数世咨询《现代WAF市场指南》发布
1 前言
随着我国数字化进程的加速发展,Web站点及各类应用的数量呈现爆发式增长态势。与此同时,利用Web漏洞进行攻击的事件也与日俱增,黑客攻击手段不断升级,包括各种拟人化自动化攻击、API攻击以及0day攻击等,给Web应用安全防护带来了巨大的挑战。
传统Web应用防火墙(WAF)主要通过规则匹配和基于黑名单的攻击检测方法来防范已知攻击,尽管具有一定的安全防护能力,但在应对复杂多变、自动化和智能化的攻击手段时,却显得力不从心。同时我们也发现,许多行业用户的安全需求也正在从监管合规向更注重攻防实战效果转变,也要求WAF能够具备智能化、精准性、灵活性的实战能力。
大数据、人工智能等新技术的引入,使得Web应用防护从传统的特征库、黑名单等单一化防御转变为结合了安全基线自学习、智能化恶意脚本识别、实时防御机器人自动攻击等多业务、智能化的综合防御体系,数世咨询定义为“现代WAF”。
为了客观真实地反映现代WAF的市场及行业应用情况,数世咨询通过资料收集、问卷调研、企业访谈、市场数据分析等方法撰写《现代WAF市场指南》,报告除了以应用创新力与市场执行力两大维度展现WAF厂商的能力以外,还从细分的八个维度对国内WAF提供商进行了侧写。同时,报告还对现代WAF的概念、市场规模、行业需求等进行了梳理与描述,供业内人士参考。
2 关键发现
●识别并防范Bot攻击以及各类恶意脚本攻击,现代WAF有两种应对策略:一是基于精准的规则库,二是不基于规则库的新技术应用,例如:动态验证、语义分析、行为分析等。
●现代WAF的保护对象范围更为广泛,不仅可以为WEB站点提供安全保护,还可以对API、APP、小程序等应用进行识别和保护,无论这些应用是运行在云端还是本地。
●2022年的数据统计显示,云WAF(占44.8%)的市场份额已经超过了硬件WAF(占42%)的市场份额,这一比重在未来将继续扩大。
●根据本次调研统计,2022年我国WEB安全防护(WAF)市场规模达到35亿元, 2023年全年预估能达到42亿元,预计到2026年,WAF市场规模可望达到70亿元。当前在所有WAF市场份额中,现代WAF产品销售额大约占30%,预计未来三到五年,现代WAF产品会逐渐成为主流占据WAF产品大部分市场份额。
●目前,WAF产品的主要需求仍然是监管合规,其需求排名前四的行业分别是:金融(16.4%)、政府部委(16.1%)、运营商(15.8%)和国防公安(11.5%)。国内现代WAF产品在功能上针对监管场景普遍有所优化,比如在日志审计和应用监控方面提供更优化的安全运营功能。
●在HW、重保、攻防演练等关键应用场景中,现代WAF能够有效地防御Web攻击,提升防御能力,并且能够及时准确地获取攻击者信息,为防守方提供更多的战术选择。比如,一种将攻防一体化理念与现代WAF结合的“可编程防御平台”,通过将攻防经验实时转化为防御模板快速下发,实现了敏捷防御,提高了现代WAF的实战能力。
3 概念描述
通过对国内市场需求及应用调研,数世咨询给现代WAF作如下定义:
现代WAF是一种集成了多种安全检测引擎、具备智能化、自动化和一体化防护能力的Web应用安全解决方案,不仅可以监控、过滤和阻止像SQL注入、跨站脚本攻击、应用漏洞攻击、拒绝服务攻击等传统Web应用攻击,还能应对诸如Bot攻击、应用层DDoS和高级持续威胁(APT)等新型威胁,同时支持对API、小程序等多种业务应用的安全防护。
现代WAF除了具备传统WAF的威胁防护能力之外,还具备以下关键能力:
◆ 基于非规则库的威胁识别防护
例如:通过动态验证、语义分析、行为分析等智能化分析技术,识别并防范Bot攻击以及各类恶意脚本攻击。
◆ 多场景应用安全防护
不仅能对WEB网站提供防护能力,还支持对基于Web应用的API、APP、小程序等多种业务场景提供安全防护。
◆ 支持云化部署与防护性能弹性
通过虚拟化或者云原生的方式部署于云环境中,防护性能基于不同需求弹性变化。
◆ 防护功能模块化,满足定制化需求
功能模块化交付,不同应用场景或需求的用户不需要二次开发即可灵活选用。
现代WAF可选能力:
◇ 网页防篡改
◇ 表单加密与信息混淆
◇ 敏感数据防泄露
◇ 国密算法支持
◇ 与其它安全工具联动,比如漏扫工具、抗DDoS、防火墙等
我们也注意到,近两年来WAAP(Web Application and API Protection)概念在WEB安全领域引起了广泛的关注。WAAP强调了API保护和Web应用防护同等重要。然而,API安全防护面临着许多挑战,如API数量众多、接口类型多变、传输数据敏感复杂等,同时也需要解决跨系统协作等流程障碍。实际上,现代WAF和WAAP的API防护能力有限,API安全防护需要更专业化的产品来实现。
说明:本报告以下所提及 “现代WAF” 均指本概念定义的WAF解决方案,而只提“WAF”时则包括传统WAF产品或解决方案。
4 市场指南
4.1 能力企业
入选本报告的WAF厂商有(按公司简称首字母排序):安恒信息,安数云、电信安全、观安信息、浪潮云、绿盟科技、瑞数信息、赛宁网安、山石网科、盛邦安全、天融信、腾讯安全、网宿安全、云盾智慧、云科安信共15家,并按照横轴-市场执行力、竖轴-应用创新力为依据,通过能力点阵图的方式展现如下:
国内现代WAF厂商能力点阵图
(说明:部分厂商因自身原因未参与排名)
了更客观体现新赛道中各能力企业的特点,便于最终用户选取更适合自己需求的安全企业作为潜在合作对象,数世咨询将点阵图横坐标“市场执行力”进一步拆解为市场营收、品牌影响力、行业广度、行业深度等四个维度,将“应用创新力“进一步拆解为产品工程化、业务场景化、理论与基础研究、技术融合度四个维度,上述八个维度以雷达图形式展现如下(按公司简称首字母排序):
国内现代WAF厂商能力雷达图
(说明:部分厂商因自身原因未参与排名)
4.2 市场概况
据本次调研统计,2022年WEB安全防护(WAF)市场规模35亿元(说明:前述未参与市场排名企业数据亦统计在内),根据参与调研的各安全厂商对本年WAF收入情况预估,2023年WAF市场规模约为42亿元,预计到2026年WAF市场规模有望达到70亿元,整体WAF市场年复合增长率20%左右。
需要提及的是,销售数据中大部分仍然是传统WAF产品销售份额,其中现代WAF产品销售额估计占比接近30%,同时我们也发现,无论是解决方案还是产品宣传上,几乎所有厂商都在向现代WAF方案或WAAP方案转变,预计未来三到五年,现代WAF产品会逐渐成为主流占据WAF产品大部分市场份额。
WAF市场规模预测
2021年以前WAF市场还是硬件WAF的主场,但数据表明,自2022年开始,云WAF的销售额已经超过硬件WAF(如图),随着云计算的迅猛发展和上云业务安全需求的持续释放,未来几年云WAF的市场份额还将继续增长。
WAF产品形态
软件WAF、硬件WAF、云WAF等多样化的产品形态为不同客户提供了更加丰富的选择, WAF产品整体市场会高速增长,但数世咨询研究发现,三种形态的WAF产品增长幅度有所不同,预计到2026年三类WAF产品的发展趋势如下:
WAF不同形态产品5年变化趋势预测
4.3 需求分析
按照机构用户所处行业划分,排名前四的行业分别是:金融(16.4%),政府部委(16.1%),运营商(15.8%)和国防公安(11.5%),完整行业需求占比情况如下图所示:
行业需求占比
随着行业安全风险的增加和客户需求的升级,调研发现,更多的客户对WAF产品的需求不再局限于监管合规,而是更多的向实战化、持续运营化方向发展。国内市场驱动现代WAF发展的主要需求因素有:
需求一:新法规政策强力驱动WAF应用落地
在新的网络安全法、数据安全法相继出台后,安全合规成为企业优先考量的因素之一。结合行业监管要求,政企用户对WAF类产品有明确监管合规需求,我们发现,国内WAF产品在功能上针对监管要求普遍有所优化,在日志审计和应用监控方面提供更加优化的安全运营功能,用于协助用户进行合规检测和风险评估等辅助工作。
需求二:业务规模的扩大对WAF产品的性能和可扩展性的要求
WAF需要具备处理超大规模业务流量的能力,以确保在海量请求到达时仍能提供足够的吞吐量和低延迟。当前支持软件化部署的软件WAF和云WAF产品在满足这一需求时更具优势,而支持集群化部署的硬件WAF尽管一定程度上也能满足此类需求,但过高的采购成本也限制了用户的选择。
需求三:关键业务场景通过WAF提升实战力
“关键场景”比如「HW」、「重保」和攻防演练中要求WAF能有效防御Web攻击,提升防御能力,并获取攻击者信息,为防守方提供更多的战术选择。现代WAF除了能够利用精准的威胁情报实现对攻击的快速检测和拦截外,还能够应用机器学习模型,通过自动化安全分析,实现对攻击行为的快速路径追踪,帮助用户快速定位问题源,大大缩短了从漏洞利用到入侵的时间窗口,满足实战化能力的需要。
比如:云科安信提出了“可编程防御平台”攻防一体化理念,将防御功能按场景组合成“防御模板”,使用者不用理解和学习复杂的安全防御原理和功能,只需根据要保护的业务场景引用相应的防御模板即可。一方面极大地降低了现代WAF的使用门槛,另一方面通过防御模板的快速下发,实现了敏捷防御,提升了现代WAF的实战力。为了在攻防对抗中占得“先机”,云科安信利用黑客画像技术,通过分析黑客的攻击行为、手段和风格特征,构建出反映黑客个人或组织风格的侧写模型,用于判断、识别特定黑客或组织,从而预测攻击活动、制定有针对性的防御策略。
需求四:防御智能化、自动化攻击
自动化机器人攻击、各类爬虫攻击等大幅提高了攻击效率,可以轻易绕过传统WAF的防护规则,不断挑战现代WAF的防御能力。我们也注意到国内部分厂商,基于领先的动态防御、语义分析等技术赋予现代WAF更加智能化的发现攻击和威胁的能力,通过机器学习、行为分析等人工智能技术大幅提升了现代WAF的自主学习和适应能力。现代WAF正在成为一种集成了多种安全检测引擎的AI系统,应用AI技术增强现代WAF的自适应防御能力,是应对多变复杂威胁的重要趋势。
需求五:API、APP、小程序等多业务安全防护
随着API、小程序等使用范围的不断扩大,安全威胁也日益增加,如越权访问、参数篡改、重放攻击等。针对API、小程序等接入渠道,现代WAF实现了对接口和业务逻辑的风险扫描和评估,通过限制接口访问,过滤敏感数据等手段,防止数据泄露、业务入侵等风险。
需求六:行业差异化需求
不同行业在网络安全方面存在差异化的诉求,这推动了WAF产品向功能多样化方向发展。例如,金融行业需要重点防护核心业务系统接口的安全,因此对WAF的API防护能力提出了强烈需求。电信运营商大量采用虚拟化技术,需要WAF通过轻量级的虚拟化技术来实现云上业务的安全防护。能源和交通等重要行业需要支撑OT业务系统,对集群化部署和统一管理提出了要求。各个行业的不同需求促使WAF厂商集成可自由选择的多种模块化能力。
5 应用案例
5.1 现代WAF在银行的应用案例(一)
【案例提供:瑞数信息】
A. 案例背景
金融数字化进程不断加速,为了方便客户接入、快速发展客户,某大型银行为客户提供了多种接入渠道,包括手机银行App访问、Web访问、H5访问、微信访问、小程序访问和API访问。伴随流量的提升,API业务带来的Web敞口风险和风险管控链条的扩大,不仅各种利用Web应用漏洞进行攻击的事件正在与日俱增,各类拟人化自动化攻击、API业务攻击、0day攻击对金融数字化业务的影响也在快速攀升,攻击手段愈发多元化。
1、攻击日渐规模化和业务化
专业化黑客团伙出于牟取经济利益,大量采用自动化攻击(Bots)对金融行业进行规模化攻击。这种无明显攻击特征的模拟合法业务操作的自动化攻击,通过自动化工具模拟用户的正常登录、开户、转账、交易、信息查询等业务操作、OpenAPI接口非法滥用;同时,利用漏洞扫描、零日嗅探工具,对应用系统漏洞批量探测,从攻击手法上呈现出专业性高、针对性强的趋势。
2、单点防御被动且低效
目前,金融企业针对各应用面临的安全风险,都采用单点的被动防御技术为主,整体应用安全防护能力较差。仅靠单点的应用防护产品和方案,不仅存在复杂和高维护成本的困境。且对新兴威胁手段无法有效防护,缺少应用安全数据关联分析和管理能力。
B. 解决方案
瑞数下一代WAF - WAAP安全平台通过动态防御技术实现对手机银行App、Web网站、H5页面、微信、小程序和API接口的统一防护,在下一代WAF - WAAP安全平台上实现对各类接入客户端数据的融合,并通过来源IP、账号信息对各平台访问数据进行关联与信誉评分,实现多平台业务信息联动与威胁感知,达到精准识别与拦截恶意自动化非法请求的目的。具体实现了:
1、全渠道访问的统一防护:实现全渠道业务(手机银行App、Web网站、H5页面、微信、小程序和API接口)统一防护。
2、跨渠道数据统一融合分析:实现对各类接入客户端数据的融合,并通过来源IP、账号信息对各平台访问数据进行关联与信誉评分,实现多平台业务信息联动与威胁感知,达到精准识别与拦截恶意自动化非法请求的目的。
3、构建应用安全的统一标准:建立快速上线部署标准安全,在整个安全流程规范化的同时,实现异构集成,满足安全能力的无缝对接,降低了金融业务创新成本。
C. 方案特点
1、Web应用协同防护
融合传统架构及云上应用多场景的适配和可扩展性,从传统网络边界,迁移到各种Web应用、App应用和API云服务,构建集中于业务逻辑、用户、数据和应用的可信安全架构,全面抵挡新的安全威胁。系统部署后,大幅提升对欺诈来源的识别及追踪能力,且能全程掌控攻击全貌,建立对抗网络空间威胁的全方位立体作战能力。
2、安全技术变革,化被动为“主动防御”
动态安全防御技术,无需依赖规则和补丁,为网站安全提供主动式安全防护。以“动态防护”技术为核心,增加服务器行为的“不可预测性”;提供面向业务层的主动防御,高效甄别伪装和假冒正常行为的已知和未知自动化攻击,拦截未知威胁。
3、基于AI技术的新思路
通过使用机器学习的多种威胁模型来确定异常攻击,并阻拦确定的攻击请求。每个威胁模型都代表特定的攻击类别(SQL注入,跨站点脚本,OS命令注入等)。这些威胁模型使用来自各种来源的数十万个真实攻击样本,包括如CVE和Exploit DB以及威胁情报,及第三方漏洞扫描程序收集的数据,进行了广泛训练和测试,从而发现高度隐蔽的攻击,有效提高检测速率,降低误报、错报率。进一步过滤了自动化攻击的噪音,让大数据风控变得更加精确高效,大幅降低线上交易欺诈风险。
4、强化对新兴Bots威胁防护
Bots防护能力可以高效抵御由自动化工具发起的高效大规模攻击,如恶意爬虫、撞库、虚假注册、交易篡改、内网安全、API滥用、零日攻击等,保障在业务、应用和数据层面的安全升级。动态验证技术是基于动态算法技术,每次派发的终端检查代码的逻辑与形态均不同,攻击者无法预知检查内容,难以绕过;即使企图逆向代码,也只有当次有效,下次必须重新逆向,攻击成本极为高昂。动态验证技术解决了全球同类型方案中,易于逆向及绕过的问题;更通过真实运行环境验证及终端攻击行为模式分析等技术,完整掌握攻击全貌,并能精确描绘攻击者画像。
D. 应用价值
• 解决业务安全问题
通过将所有的Web、App和API应用全部接入到该平台,通过动态安全技术实现对访问客户端信息的收集,结合全访问记录,利用大数据技术统一汇总访问日志,进行综合关联安全分析,发现可能的攻击行为,有效拦截了各种自动化攻击行为,防止了黑产发起的各种业务攻击,如:自动化工具发起的批量查询和异常交易行为被有效阻拦,境外IP使用多个账号进行频繁登陆和交易的异常行为等。另外,下一代WAF - WAAP安全平台具备对未知攻击的防护能力,保障业务系统免受零日漏洞攻击,给安全运维提供了足够的时间进行漏洞修复,为相关一线部门提供自动化工具拦截、安全告警、数据输出,并给出处理建议,实现统一的安全威胁防护和分析。
• 降低金融企业经济损失
金融企业为了提升经济效益,经常组织促销活动,大量的羊毛党利用自动化工具也随之而来,将金融企业大量的促销投入薅走,给企业带来了巨大的经济损失。另外通过下一代WAF - WAAP安全平台可以清晰了解到真实用户对那些业务比较热衷,那些业务参加的用户数量多,那些活动可以吸引到更多的注册用户数,从而辅助业务推广;通过用户画像了解用户的行为模型,可以实现精准营销,增加收入。
• 助力金融行业抗击黑色产业链
该项目的成功经验,为金融行业探索了一条全新的抗击黑产的道路,首先其从黑色产业链的最核心部分“自动化工具”发起,让所有的自动化工具无法运行,从而打破黑色产业链;其次基于Web、App、API业务全渠道防护、跨渠道数据融合、业务安全透视、应用安全统一管理,形成安全联防态势,大幅提高安全能力。
E. 数世点评
随着金融数字化的加速,客户接入渠道日益增多,使得金融行业面临日益增长的安全威胁,传统的基于规则库的WAF防御技术已难以有效应对,金融企业急需新一代Web应用安全解决方案。瑞数信息的现代WAF解决方案集动态防御、AI以及Bot防护技术于一身,可以实现对全渠道Web业务的安全防护。
5.2 现代WAF在银行的应用案例(二)
【案例提供:绿盟科技】
A. 案例背景
数字化转型需求催生了金融机构对于网络安全建设的更高标准,银行业正在全力打造数字银行、开放银行、场景金融等,这些业务迫使银行更加注重线上化经营,不仅要求进一步扩大银行开放程度,而且对安全风险控制提出了更高要求。
银行拥有大量核心Web业务,WEB安全建设不可或缺。金融用户会从传统安全,向业务安全,微服务架构,集群部署等方面关注,并且随着业务的增长,对高可用性要求越来越高。现代WAF作为专业防护Web攻击的安全产品,为银行业务保驾护航。
某知名银行现状是:业务在多地存在,需要防护的Web站点众多,同时有IPV4和IPV6环境。该银行客户需要解决的问题是:300+站点如何统一防护,后续新增业务时安全设备如何横向扩展,以及如何避免单点故障。
B. 解决方案
在该项目中,采用了现代WAF的集群池,并结合集中管理群的方式来解决:
C. 方案特点
(1)现代WAF反向代理部署
采用反向代理资源池化部署,客户侧新增业务情况下,不需要更换新设备,通过在WAF资源池扩容即可满足需求。现代WAF首先通过业务稳定性检测、策略集中管理实现Web安全高效管理,再通过F5负载均衡的auto last hop机制,保证WAF转发流量时不改变真实源IP,便于安全风险溯源。
(2)WAF集中管理
通过集中管理平台ESPC对实现WAF集中管理,实时监测设备健康度,快速发现和处置设备问题,能大幅提升运维效率。
集中管理平台实现的能力包括:
混杂集中管理:针对客户部署的数量众多的WAF设备,不论是本地多台部署,还是异地部署,抑或云端、本地结合部署,利用ESPC实现一个管理节点,解决用户原有多处管控,既消耗时间,又浪费人力投入的问题。
策略集中管理:集中管理平台可以解决用户原有多台WAF逐个配置的痛点问题。集中管理后,配置可通过平台统一下发,解决原有人工逐个配置手工出错的意外场景。现代WAF除了支持一键下发策略配置,节省运维成本支持外,同时支持通过自动化脚本提前在集中管理平台中录入策略变更操作,提前灰度验证,变更时间一键应用,确保夜间快速准确完成变更。通过集中管理,大幅提升了运维效率,原来200台WAF策略配置需要20小时,现在只需要4小时。
业务稳定性监测:在一个平台上可以直观看到所有WAF的运行状态,实时监测设备健康度。通过每天监控WAF磁盘状态、CPU状态、流量情况、日志处理速率、服务状态、数据接入情况、基础服务,应用容器情况和漏洞确认情况等。一旦发现异常WAF,快速进行问题处置和流量切换。
自动化运维:现代WAF可以根据客户要求的统一告警格式规范制作出快速发布工具。并且通过全面开放的API接口和客户态势感知平台对接,实现全场景、操作灵活的自动化运维体系,能够基于典型Web安全场景进行剧本编写,通过自动化脚本封装调用,实现运维一体化。
D. 应用价值
• 增减集群设备,可随时割接和升级
• 报障应急时,可快速切走流量,排除干扰
• 一体化解决方案,兼顾Web安全、API安全、Bot安全
E. 数世点评
该方案解决的是300+银行站点的统一Web安全防护,以及后续新增业务节点时安全能力如何横向扩展,同时避免单点故障的问题。该解决方案采用现代WAF资源池部署,业务稳定性更强,业务可靠性更高,同时大幅减少了客户Web安全运营成本,规避单点故障风险。对于新业务上线、老旧业务扩容,也实现了无断网扩容。
《现代WAF市场指南》电子版点击下载链接获取:
— 【 THE END 】—