2023年應用程序安全態(tài)勢報告

一年前，我們發(fā)布了首份應用安全報告。Security Week 2023期間，我們將介紹關于緩解流量、機器人和API流量以及帳戶接管攻擊的最新洞見和發(fā)展趨勢。

Cloudflare在過去一年取得顯著增長。2023年2月，Netcraft指出，在2023年初，Cloudflare已經(jīng)成為排名前百萬網(wǎng)站中最常用的Web服務器供應商，并繼續(xù)增長，市場份額達到21.71%，高于2022年2月的19.4%。

由于這種持續(xù)增長，目前Cloudflare平均每秒處理4500萬個HTTP請求(高于去年的3200萬)，峰值時每秒處理超過6100萬個HTTP請求。Cloudflare網(wǎng)絡處理的DNS查詢也在不斷增長，達到2460萬次/秒。所有這些流量讓我們對互聯(lián)網(wǎng)趨勢有了前所未有的了解。

在深入討論之前，需要先定義下在本次報告中我們將會使用到的一些術語，以避免對大家造成理解上的歧義。

定義

本文中，我們將使用如下術語：

緩解流量：由Cloudflare平臺應用了“終止”操作的眼球請求。包括如下操作：BLOCK,CHALLENGE,JS_CHALLENGE和MANAGED_CHALLENGE。這并不包括應用以下操作的請求：LOG、SKIP、ALLOW。與去年相比，現(xiàn)在我們不包括由我們的DDoS緩解系統(tǒng)應用了CONNECTION_CLOSE和FORCE_CONNECTION_CLOSE操作的請求，因為在技術上只會降低連接初始化的速度。它們在請求中所占比例也相對較小。此外，我們改進了關于CHALLENGE類型操作的計算，以確保只有未解決的質詢被計入緩解。有關操作的詳細說明請參閱我們的開發(fā)人員文檔。

機器人流量/自動化流量：被Cloudflare Bot Management系統(tǒng)確認由機器人產(chǎn)生的任何HTTP 請求。包括機器人分數(shù)在1-29(含)的請求。與去年的報告相比，這一點沒有改變。

API流量：任何響應內(nèi)容類型為XML或JSON的HTTP 請求。在響應內(nèi)容類型不可用的情況下，例如對于緩解請求，則使用等效的Accept內(nèi)容類型(由用戶代理指定)。在后一種情況下，API流量不會被完全計算在內(nèi)，但仍可為獲得一些趨勢洞察提供很好的參考作用。

除非另有說明，本文評估的時間范圍是2022年3月到2023年2月(含)的12個月期間。

最后，請注意，這些數(shù)據(jù)僅根據(jù)在Cloudflare網(wǎng)絡上觀察到的流量計算，不一定代表整個互聯(lián)網(wǎng)的HTTP流量模式。

文中的HTTP流量包括HTTP和HTTPS。

全球流量洞察

平均每天有6%的HTTP請求被緩解

從Cloudflare網(wǎng)絡代理的所有HTTP請求來看，我們發(fā)現(xiàn)被緩解的請求占比下降到6%，比去年低兩個百分點。2023年到目前為止，我們看到緩解的請求占比進一步下降到4-5%之間。下圖中可見的較大峰值，比如6月和10月出現(xiàn)的峰值，通常與Cloudflare緩解的大規(guī)模DDoS攻擊有關。值得注意的是，盡管緩解流量的百分比隨著時間的推移而下降，但緩解的總請求量一直相對穩(wěn)定，如下面的第二個圖表所示，這表明全球總體干凈流量有所增加，而不單單是惡意流量的絕對值減少。

81%的緩解HTTP請求是被直接BLOCK的，其余則包含各種CHALLENGE類型的操作。

DDoS緩解占所有緩解流量的50%以上。

Cloudflare提供各種安全功能，用戶可以通過配置這些功能來保障應用安全。不出所料，DDoS緩解仍然是緩解第7層(應用層)HTTP請求的最大貢獻者。就在上月(2023年2月)，我們報告了按每秒HTTP請求數(shù)計算最大的已知被緩解DDoS攻擊(該攻擊在上述圖表中不可見，因為這些圖表是按每天匯總的，而該攻擊僅持續(xù)了大約5分鐘)。

然而，與去年相比，Cloudflare WAF緩解請求顯著增長，現(xiàn)在占緩解請求的近41%。部分原因在于我們的WAF技術進步，使其能夠檢測和阻止更大范圍的攻擊。

表格形式供參考：

請注意，與去年不同的是，上表中的產(chǎn)品分組方法與我們的市場營銷資料和2022 Radar年度回顧中使用的分組一致。這主要影響我們的WAF產(chǎn)品，其中包括WAF自定義規(guī)則、WAF速率限制規(guī)則和WAF管理規(guī)則。在去年的報告中，這三個功能合計占緩解請求的31%。

要了解WAF緩解請求隨時間的增長，我們可以再深入一個層級，其中可以明顯看到，Cloudflare客戶越來越依賴WAF自定義規(guī)則(過去稱為“防火墻規(guī)則”)，以緩解惡意流量或實施業(yè)務邏輯阻止。下圖中的橙色線條(防火墻規(guī)則)顯示隨著時間的逐步增長，而藍色線條(L7 DDoS)呈現(xiàn)明顯的下降趨勢。

HTTP異常是通過WAF緩解的

最常見第7層攻擊手段

2023年3月，HTTP異常占比與去年同期相比下降了近25個百分點。HTTP異常的例子包括格式不規(guī)范的方法名，頭部的空字節(jié)字符，非標準端口或POST請求的內(nèi)容長度為零。這可以歸因于匹配HTTP異常特征的僵尸網(wǎng)絡緩慢改變其流量模式。

從圖中移除HTTP異常線條，可以看到在2023年初，攻擊手段分布看起來更加均衡。

表格形式供參考(前10類別)

特別值得注意的是2023年2月底出現(xiàn)的橙色線峰值(CVE類別)。這個峰值與我們的兩條WAF托管規(guī)則的突然增加有關：

這兩條規(guī)則是根據(jù)CVE-2018-14774標記的，這表明了，即使是相對較老的已知漏洞，仍然經(jīng)常被用于對潛在的未修補軟件進行攻擊。

機器人流量洞察

Cloudflare的Bot Management在過去12個月內(nèi)獲得了重大投資。我們推出了一些新功能，例如如可配置的啟發(fā)式方法、強化的JavaScript檢測、自動機器學習模型更新，以及Turnstile——Cloudflare的免費CAPTCHA替代品，改善了我們每天的人類和機器人流量分類工作。

我們對分類輸出的信心非常充足。如果我們繪制出2023年2月最后一周流量的機器人分數(shù)圖，可以看到非常清晰的分布，大多請求要么分類為絕對機器人(低于30)，要么為絕對人類(高于80)，大部分請求實際得分低于2或高于95。

30%的HTTP流量是自動化的。

在2023年2月的最后一周，30%的Cloudflare HTTP流量被分類為自動化流量，相當于Cloudflare網(wǎng)絡上每秒約1300萬個HTTP請求。這比去年同期下降了8個百分點。

如果僅看機器人流量，我們發(fā)現(xiàn)，僅有8%是由經(jīng)過驗證的機器人產(chǎn)生的，占總流量的2%。Cloudflare維護一個已知的善意(經(jīng)驗證)機器人列表，以便客戶輕松區(qū)分行為良好的機器人提供商(如Google和Facebook)和可能不太知名或不受歡迎的機器人。目前列表中有171個機器人。

16%的未經(jīng)驗證機器人HTTP流量被緩解

未經(jīng)驗證的機器人網(wǎng)絡流量通常包括不斷在Web上尋找利用機會的漏洞掃描器，因此，近六分之一的此類流量得到了緩解，因為一些客戶更喜歡限制此類工具可能獲得的洞察。

盡管像googlebot和bingbot這樣的經(jīng)驗證機器人通常被認為是有益的，大多數(shù)客戶也希望允許它們，但我們也看到一小部分(1.5%)經(jīng)驗證機器人流量被緩解。這是因為一些站點管理員不希望站點的某些部分被爬取，而客戶通常依賴WAF自定義規(guī)則來強制執(zhí)行這個業(yè)務邏輯。

客戶使用的最常見操作是BLOCK這些請求(13%),但我們也看到一些客戶配置CHALLENGE操作(3%)，以確保任何是人類的誤報仍可在必要時完成請求。

類似地，同樣值得注意的是，所有緩解流量中有近80%被歸類為機器人，如下圖所示。有人可能指出，20%的緩解流量被歸類為人類流量仍然非常高，但大多數(shù)人類流量的緩解是由WAF自定義規(guī)則生成的，常常是由于客戶在其應用程序上實施國家級別或其他相關法律的阻止。這種情況很常見，例如，設在美國的公司出于GDPR合規(guī)性的原因，阻止歐洲用戶的訪問。

API流量洞察

55%的動態(tài)(不可緩存)流量與API有關

例如我們的Bot Management解決方案，我們也在大量投資于保護API端點的工具。這是因為大量HTTP流量與API相關。事實上，如果僅計算到達源且不可緩存的流量，則根據(jù)之前聲明的定義，其中55%的流量是與API有關的。這與去年的報告使用的方法相同，55%的數(shù)字與去年相比沒有變化。

如果只考慮緩存的HTTP請求(緩存狀態(tài)為HIT、UPDATING、REVALIDATED和EXPIRED)，我們發(fā)現(xiàn)，也許有點出人意料，接近7%與API相關。現(xiàn)代的API端點實現(xiàn)和代理系統(tǒng)，包括我們自己的API網(wǎng)關/緩存功能集，實際上允許非常靈活的緩存邏輯，既允許自定義鍵緩存，也允許快速緩存重新驗證(快至每秒一次)，以便開發(fā)人員減少后端端點的負載。

如果將可緩存的資源和其他請求(例如重定向)計算在總數(shù)中，則這個數(shù)字會減少，但仍然占流量的25%。下圖中，我們提供了有關API流量的兩種視角：

黃線：API流量占所有HTTP請求的百分比。這將把重定向、緩存資源和所有其他HTTP請求包括在總數(shù)中；

藍線：API流量占動態(tài)流量(僅返回HTTP 200 OK響應碼)的百分比；

65%的全球API流量是由瀏覽器生成的

如今，越來越多Web應用是以“API優(yōu)先”方式構建的。這意味著初始HTML頁面加載只提供了框架布局，大多數(shù)動態(tài)組件和數(shù)據(jù)是通過單獨的API調用加載的(例如，通過AJAX)。Cloudflare自己的儀表盤就是這樣。在分析API流量的機器人分數(shù)時，可以看到這種不斷增長的實現(xiàn)范式。下圖可見，大量的API流量是由我們的系統(tǒng)分類為“人類”的用戶驅動瀏覽器產(chǎn)生的，其中近三分之二的流量集中在“人類”范圍的高端。

計算緩解API流量是一個挑戰(zhàn)，因為我們并不將請求轉發(fā)到源服務器，因此不能依賴于響應內(nèi)容類型。按照去年使用的相同計算方法，略高于2%的API流量被緩解，低于去年的10.2%。

HTTP異常超過了SQLi

成為API端點上最常見的攻擊手段

與去年相比，HTTP異?，F(xiàn)在超過了SQLi，成為針對API端點的最流行攻擊手段(注意，圖表開始處，即去年的報告發(fā)布時，藍色線更高)。針對API流量的攻擊手段在全年內(nèi)并不一致，與全球HTTP流量相比變化更大。例如，請注意2023年初的文件包含攻擊嘗試出現(xiàn)激增。

探索帳戶接管攻擊

自2021年3月以來，Cloudflare在其WAF中提供泄露憑據(jù)檢測功能。當檢測到身份驗證請求帶有已知泄露的用戶名/密碼對時，客戶就會得到通知(通過HTTP請求標頭)。對于檢測執(zhí)行帳戶接管暴力攻擊的僵尸網(wǎng)絡而言，這往往是一個非常有效的信號。

客戶還使用這個信號，對有效的用戶名/密碼對登錄嘗試，發(fā)出雙因素身份驗證、密碼重置，或者在某些情況下，對用戶不是憑據(jù)合法所有者的情況添加日志記錄。

暴力帳戶接管攻擊越來越多

從過去12個月的匹配請求趨勢來看，2022年下半年開始出現(xiàn)明顯的增長，這表明針對登錄端點的欺詐活動越來越多。在大型暴力破解攻擊中，我們觀察到匹配泄露憑據(jù)的HTTP請求速率達到每分鐘12k以上。

我們的泄露憑據(jù)檢測功能具有匹配對以下系統(tǒng)身份驗證請求的規(guī)則：

Drupal

Ghost

Joomla

Magento

Plone

WordPress

Microsoft Exchange

匹配常見身份驗證端點格式的通用規(guī)則

這使我們能夠比較來自惡意行為者的活動，其通常采取僵尸網(wǎng)絡的形式，試圖“入侵”潛在泄露帳戶。

Microsoft Exchange受到的攻擊超過WordPress

主要由于其熱門程度，您可能會預期WordPress是風險最大和/或遭遇最多暴力帳戶接管流量的應用。然而，從上述受支持系統(tǒng)的規(guī)則匹配情況來看，我們發(fā)現(xiàn)，除了我們的通用特征，Microsoft Exchange特征是最頻繁的匹配。

大多數(shù)遭受暴力攻擊的應用都是高價值資產(chǎn)，根據(jù)我們反應這一趨勢的數(shù)據(jù)，Exchange賬戶是最有可能被攻擊的目標。

從泄露憑據(jù)匹配流量的國別來看，美國遙遙領先。

展望未來

鑒于Cloudflare承載的網(wǎng)絡流量，我們觀察到廣泛的攻擊類型。從HTTP異常、SQL注入攻擊、跨站腳本攻擊(XSS)到帳戶接管嘗試和惡意機器人，威脅形勢不斷變化。因此，任何在線運營的企業(yè)都必須投資于可見性、檢測和緩解技術，以確保其應用程序——以及更重要的是——其最終用戶數(shù)據(jù)的安全。

我們希望本報告的結果能引起您的興趣，至少可以讓您了解互聯(lián)網(wǎng)應用安全的狀態(tài)。網(wǎng)絡上有大量惡意行為者，而且沒有跡象表明互聯(lián)網(wǎng)安全防護將變得更加容易。

我們已經(jīng)計劃更新這份報告，以包含來自我們產(chǎn)品組合的更多數(shù)據(jù)和洞察。歡迎關注Cloudflare Radar，以獲得更全面的應用安全報告和見解。