术语

什么是Web 应用和 API 防护解决方案(Web App and API Protection, WAAP)?

Web 应用和 API 防护解决方案 (WAAP) 是指一组集成的安全服务,这些服务相互配合,降低 API 和 Web 应用带来的安全风险。

WAAP 的含义

WAAP 解决方案可防范来自漏洞利用、Bot、自动攻击、拒绝服务、欺诈和滥用以及不安全的第三方 API 集成带来的应用安全风险。

集成的安全控制使组织能够通过可行洞察来提高可视化,这些洞察可以阻止特定攻击,并识别跨越多个威胁向量的协同威胁活动。

Buu Lam delivers this Brightboard Lesson on what a WAAP is, what does it solve for, and how to take advantage of one.

为何Web 应用和 API 防护至关重要?

通过卓越且安全的数字体验吸引客户是企业的当务之急,也是安全和风险领导者关注的重点。在现代数字经济中,平衡安全性和可用性的风险与回报计算变得空前困难、重要,也可能带来收益。

前所未有的选择、客户对摩擦或故障的低容忍度以及不断增加的监管影响,正在将对安全的理解从成本中心转变为具有竞争力的数字差异化因素。此外,应用朝向去中心化和分布式的发展日益明显,同时也跨异构和多云架构部署,并集成在复杂的软件供应链和 CI/CD 流水线中。

WAAP 图 1

图 1:应用的去中心化和分布式趋势日益明显

Bot 和自动攻击的日益复杂化,移动应用使用量的增加和现代应用开发带来的 API 端点的激增,极大地扩展了威胁面,并引入了来自第三方集成的不可预见的风险。

工业化攻击的生命周期始于自动化,终于帐户接管和欺诈。

WAAP 图 1

图 2:应用攻击持久且复杂

 

WAAP 解决方案代表 WAF 市场向相邻领域的演变,特别是 Bot 管理、API 安全性和 DDoS 缓解。

与基于云的 DDoS 清理中心集成的 WAF 以前都被称为 WAAP,无论其是数据中心、私有云还是公有云中的硬件或虚拟设备。然而,市场正处于一个转折点,许多组织将更喜欢以即服务安全形式存在的基于云的 WAAP 平台

有几个驱动因素正在增加对基于云的 WAAP 平台的好感度:

  1. 需要专门的 Bot 管理技术来阻止欺诈和滥用
  2. API 发现和实施控制,可降低第三方集成所带来的风险
  3. 通过 API、开发框架和 CI/CD 流水线进行持续的策略维护
  4. 使用人工驱动 AI 的自动保护和误报修正

在银行和金融服务 (BFSI) 等受高度监管的行业中,与基于云的安全服务集成的基于设备的 WAF 将继续成为可行、甚至是首要选择。

如何评估云 WAAP 服务

有效性和易用性通常被认为是 WAAP 的关键购买标准。

一流的 WAAP 有助于企业以与其业务匹配的速度进行安全态势的改善,在无摩擦或过多误报的情况下减轻损害,并降低运营复杂性,以始终如一地保护混合、多云架构免遭关键漏洞、业务逻辑滥用和不可预见的风险。

主要功能包括:

  • 跨云原生基础设施和完整应用堆栈的通用可观测性
  • 动态 API 发现和执行
  • 在攻击者进行策略调整、升级和规避检测时,提供有弹性的安全防护

Web 应用和 API 防护解决方案的工作原理为何?

WAAP 解决方案通过集成各种安全控制措施来保护应用,从而降低系统入侵、数据泄露、帐户接管和应用停机的风险,包括:

  • Web 应用防火墙 (WAF)
  • Bot 管理
  • API 安全
  • DDoS Mitigation

WAAP 解决方案有多种形式:

  1. 与基于云的安全服务集成的物理/虚拟 WAF 设备
  2. 与基于云的安全服务集成的、基于微服务的 WAF 实例
  3. 基于云的 WAAP 平台,集成了 WAF、Bot、API 和 DDoS 安全控制

WAAP 解决方案还包括用于检测恶意脚本/侧录(如 Magecart 攻击)的客户端安全防护、用于防止通过恶意聚合器进行攻击的安全控制,以及用于防止人为欺诈导致的帐户接管的帐户保护。

应用基础设施防护(Application Infrastructure Protection, AIP)解决方案通过动态漏洞发现和云工作负载安全进一步加强应用安全,提升了修复措施,并通过与 WAAP 控制集成来防止底层基础架构被利用和滥用。

F5 如何解决Web 应用和 API 防护?

F5 WAAP 解决方案以原生方式适配任何架构、云和操作模型,为安全和风险团队提供通用可视化和一致的策略实施,以保护从核心到云再到边缘的传统和现代应用。F5 WAAP 解决方案在部署模型和操作模型方面提供了灵活性和选择。

F5 分布式云 WAAP 提供出色的可观察性,以及庞大的真实数据库和机器学习算法,使 F5 客户能够采用基于 AI 的增值服务 (VAS),例如,身份验证智能通过改进个性化和消除摩擦来优化合法的客户交易,从而提高保留率、转化率和忠诚度。

WAAP 图 1

图 3:F5 分布式云Web 应用和 API 防护(Distributed Cloud Web App and API Protection)平台