嘗試解決上述難點，需要認(rèn)真考慮以下三個基本點

時間：2022-03-07 11:18:01 | 來源：行業(yè)動態(tài)

時間：2022-03-07 11:18:01 來源：行業(yè)動態(tài)

：

基于業(yè)務(wù)發(fā)展的一個中心，三個基本點，安全需要以業(yè)務(wù)為中心，通過協(xié)作為業(yè)務(wù)提供可持續(xù)性保障，當(dāng)業(yè)務(wù)不斷發(fā)展時，安全架構(gòu)應(yīng)該是持續(xù)動態(tài)變化相適應(yīng)的。

基本點一：Web應(yīng)用架構(gòu)向服務(wù)化架構(gòu)變遷

Web應(yīng)用架構(gòu)正從傳統(tǒng)的三層架構(gòu)(Web服務(wù)器-應(yīng)用服務(wù)器-數(shù)據(jù)庫)向服務(wù)化(API、可編程)架構(gòu)變遷?；A(chǔ)架構(gòu)的變化，應(yīng)用異構(gòu)混合運行于傳統(tǒng)機(jī)架服務(wù)器上、云上。軟件開發(fā)模式在DevOps基礎(chǔ)上迭代越來越快，業(yè)務(wù)上線頻次從月到周，也可能是天，對Web安全服務(wù)提出了更靈活、適配性更強(qiáng)的高要求。

基本點二：AI、機(jī)器學(xué)習(xí)、行為分析、可編程對抗等新技術(shù)突破傳統(tǒng)WAF局限

投入相當(dāng)多資金購買的傳統(tǒng)WAF產(chǎn)品，雖然可以順利通過合規(guī)性檢查，然而在技術(shù)上卻有其局限。通過應(yīng)用學(xué)習(xí)的WAF，根本無法自適應(yīng)業(yè)務(wù)的更改，常常觸發(fā)基于異常的規(guī)則防護(hù);而基于語義分析的 WAF，則仍然不具備對未知威脅的進(jìn)化適應(yīng)能力，只能處于被動應(yīng)對狀態(tài)，人工添加黑白名單對 WAF 進(jìn)行防護(hù)策略調(diào)整。這類WAF 產(chǎn)品安全防護(hù)的誤報率和漏報率，影響業(yè)務(wù)使用遲遲不能上線。因此從技術(shù)發(fā)展趨勢上看，人工智能、機(jī)器學(xué)習(xí)、行為分析、可編程對抗等技術(shù)的融入必然成為WAF產(chǎn)品升級的新要求。

基本點三：提升對Bots自動化威脅的防護(hù)

隨著自動化攻擊手段的發(fā)展，業(yè)務(wù)系統(tǒng)面臨的攻擊類型也越來越多，OWASP最新發(fā)布的《Automated Threat Handbook》中提到的自動化威脅已達(dá)到21種之多。有咨詢機(jī)構(gòu)稱，到2023年，網(wǎng)絡(luò)中Bot流量的比例將會超過人的請求流量。

但與此同時，相對于傳統(tǒng)安全攻防，企業(yè)普遍缺乏對于Bots攻擊的認(rèn)知和防護(hù)。Bots流量完全異于之前面對的SQL注入、XSS、漏洞掃描等行為，特別是To B業(yè)務(wù)中，Bots流量大量存在于第三方接口調(diào)用的業(yè)務(wù)之中，無法依靠簡單的阻斷來阻止威脅，如何將Bots管理納入到企業(yè)應(yīng)用和業(yè)務(wù)威脅管理架構(gòu)中是各大客戶急需解決的一個問題。