Gartner发布WAAP魔力象限:WAF+API+云服务

admin 2022年9月10日15:59:35安全新闻评论10 views1630字阅读5分26秒阅读模式

Gartner WAAP定义


WAAP(Web Application and API Protection):Web 应用程序和 API 保护平台 (WAAP) 缓解了广泛的运行时攻击,尤其是针对Web应用程序威胁自动化威胁API 攻击。云WAAP是云交付的服务,主要保护面向公众的 Web 应用程序和 API。

WAAP 的核心功能包括:

  • Web应用程序防火墙(WAF):WAF结合了积极的安全模型、签名、启发式和异常检测,以检测和防止利用应用程序漏洞。

  • 分布式拒绝服务攻击(DDoS)保护:通过加带宽、速率限制和异常检测来缓解flood和“低速慢速”攻击。

  • Bot访问管理(防爬):通过基于信誉、指纹、启发式和机器学习技术鉴别自动化访问行为。

  • API保护:发现、分类并管控 API 流量。


Gartner WAAP 魔力象限(2022.08)

Gartner发布WAAP魔力象限:WAF+API+云服务


预测

  • 到 2024 年,在生产环境中为 Web 应用程序实施多云战略的组织中,70% 的组织将青睐云 Web 应用程序和 API 保护平台 (WAAP) 服务,而不是 WAAP 设备和 IaaS 原生 WAAP。

  • 到 2026 年,40% 的组织将根据其高级 API 保护和 Web 应用程序安全功能选择 WAAP 提供商,而 2022 年这一比例还不到 15%。

  • 到 2026 年,超过 40% 的组织拥有面向消费者的应用程序(最初仅依赖 WAAP 来缓解爬虫程序)将从专业供应商那里寻求额外的异常检测技术——高于 2022 年的不到 10%。


    WAF厂商角度


    1. 集成API防护能力顺理成章:WAAP的四个主要能力包括:WAF、抗D、反爬、API保护。其中针对云WAF厂商,前三种能力早已融合。由于近年来随着API起量,边界防御带上API的防护能力是非常自然的一个拓展。

    1. 云服务继续替代传统硬件:Gartner认为WAAP市场中,「云服务」的方式将逐步替代传统的硬件WAF、IaaS WAF交付方式。这里其实我们看到Leaders象限的Akamai、Cloudflare和Imperva早已走出此模式的实践,不必赘述。

    1. 应对API攻击有一定局限:API的攻击面主要有二,一是漏洞攻击,二是异常行为。从漏洞攻击角度来讲WAF厂商所积累的漏洞库默认是覆盖API的,因此以漏洞防护为核心能力再包装上一些API资产梳理、基于规则的API参数级别管控,作为API防护模块是非常容易的。而另一方面,API越权、未授权访问、大量拖取数据等异常行为逐渐成为了API威胁的主流(参考近期的几次大规模数据泄露事件,真凶并非漏洞攻击,而是异常API行为)。这方面威胁从技术角度讲是难以通过WAF规则来检测或防护的,需要行为基线、异常检测、基于统计的策略组合、考虑业务特性、甚至结合威胁情报,更类似于UEBA和风控方面的技术栈,同时也意味着要做大量的数据存储和分析,成本结构与WAF完全不同。因此,Gartner也提到,未来将有更多企业不满足于WAAP提供的异常检测能力,而是求助于其他专项供应商。


    API安全厂商角度


    API安全赛道发展时间很短,在WAF这个成熟赛道,头部厂商已经整合了云、CDN与安全三大块基础设施服务的情况下,API厂商想要反卷WAF厂商是不现实的。从API安全解决方案出发,仅靠旁路分析识别API异常行为不够闭环,还差一个管控和阻断,这里同样也面临着一个WAF「性能」和「智能」冲突的问题,还涉及到SaaS服务成本结构问题,这里就涉及到一个旁路检测和串行阻断的联动,主要有以下几种模式:

    1. API厂商提供核心检测能力,联动云平台/云WAF/云API网关 对攻击行为进行阻断。

    1. API厂商提供核心检测能力,联动企业OP的WAF/IPS/API网关 对攻击行为进行阻断。

    1. API厂商提供自有流量探针下放到 VM、K8s、Mesh、网关 的关键节点形成流量采集+管控一体化方案。

    2. API厂商打包API网关,或者API网关厂商打包安全数据分析能力,形成整体的 管控-分析-防护 解决方案。


    Gartner发布WAAP魔力象限:WAF+API+云服务


    原文始发于微信公众号(乐枕迭代日志):Gartner发布WAAP魔力象限:WAF+API+云服务

    特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
    • 我的微信
    • 微信扫一扫
    • weinxin
    • 我的微信公众号
    • 微信扫一扫
    • weinxin
    admin
    • 本文由 发表于 2022年9月10日15:59:35
    • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                    Gartner发布WAAP魔力象限:WAF+API+云服务 http://cn-sec.com/archives/1288340.html

    发表评论

    匿名网友 填写信息

    :?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: