都受到了灰黑產的大量關注，有類似秒播等大量自動化的流程方式進行。整個企業業務安全的攻擊，從灰黑產攻擊的角度來看，超過50%的攻擊量是自動化的。

6、多樣化威脅占比持續提高

網宿安全平臺數據顯示，同時遭受過2種以上的威脅的Web業務占比超過87%，同時遇到3種以上Web威脅的占比超過65%。涉及到的攻擊方式包括網絡層DDoS、應用層DDoS、漏洞利用、數據爬取、業務欺詐等全面的、自動化的Web攻擊。傳統WAF防護難以覆蓋如此多樣化的威脅，需要新的安全防護方案。