Cloudflare 2023年第二季度應用程序安全報告

Cloudflare的全球網絡在互聯(lián)網上有著獨有的優(yōu)勢，這些優(yōu)勢使得我們能夠發(fā)現(xiàn)、探索及監(jiān)測識別到一些可能會被忽視的關鍵趨勢。正如今天和大家分享的這篇《應用程序安全報告》，在本報告中，涵蓋了我們對互聯(lián)網范圍內的最新應用程序安全趨勢的一些洞察及見解。

本篇報告是Cloudflare的《應用程序安全報告》的第三版。第一版于2022年3月發(fā)布，第二版于今年早些時候的3月份發(fā)布。

自上次報告發(fā)布以來，Cloudflare的全球網絡已經發(fā)展至規(guī)模更大、速度更快：現(xiàn)在平均每秒可處理4600萬個HTTP請求，峰值時可達6300萬個。我們每秒持續(xù)處理大約2500萬個DNS查詢。每天大約有2.1萬億次DNS查詢，每月大約有65萬億次查詢。這是我們的基礎結構所服務的權威請求和解析器請求的總和。結合所有HTTP和DNS請求，我們可以從中監(jiān)測到大量惡意流量。僅聚焦HTTP請求，2023年第2季度，Cloudflare平均每天阻止1120億次網絡威脅，這些都是本篇報告中會和大家分享到的相關數(shù)據(jù)洞察。

不過，像往常一樣，在深入討論之前，我們需要先定義一下我們的術語。

定義

本文中，我們將會使用到如下術語：

·已緩解流量：經由Cloudflare平臺被執(zhí)行了“終止”操作的所有重點關注的HTTP 請求-其中包括以下操作：BLOCK、CHALLENGE、JS_CHALLENGE和MANAGED_CHALLENGE。但同時不包括執(zhí)行了以下操作的請求：LOG、SKIP、ALLOW。與去年相比，我們現(xiàn)在排除了由DDoS緩解系統(tǒng)應用了CONNECTION_CLOSE和FORCE_CONNECTION_CLOSE操作的請求，因為從技術上講，這些操作只會減慢連接初始化的速度。它們在請求中所占的比例也相對較小。此外，我們優(yōu)化了有關CHALLENGE類型操作的計算，以確保只有未解決的質詢才計入已緩解。如需操作的詳細描述，請參閱我們的開發(fā)人員文檔。

·機器人流量/自動化流量：被Cloudflare機器人管理系統(tǒng)識別為由機器人產生的所有HTTP 請求。包括機器人分數(shù)在1-29（含）之間的請求。與去年的報告相比，這一點沒有改變。

·API流量：任何響應內容類型為XML或JSON的HTTP 請求。在響應內容類型不可用的情況下，例如對于緩解請求，則使用等效的Accept內容類型(由用戶代理指定)。在后一種情況下，API流量不會被完全計算在內，但這一監(jiān)測指標仍可為后續(xù)所解析出的相關洞察提供很有價值的參考作用。

（文中提及的內容所參考的評估時間范圍是2023年4月到2023年6月（含）的3個月期間。除非另有說明。）

最后，請注意，這些數(shù)據(jù)僅根據(jù)在Cloudflare的全球網絡上觀察到的流量計算，不一定代表整個互聯(lián)網的HTTP流量模式。

文中的HTTP流量包括HTTP和HTTPS。

全球流量洞察

每日緩解的流量穩(wěn)定在6%，峰值期間達到8%

盡管從2021年到2022年，每日緩解的HTTP請求平均減少了2個百分點，達到6%，但在整個網絡中可以清楚地看到在一些特定時間惡意活動頻次有明顯上升的趨勢。下圖顯示了一個明顯的例子：在臨近2023年5月底期間，可以看緩解請求峰值達到近8%。這是和大型DDoS攻擊事件和其他一些不遵循常規(guī)標準的每日或每周周期的網絡活動相關，這也是在時刻提醒我們，大型惡意事件仍然可以在全球范圍內產生較為明顯的影響，即便在Cloudflare的全球網絡規(guī)模上也是如此。

75%的已緩解HTTP請求被徹底阻止。與之前的報告相比，這一數(shù)字下降了6個百分點。大多數(shù)其他請求都可以通過各種CHALLENGE類型操作來緩解，其中受管理的質詢約占該類別的20%。

加強防護：客戶配置的自定義規(guī)則是已緩解流量的最大貢獻因素

在之前的報告中，經由我們的自動化DDoS緩解系統(tǒng)所緩解的流量平均占到已緩解流量的50%以上。在過去的兩個季度中，由于Cloudflare WAF的采用率不斷增加，以及公司及組織很可能更好地配置了WAF規(guī)則、成功保護了其應用程序以免受無用流量的影響，我們觀測到了一種新的趨勢，通過Cloudflare WAF緩解的流量超過了DDoS緩解。大部分增長是由WAF自定義規(guī)則BLOCK而不是我們的WAF托管規(guī)則推動的，這表明這些緩解是經由客戶針對業(yè)務邏輯或相關目的配置的規(guī)則生成的。從下圖中可以清楚地看到這一點。

從圖示中可以發(fā)現(xiàn)，與Cloudflare WAF緩解的總體流量相比，我們的WAF托管規(guī)則緩解流量（黃線）可以忽略不計，這也表明我們的客戶正在采用更積極的安全模型，允許已知的良好流量，而不是僅僅阻止已知的不良流量。與此同時，本季度WAF托管規(guī)則緩解量也達到了每天15億個請求。

當然，相對于WAF，我們容量巨大的DDoS緩解容量，以及與我們的DDoS第7層規(guī)則相匹配的流量也不應被低估，特別是考慮到我們所觀察到網絡上出現(xiàn)的許多新型攻擊和僵尸網絡。您可以在我們的第二季度DDoS威脅報告中深入了解最新DDoS攻擊趨勢。

從已緩解流量的來源匯總來看，WAF目前約占所有緩解流量的57%。下面的表格中匯總了其他來源，可供參考。

應用程序所有者越來越依賴基于地理位置的阻止規(guī)則

鑒于客戶定義的WAF規(guī)則所緩解的流量有所增加，我們認為，更深入地了解客戶正在阻止哪些內容以及他們是如何做到這一點的，將會很有意義。為此，我們審查了WAF自定義規(guī)則中的規(guī)則字段使用情況，以識別常見主題。當然，數(shù)據(jù)需要正確解讀，因為由于合同和方案級別的不同，并非所有客戶都可以訪問所有字段，但我們仍然可以根據(jù)字段“類別”做出一些推論。通過審查整個網絡中部署的全部約700萬條WAF自定義規(guī)則并僅關注主要分組，我們得到以下字段使用情況分布：

值得注意的是，在所有已部署的WAF自定義規(guī)則中，40%使用與地理位置相關的字段來決定如何處理流量。這是一種常用技術，用于實施業(yè)務邏輯或排除預計不會產生流量的地區(qū)，并有助于減少攻擊面。雖然這些都是相對粗略的控制策略，不太可能阻止“經驗豐富”的攻擊者，但它們仍然可以有效地減少攻擊面。

另一個值得注意的觀察結果是，11%的WAF自定義規(guī)則中使用了機器人管理相關字段。隨著越來越多的客戶采用基于機器學習的分類策略來保護其應用程序，這個數(shù)字隨著時間的推移而穩(wěn)步增加。

舊CVE仍被大量利用

HTTP異常仍然是WAF托管規(guī)則攔截的最常見攻擊類別，占WAF托管規(guī)則總體緩解流量的約32%。SQLi上升到第二位，超過了目錄遍歷，二者分別占12.7%和9.9%。

如果我們看回2023年4月初時的情況，就會發(fā)現(xiàn)DoS類別遠遠超過HTTP異常類別。DoS類別中的規(guī)則是WAF第7層HTTP簽名，這些簽名足夠具體，可以匹配（并阻止）單個請求，而無需查看交叉請求行為，并且可以追溯到導致拒絕服務(DoS)的具體僵尸網絡或有效負載。通常（就像這里的情況一樣），這些請求不是“分布式”攻擊的一部分，因此在類別名稱中沒有代表“分布式-Distributed”的第一個“D”。

縮小范圍并僅基于DoS類別進行過濾，我們發(fā)現(xiàn)大部分已緩解流量可歸因于一條規(guī)則：100031/ce02fd…（分別為舊WAF和新WAF規(guī)則ID）。此規(guī)則的描述為“Microsoft IIS-DoS，Anomaly:Header:Range-CVE:CVE-2015-1635”，屬于可追溯到2015年的CVE，該CVE影響了許多Microsoft Windows組件，可導致遠程代碼執(zhí)行 。這是一個很好的提醒，舊的CVE，甚至是8年多以前的CVE，仍然被積極利用來危害可能未打補丁且仍在運行易受攻擊軟件的計算機。

由于規(guī)則分類的原因，一些特定于CVE的規(guī)則仍被分配到更廣泛的類別，如本示例中的DoS。只有當攻擊有效負載與其他更通用的類別沒有明顯重疊時，才會將規(guī)則分配到CVE類別中。

另一個有趣的觀察結果是，從6月份開始，“失效身份驗證”規(guī)則匹配數(shù)有所增加。這一增長還歸因于我們所有客戶（包括我們的Free方案用戶）部署的一條規(guī)則：“Wordpress-Broken Access Control,File Inclusion”。此規(guī)則會阻止對wp-config.php-WordPress默認配置文件的訪問嘗試，該文件通常位于Web服務器文檔根目錄中，但永遠不應該通過HTTP直接訪問。

同樣，CISA/CSA最近發(fā)布了一份報告，重點介紹了2022年最常被利用的漏洞。我們借此機會探討CISA報告中提到的每個CVE在Cloudflare自身數(shù)據(jù)中的反映情況。CISA/CSA討論了惡意網絡攻擊者在2022年經常利用的12個漏洞。然而，根據(jù)我們的分析，CISA報告中提到的兩個CVE造成了我們在全網看到的絕大多數(shù)攻擊流量：Log4J和Atlassian Confluence代碼注入。我們的數(shù)據(jù)清楚地表明，前兩名與列表中的其余成員之間的漏洞利用量存在重大差異。下圖根據(jù)我們的日志比較了CISA列表中前6個漏洞的攻擊量（以對數(shù)刻度）。

機器人流量洞察

Cloudflare的機器人管理繼續(xù)獲得重大投資，因為添加了JavaScript Verified URL以更好地防御基于瀏覽器的機器人，Detection ID現(xiàn)在可在自定義規(guī)則中使用，以實現(xiàn)額外的可配置性，以及改進了UI以簡化入門。對于自助服務客戶，我們添加了“跳過”Super Bot Fight模式規(guī)則的功能以及對Wordpress Loopback請求的支持，以更好地與客戶的應用程序集成并為他們提供所需的保護。

我們對機器人管理分類輸出仍然充滿信心。如果我們在分析的時間范圍內繪制機器人分數(shù)圖，我們會發(fā)現(xiàn)一個非常清晰的分布，大多數(shù)請求要么被歸類為“肯定是機器人”（得分低于30分），要么被歸類為“肯定是人類”（得分高于80分），大多數(shù)請求的實際得分低于2分或高于95分。這相當于在同一時間段內，33%的流量被歸類為自動化流量（由機器人生成）。在較長一段時間內，我們確實看到整體機器人流量百分比穩(wěn)定在29%，這也反映了Cloudflare Radar上顯示的數(shù)據(jù)。

平均來看，超過10%的未經驗證機器人流量得到緩解

與上次報告相比，未經驗證的機器人HTTP流量緩解目前呈下降趨勢（下降6個百分點）。然而，WAF自定義規(guī)則中的機器人管理字段使用率不可忽視，占比達到11%。這意味著Cloudflare上部署了超過70萬個WAF自定義規(guī)則，這些規(guī)則依賴機器人信號來執(zhí)行某些操作。最常用的字段是cf.client.bot，它是cf.bot_management.verified_bot的別名，由我們經過驗證的機器人列表提供支持，讓客戶能夠區(qū)分“良性”機器人和潛在的“惡意”未經驗證機器人。

Enterprise方案客戶可以訪問更強大的cf.bot_management.score，它可以直接訪問根據(jù)每個請求計算的分數(shù)，該分數(shù)與上一節(jié)中用于生成機器人分數(shù)分布圖的分數(shù)相同。

查看哪些Cloudflare服務正在緩解未經驗證的機器人流量，上述數(shù)據(jù)也得到了驗證。盡管我們的DDoS緩解系統(tǒng)會自動阻止所有客戶的HTTP流量，但這僅占未經驗證機器人緩解的13%。與之相對，WAF以及主要由客戶定義的規(guī)則占此類緩解的77%，遠高于報告開頭討論的所有流量的緩解情況(57%)。請注意，這里特別提到的機器人管理指的是我們的“默認”一鍵式規(guī)則，這些規(guī)則與WAF自定義規(guī)則中使用的機器人字段分開計數(shù)。

表格形式供參考：

API流量洞察

58%的動態(tài)（不可緩存）流量與API有關

Cloudflare觀察到的API流量總體增長速度并未放緩。與上一季度相比，我們現(xiàn)在看到58%的總動態(tài)流量被歸類為API相關流量。比第一季度增加了3個百分點。

我們對API Gateway的投資也呈現(xiàn)出類似的增長趨勢。在上一季度，我們發(fā)布了幾項新的API安全功能。

首先，我們推出了新的收件箱視圖，使API Discovery更易于使用。API Discovery會清點您的API以防止影子IT和僵尸API，現(xiàn)在客戶可以輕松過濾、僅顯示API Discovery發(fā)現(xiàn)的新端點。通過API Discovery保存端點即可將它們放入我們的端點管理系統(tǒng)中。

之后，我們添加了僅在Cloudflare有在提供的全新API安全功能：通過客戶端行為控制API訪問的能力。我們稱之為序列緩解?？蛻衄F(xiàn)在可以根據(jù)客戶端訪問的API路徑的順序，創(chuàng)建積極或消極的安全模型。您現(xiàn)在可以確保：只有訪問應用程序的用戶才能訪問API，忽略正常應用程序功能而進行暴力嘗試的人將無法訪問API。例如，在銀行應用程序中，您現(xiàn)在可以強制要求，只有在用戶訪問了賬戶余額檢查端點之后，才能訪問資金轉賬端點。

我們將會在2023年的下半年及之后持續(xù)發(fā)布更多的API安全和API管理功能。

65%的全球API流量是由瀏覽器生成的

在過去一個季度中，瀏覽器產生的API流量所占比例一直非常穩(wěn)定。對于這一項統(tǒng)計，我們指的是那些不提供基于HTML內容的HTTP請求，這些內容將由瀏覽器直接呈現(xiàn)，無需進行一些預處理，例如那些通常稱為AJAX調用的請求，這些請求通常會提供基于JSON的響應。

HTTP異常是API端點上最常見的攻擊手段

與上一季度一樣，HTTP異常仍然是API流量中被緩解次數(shù)最多的攻擊手段。不過，SQLi注入攻擊也不容忽視，約占緩解流量總量的11%，緊隨其后的是XSS攻擊，約占9%。

表格形式供參考（前5位）：

下一步

隨著我們將《應用程序安全報告》改為每季度發(fā)布一次，我們還計劃將通過一些新產品（例如Page Shield）所觀測到的更多其他數(shù)據(jù)一并納入以進一步加深和完善相關洞察及見解，以使我們能夠看到HTTP流量之外的更多流量，并探索線上基于第三方因素的相關依賴性及影響。

我們保護整個企業(yè)網絡，幫助客戶高效構建互聯(lián)網規(guī)模應用，加速任何網站或互聯(lián)網應用，抵御DDoS攻擊，阻止黑客，并為您的Zero Trust之旅提供協(xié)助。