来源：21世纪经济报

网宿科技子品牌网宿安全发布了《2022年Web安全观察报告》(以下简称“报告”）。报告指出，2022年，网宿安全平台共检测到2700万次针对Log4shell各个变种漏洞的利用，而针对API的攻击占比首次突破50%，达到了58.4%，API上升为黑产攻击的头号目标。

对此，网宿科技副总裁、首席安全官吕士表吕士表分析认为，核心原因在于企业对自身API资产现状不清，存在未知的僵尸API、影子API等，大量的敏感数据暴露在API之上，给攻击者留下了突破口。同时API没有上下文，攻击成本较低，攻击者通过简单的网络请求即可获取数据或者进行攻击。

DDoS攻击方面，2022年DDoS攻击日均发生43.92万次，同比增长103.8%，T级以上DDoS攻击频发，全年最高攻击峰值达到2.09Tbps。报告称，当前的攻击规模已经远远超过单个数据中心的防护能力，运营商、大型的公有云以及分布式的CDN跟边缘计算厂商成为大规模DDoS攻击的防护主力军。

而Bot攻击也持续倍增，2022年Bot攻击平均每秒发生约5175次，攻击量为2021年的1.93倍、2020年的4.5倍。与此同时，Bot攻击手法也变得更加隐蔽，不仅是通过伪造正常的User-Agent或者模拟正常浏览器做自动化框架的攻击，还通过模拟人的行为规避成熟的Bot检测，使得防御难度进一步加大。

值得注意的是，随着API广泛应用于各个在线业务，涉及交易、账号敏感相关的环节都备受灰黑产关注，在线业务欺诈风险骤升。报告发现，黑灰产已高度成熟，通过大量自动化、流程化的方式进行业务欺诈，并贯穿于整个在线业务场景。在注册、登录、营销场景下，自动化攻击占比均在50%以上。

此外，Web安全威胁趋于多样化，同时遇到2种以上威胁的Web业务占比高达87%，遇到3种以上威胁的Web业务占比仍达65%。

吕士表指出，传统WAF（web应用防护系统）已无法应对日益严峻的Web安全形势，行业亟需新的安全防护方案，而WAAP成为首选。

据悉，WAAP全称Web Application and API Protection，是集DDoS防护、WAF、Bot管理、API防护于一体的下一代Web安全防护解决方案，可实现从基础设施防护、Web应用防护、API管理与防护以及自动化工具管理与威胁防御。