網宿《2021年中國互聯網安全報告》：打好軟件供應鏈安全“組合拳”

作者：郑湘琪

2022-07-14

*【環球網科技報道記者鄭湘琪】*隨着數字技術廣泛應用，網絡空間發展步入快車道，但各類新的安全風險也不斷顯現。特別是受疫情影響，混合辦公模式日趨普及，築牢網絡安全防線的重要性也隨之提升。

作為信息基礎設施平台服務和智能邊緣安全頭部廠商，網宿科技深度關注互聯網安全態勢，並積極探索網絡安全防禦技術。自2016年起，網宿科技連續發佈《中國互聯網安全報告》，以此為企業提供防禦技術、網絡體系、數據安全、合規、安全管理等多方面的信息與建議。

7月12日，網宿科技聯合數世諮詢發佈《2021年中國互聯網安全報告》（以下簡稱《報告》）。《報告》顯示，2021年網絡安全形勢更加嚴峻，應用層攻擊持續高發，API攻擊尤其呈爆炸性增長，達到2020年的3.13倍。同時，網絡攻擊的方式趨於多樣化，來自境外的攻擊源數量增長顯著。

攻擊手段多樣化，應用層攻擊高發

具體來看，根據《報告》，2021年DDoS攻擊事件數量同比增長約60%，DDoS攻擊帶寬最高峯值達到774.58Gbps，相較於2020年的峯值612.67Gpbs，規模再次突破。遊戲仍是遭受DDoS攻擊最多的行業，佔比過半。

Web應用攻擊延續了倍增態勢，2021全年體量達229.83億次，同比增長141.30%。其中，接近50%的Web攻擊集中在軟件信息服務和金融行業。從攻擊IP的地理位置分析發現，來自境外的Web應用攻擊IP同比暴漲了357.16%。

惡意爬蟲攻擊方面，據網宿安全平台監測，2021年平均每秒發生2688次惡意爬蟲攻擊，全年攻擊量為2020年的2.36倍。從行業來看，隨着疫情對交通運輸的負面影響逐步消除，搶票類爬蟲復甦，交通運輸業遭受的惡意爬蟲攻擊量從2020年的第六位回到前三位置。

值得一提的是，數字化轉型的背景下，企業開放的API越來越多，面臨的風險隨之加劇，API安全威脅已經進入爆發期。《報告》顯示，2021年針對API業務的攻擊達到147.98億次，同比增長超過200%，其中零售業、金融業以其數字化程度最深成為重災區，兩者集中了將近七成的API攻擊。另外，儘管惡意爬蟲仍是最主要的攻擊方式，但其佔比有所下降，針對API業務的攻擊手段類型整體趨於多樣化。

“API作為連接服務和傳輸數據的核心通道，需求正大量增長，但當前API防護能力與需求之間存在錯位，主流的基於規則的應用漏洞攻擊防護已經難以應對。”網宿科技副總裁、首席安全官呂士表表示， API的使用與數據安全密切相關，《數據安全法》《個人信息保護法》的相繼發佈，使得企業保護數據安全成為法律義務，此情形下行業亟需強化綜合防控體系。

對此，網宿安全實驗室建議企業採用能夠自動化發現API、檢測API訪問行為，支持API全生命週期管理的高級API防護產品，並在此基礎上向WAAP（雲Web應用程序和API保護）方案演進。

軟件供應鏈安全風險凸顯，需綜合防護手段

在主機安全方面，《報告》對2021年主機入侵事件分析發現，針對主機的攻擊者大規模使用了隱藏進程（檢出率59%）、偽裝惡意定時任務（檢出率78%）、Rootkit等技術，用以規避異常行為檢測，這意味着主機安全威脅隱匿度提升，將對主機入侵檢測能力提出更高要求。

而據網宿安全平台監測，由Apache Log4j2遠程代碼執行漏洞引起的入侵事件佔到了全部主機安全入侵事件總數的近一半。

呂士表坦言，“Log4j2安全漏洞引發的影響，折射出軟件供應鏈安全風險正在加劇。事實上，隨着全球產業數字化提速，企業對於開源軟件的依賴日益提升，任何一個比較底層的開源組件出現漏洞，都將造成‘攻其一點，傷及一片’的廣泛影響。”

基於此，《報告》認為，企業迫切需要建立有效應對手段，打出一套組合拳。具體策略上，網宿安全實驗室建議，可以通過資產發現、漏洞檢測、Web應用防護產品提供的虛擬補丁等手段，在漏洞曝光初期攔截針對該漏洞的利用行為，在應用開發階段可以採用軟件成分分析（SCA）技術，從而避免應用帶病上線。

此外，《報告》還觀察到，越來越多的企業已經開始用零信任網絡訪問ZTNA取代VPN，隨着移動辦公、混合雲加速消融網絡邊界，企業對安全功能的整合、對策略及控制的集成成為趨勢，SASE作為最佳解決方式，需求將隨之增長。

據悉，SASE的關鍵技術包含SD-WAN、防火牆即服務(FWaaS)、雲訪問安全代理(CASB)、安全Web網關(SWG)、以及零信任網絡訪問(ZTNA)。Gartner預測，到2024年，30%的企業將採用雲交付的SWG、CASB、ZTNA和FWaaS功能，而2020年這一比例還不到5%。

“SASE代表了行業方向，能否完整、成熟地支持上述各項關鍵功能將是廠商競爭的關鍵。網宿安全基於資源、技術、服務方面的優勢，對SASE早已佈局，近年來持續進化‘3+X’能力，包括深化網絡、安全、邊緣計算能力，以及加速構建能力開放平台。”呂士表表示。

未來，網宿安全將基於持續進化的3大能力，進一步打造開放效應，利用全網海量數據開放雲安全威脅信息情報，與上下游安全技術和企業已有安全防禦體系結合，形成立體防護，實現一體化SASE安全服務目標。

據呂士表介紹，目前網宿安全已經形成涵蓋數據安全、主機安全、容器安全、業務安全、應用安全及網絡與訪問安全、零信任安全、安全加速一體化方案等10大類50項安全能力。