?網宿《2021年中國互聯網安全報告》:API威脅暴漲超200%,軟件供應鏈安全風險加劇
7月12日,網宿科技聯合數世咨詢在北京發布《2021年中國互聯網安全報告》(下稱《報告》)。《報告》顯示,2021年網絡安全形勢更加嚴峻,應用層攻擊持續高發,API攻擊尤其呈爆炸性增長,達到2020年的3.13倍。同時,網絡攻擊的方式趨于多樣化,來自境外的攻擊源數量增長顯著。
《報告》稱,隨著企業對于開源軟件的依賴日益提升,開源軟件出現漏洞所造成的影響逐漸深遠,組合拳的防護方式成為應對軟件供應鏈安全風險的趨勢。此外,《報告》提到,企業正加速向新一代網絡安全模型零信任架構轉變,由此將帶動對零信任高階概念SASE的需求。
網絡攻擊持續高發,API攻擊增長超200%
據《報告》,2021年DDoS攻擊事件數量同比增長約60%,DDoS攻擊帶寬最高峰值達到774.58Gbps,相較于2020年的峰值612.67Gpbs,規模再次突破。游戲仍是遭受DDoS攻擊最多的行業,占比過半。
Web應用攻擊延續了倍增態勢,2021全年體量達229.83億次,同比增長141.30%。其中,接近50%的Web攻擊集中在軟件信息服務和金融行業。從攻擊IP的地理位置分析發現,來自境外的Web應用攻擊IP同比暴漲了357.16%,《報告》推測或與日趨緊張的地緣政治局勢有關。
惡意爬蟲攻擊方面,據網宿安全平臺監測,2021年平均每秒發生2688次惡意爬蟲攻擊,全年攻擊量為2020年的2.36倍。從行業來看,隨著疫情對交通運輸的負面影響逐步消除,搶票類爬蟲復蘇,交通運輸業遭受的惡意爬蟲攻擊量從2020年的第六位回到前三位置。
值得注意的是,企業開放的API越來越多,面臨的風險隨之加劇,API安全威脅已經進入爆發期。據《報告》,2021年針對API業務的攻擊達到147.98億次,同比增長超過200%,其中零售業、金融業以其數字化程度最深成為重災區,兩者集中了將近七成的API攻擊。另外,盡管惡意爬蟲仍是最主要的攻擊方式,但其占比有所下降,針對API業務的攻擊手段類型整體趨于多樣化。
網宿科技副總裁、首席安全官呂士表指出,API作為連接服務和傳輸數據的核心通道,需求正大量增長,但當前API防護能力與需求之間存在錯位,主流的基于規則的應用漏洞攻擊防護已經難以應對。同時,API的使用與數據安全密切相關,《數據安全法》、《個人信息保護法》的相繼發布,使得企業保護數據安全成為法律義務,此情形下行業亟需強化綜合防控體系。
對此,網宿安全實驗室建議企業采用能夠自動化發現API、檢測API訪問行為,支持API全生命周期管理的高級API防護產品,并在此基礎上向WAAP(云Web應用程序和API保護)方案演進。
主機威脅隱匿度提升,軟件供應鏈安全亟需組合拳
《報告》對2021年主機入侵事件分析發現,針對主機的攻擊者大規模使用了隱藏進程(檢出率59%)、偽裝惡意定時任務(檢出率78%)、Rootkit等技術,用以規避異常行為檢測,這意味著主機安全威脅隱匿度提升,將對主機入侵檢測能力提出更高要求。
此外,據網宿安全平臺監測,由Apache Log4j2遠程代碼執行漏洞引起的入侵事件占到了全部主機安全入侵事件總數的近一半。
呂士表指出,“Log4j2安全漏洞引發的大震蕩,折射出軟件供應鏈安全風險正在加劇。事實上,隨著全球產業數字化提速,企業對于開源軟件的依賴日益提升,任何一個比較底層的開源組件出現漏洞,都將造成‘攻其一點,傷及一片’的廣泛影響。”
《報告》認為組合拳是防護趨勢。具體的策略上,網宿安全實驗室建議可以通過資產發現、漏洞檢測、Web應用防護產品提供的虛擬補丁等手段,在漏洞曝光初期攔截針對該漏洞的利用行為,在應用開發階段可以采用軟件成分分析(SCA)技術,避免應用帶病上線。
最后《報告》觀察到,越來越多的企業已經開始用零信任網絡訪問ZTNA取代VPN,隨著移動辦公、混合云加速消融網絡邊界,企業對安全功能的整合、對策略及控制的集成成為趨勢,SASE作為最佳解決方式,需求將隨之增長。
SASE的關鍵技術包含SD-WAN、防火墻即服務(FWaaS)、云訪問安全代理(CASB)、安全Web網關(SWG)、以及零信任網絡訪問(ZTNA)。Gartner預測,到2024年,30%的企業將采用云交付的SWG、CASB、ZTNA和FWaaS功能,2020年這一比例還不到5%。
“SASE代表了行業方向,能否完整、成熟地支持上述各項關鍵功能將是廠商競爭的關鍵。網宿安全基于資源、技術、服務方面的優勢,對SASE早已布局,近年來持續進化‘3+X’能力,包括深化網絡、安全、邊緣計算能力,以及加速構建能力開放平臺。”呂士表表示。
據了解,此次《報告》為網宿科技連續第六年發布。網宿科技致力于幫助公眾洞察安全態勢,同時始終聚焦前沿安全技術的研究,目前網宿安全已經形成涵蓋數據安全、主機安全、容器安全、業務安全、應用安全及網絡與訪問安全、零信任安全、安全加速一體化方案等10大類50項安全能力。?
