Cloudflare的全球網(wǎng)絡(luò)在互聯(lián)網(wǎng)上有著獨(dú)有的優(yōu)勢(shì),這些優(yōu)勢(shì)使得我們能夠發(fā)現(xiàn)����、探索及監(jiān)測(cè)識(shí)別到一些可能會(huì)被忽視的關(guān)鍵趨勢(shì)��。正如今天和大家分享的這篇《應(yīng)用程序安全報(bào)告》��,在本報(bào)告中�����,涵蓋了我們對(duì)互聯(lián)網(wǎng)范圍內(nèi)的最新應(yīng)用程序安全趨勢(shì)的一些洞察及見解����。
Cloudflare的全球網(wǎng)絡(luò)在互聯(lián)網(wǎng)上有著獨(dú)有的優(yōu)勢(shì),這些優(yōu)勢(shì)使得我們能夠發(fā)現(xiàn)、探索及監(jiān)測(cè)識(shí)別到一些可能會(huì)被忽視的關(guān)鍵趨勢(shì)��。正如今天和大家分享的這篇《應(yīng)用程序安全報(bào)告》��,在本報(bào)告中,涵蓋了我們對(duì)互聯(lián)網(wǎng)范圍內(nèi)的最新應(yīng)用程序安全趨勢(shì)的一些洞察及見解。
本篇報(bào)告是Cloudflare的《應(yīng)用程序安全報(bào)告》的第三版����。第一版于2022年3月發(fā)布,第二版于今年早些時(shí)候的3月份發(fā)布�����。
自上次報(bào)告發(fā)布以來����,Cloudflare的全球網(wǎng)絡(luò)已經(jīng)發(fā)展至規(guī)模更大����、速度更快:現(xiàn)在平均每秒可處理4600萬個(gè)HTTP請(qǐng)求����,峰值時(shí)可達(dá)6300萬個(gè)��。我們每秒持續(xù)處理大約2500萬個(gè)DNS查詢�。每天大約有2.1萬億次DNS查詢���,每月大約有65萬億次查詢�。這是我們的基礎(chǔ)結(jié)構(gòu)所服務(wù)的權(quán)威請(qǐng)求和解析器請(qǐng)求的總和。結(jié)合所有HTTP和DNS請(qǐng)求�����,我們可以從中監(jiān)測(cè)到大量惡意流量����。僅聚焦HTTP請(qǐng)求,2023年第2季度,Cloudflare平均每天阻止1120億次網(wǎng)絡(luò)威脅�����,這些都是本篇報(bào)告中會(huì)和大家分享到的相關(guān)數(shù)據(jù)洞察。
不過�,像往常一樣���,在深入討論之前�,我們需要先定義一下我們的術(shù)語����。
定義
本文中����,我們將會(huì)使用到如下術(shù)語:
·已緩解流量:經(jīng)由Cloudflare平臺(tái)被執(zhí)行了“終止”操作的所有重點(diǎn)關(guān)注的HTTP 請(qǐng)求-其中包括以下操作:BLOCK���、CHALLENGE�����、JS_CHALLENGE和MANAGED_CHALLENGE���。但同時(shí)不包括執(zhí)行了以下操作的請(qǐng)求:LOG、SKIP����、ALLOW����。與去年相比����,我們現(xiàn)在排除了由DDoS緩解系統(tǒng)應(yīng)用了CONNECTION_CLOSE和FORCE_CONNECTION_CLOSE操作的請(qǐng)求,因?yàn)閺募夹g(shù)上講��,這些操作只會(huì)減慢連接初始化的速度���。它們?cè)谡?qǐng)求中所占的比例也相對(duì)較小���。此外�����,我們優(yōu)化了有關(guān)CHALLENGE類型操作的計(jì)算��,以確保只有未解決的質(zhì)詢才計(jì)入已緩解�。如需操作的詳細(xì)描述����,請(qǐng)參閱我們的開發(fā)人員文檔���。
·機(jī)器人流量/自動(dòng)化流量:被Cloudflare機(jī)器人管理系統(tǒng)識(shí)別為由機(jī)器人產(chǎn)生的所有HTTP 請(qǐng)求�。包括機(jī)器人分?jǐn)?shù)在1-29(含)之間的請(qǐng)求�。與去年的報(bào)告相比��,這一點(diǎn)沒有改變。
·API流量:任何響應(yīng)內(nèi)容類型為XML或JSON的HTTP 請(qǐng)求�����。在響應(yīng)內(nèi)容類型不可用的情況下�,例如對(duì)于緩解請(qǐng)求,則使用等效的Accept內(nèi)容類型(由用戶代理指定)��。在后一種情況下�����,API流量不會(huì)被完全計(jì)算在內(nèi),但這一監(jiān)測(cè)指標(biāo)仍可為后續(xù)所解析出的相關(guān)洞察提供很有價(jià)值的參考作用。
(文中提及的內(nèi)容所參考的評(píng)估時(shí)間范圍是2023年4月到2023年6月(含)的3個(gè)月期間。除非另有說明����。)
最后�����,請(qǐng)注意�,這些數(shù)據(jù)僅根據(jù)在Cloudflare的全球網(wǎng)絡(luò)上觀察到的流量計(jì)算����,不一定代表整個(gè)互聯(lián)網(wǎng)的HTTP流量模式����。
文中的HTTP流量包括HTTP和HTTPS�。
全球流量洞察
每日緩解的流量穩(wěn)定在6%�����,峰值期間達(dá)到8%
盡管從2021年到2022年��,每日緩解的HTTP請(qǐng)求平均減少了2個(gè)百分點(diǎn),達(dá)到6%�,但在整個(gè)網(wǎng)絡(luò)中可以清楚地看到在一些特定時(shí)間惡意活動(dòng)頻次有明顯上升的趨勢(shì)��。下圖顯示了一個(gè)明顯的例子:在臨近2023年5月底期間��,可以看緩解請(qǐng)求峰值達(dá)到近8%�。這是和大型DDoS攻擊事件和其他一些不遵循常規(guī)標(biāo)準(zhǔn)的每日或每周周期的網(wǎng)絡(luò)活動(dòng)相關(guān)�����,這也是在時(shí)刻提醒我們�,大型惡意事件仍然可以在全球范圍內(nèi)產(chǎn)生較為明顯的影響,即便在Cloudflare的全球網(wǎng)絡(luò)規(guī)模上也是如此�。
75%的已緩解HTTP請(qǐng)求被徹底阻止。與之前的報(bào)告相比��,這一數(shù)字下降了6個(gè)百分點(diǎn)�����。大多數(shù)其他請(qǐng)求都可以通過各種CHALLENGE類型操作來緩解�,其中受管理的質(zhì)詢約占該類別的20%�。
加強(qiáng)防護(hù):客戶配置的自定義規(guī)則是已緩解流量的最大貢獻(xiàn)因素
在之前的報(bào)告中,經(jīng)由我們的自動(dòng)化DDoS緩解系統(tǒng)所緩解的流量平均占到已緩解流量的50%以上����。在過去的兩個(gè)季度中�,由于Cloudflare WAF的采用率不斷增加�,以及公司及組織很可能更好地配置了WAF規(guī)則、成功保護(hù)了其應(yīng)用程序以免受無用流量的影響����,我們觀測(cè)到了一種新的趨勢(shì),通過Cloudflare WAF緩解的流量超過了DDoS緩解���。大部分增長是由WAF自定義規(guī)則BLOCK而不是我們的WAF托管規(guī)則推動(dòng)的����,這表明這些緩解是經(jīng)由客戶針對(duì)業(yè)務(wù)邏輯或相關(guān)目的配置的規(guī)則生成的���。從下圖中可以清楚地看到這一點(diǎn)��。
從圖示中可以發(fā)現(xiàn)�,與Cloudflare WAF緩解的總體流量相比,我們的WAF托管規(guī)則緩解流量(黃線)可以忽略不計(jì)����,這也表明我們的客戶正在采用更積極的安全模型��,允許已知的良好流量�,而不是僅僅阻止已知的不良流量�����。與此同時(shí)�,本季度WAF托管規(guī)則緩解量也達(dá)到了每天15億個(gè)請(qǐng)求����。
當(dāng)然,相對(duì)于WAF�,我們?nèi)萘烤薮蟮腄DoS緩解容量,以及與我們的DDoS第7層規(guī)則相匹配的流量也不應(yīng)被低估����,特別是考慮到我們所觀察到網(wǎng)絡(luò)上出現(xiàn)的許多新型攻擊和僵尸網(wǎng)絡(luò)��。您可以在我們的第二季度DDoS威脅報(bào)告中深入了解最新DDoS攻擊趨勢(shì)���。
從已緩解流量的來源匯總來看,WAF目前約占所有緩解流量的57%���。下面的表格中匯總了其他來源���,可供參考。
應(yīng)用程序所有者越來越依賴基于地理位置的阻止規(guī)則
鑒于客戶定義的WAF規(guī)則所緩解的流量有所增加����,我們認(rèn)為,更深入地了解客戶正在阻止哪些內(nèi)容以及他們是如何做到這一點(diǎn)的����,將會(huì)很有意義。為此���,我們審查了WAF自定義規(guī)則中的規(guī)則字段使用情況����,以識(shí)別常見主題。當(dāng)然��,數(shù)據(jù)需要正確解讀�,因?yàn)橛捎诤贤头桨讣?jí)別的不同,并非所有客戶都可以訪問所有字段���,但我們?nèi)匀豢梢愿鶕?jù)字段“類別”做出一些推論���。通過審查整個(gè)網(wǎng)絡(luò)中部署的全部約700萬條WAF自定義規(guī)則并僅關(guān)注主要分組,我們得到以下字段使用情況分布:
值得注意的是�,在所有已部署的WAF自定義規(guī)則中,40%使用與地理位置相關(guān)的字段來決定如何處理流量�。這是一種常用技術(shù),用于實(shí)施業(yè)務(wù)邏輯或排除預(yù)計(jì)不會(huì)產(chǎn)生流量的地區(qū)����,并有助于減少攻擊面。雖然這些都是相對(duì)粗略的控制策略�,不太可能阻止“經(jīng)驗(yàn)豐富”的攻擊者�����,但它們?nèi)匀豢梢杂行У販p少攻擊面�����。
另一個(gè)值得注意的觀察結(jié)果是,11%的WAF自定義規(guī)則中使用了機(jī)器人管理相關(guān)字段�。隨著越來越多的客戶采用基于機(jī)器學(xué)習(xí)的分類策略來保護(hù)其應(yīng)用程序,這個(gè)數(shù)字隨著時(shí)間的推移而穩(wěn)步增加。
舊CVE仍被大量利用
HTTP異常仍然是WAF托管規(guī)則攔截的最常見攻擊類別�,占WAF托管規(guī)則總體緩解流量的約32%。SQLi上升到第二位���,超過了目錄遍歷���,二者分別占12.7%和9.9%。
如果我們看回2023年4月初時(shí)的情況��,就會(huì)發(fā)現(xiàn)DoS類別遠(yuǎn)遠(yuǎn)超過HTTP異常類別����。DoS類別中的規(guī)則是WAF第7層HTTP簽名,這些簽名足夠具體�����,可以匹配(并阻止)單個(gè)請(qǐng)求�����,而無需查看交叉請(qǐng)求行為��,并且可以追溯到導(dǎo)致拒絕服務(wù)(DoS)的具體僵尸網(wǎng)絡(luò)或有效負(fù)載��。通常(就像這里的情況一樣)�,這些請(qǐng)求不是“分布式”攻擊的一部分,因此在類別名稱中沒有代表“分布式-Distributed”的第一個(gè)“D”����。
縮小范圍并僅基于DoS類別進(jìn)行過濾,我們發(fā)現(xiàn)大部分已緩解流量可歸因于一條規(guī)則:100031/ce02fd…(分別為舊WAF和新WAF規(guī)則ID)�����。此規(guī)則的描述為“Microsoft IIS-DoS�����,Anomaly:Header:Range-CVE:CVE-2015-1635”�,屬于可追溯到2015年的CVE,該CVE影響了許多Microsoft Windows組件�����,可導(dǎo)致遠(yuǎn)程代碼執(zhí)行 �����。這是一個(gè)很好的提醒,舊的CVE���,甚至是8年多以前的CVE���,仍然被積極利用來危害可能未打補(bǔ)丁且仍在運(yùn)行易受攻擊軟件的計(jì)算機(jī)。
由于規(guī)則分類的原因�,一些特定于CVE的規(guī)則仍被分配到更廣泛的類別,如本示例中的DoS���。只有當(dāng)攻擊有效負(fù)載與其他更通用的類別沒有明顯重疊時(shí)�����,才會(huì)將規(guī)則分配到CVE類別中�����。
另一個(gè)有趣的觀察結(jié)果是�����,從6月份開始���,“失效身份驗(yàn)證”規(guī)則匹配數(shù)有所增加�����。這一增長還歸因于我們所有客戶(包括我們的Free方案用戶)部署的一條規(guī)則:“Wordpress-Broken Access Control,File Inclusion”。此規(guī)則會(huì)阻止對(duì)wp-config.php-WordPress默認(rèn)配置文件的訪問嘗試�,該文件通常位于Web服務(wù)器文檔根目錄中,但永遠(yuǎn)不應(yīng)該通過HTTP直接訪問�。
同樣,CISA/CSA最近發(fā)布了一份報(bào)告��,重點(diǎn)介紹了2022年最常被利用的漏洞��。我們借此機(jī)會(huì)探討CISA報(bào)告中提到的每個(gè)CVE在Cloudflare自身數(shù)據(jù)中的反映情況��。CISA/CSA討論了惡意網(wǎng)絡(luò)攻擊者在2022年經(jīng)常利用的12個(gè)漏洞�。然而,根據(jù)我們的分析�,CISA報(bào)告中提到的兩個(gè)CVE造成了我們?cè)谌W(wǎng)看到的絕大多數(shù)攻擊流量:Log4J和Atlassian Confluence代碼注入。我們的數(shù)據(jù)清楚地表明��,前兩名與列表中的其余成員之間的漏洞利用量存在重大差異���。下圖根據(jù)我們的日志比較了CISA列表中前6個(gè)漏洞的攻擊量(以對(duì)數(shù)刻度)����。
機(jī)器人流量洞察
Cloudflare的機(jī)器人管理繼續(xù)獲得重大投資,因?yàn)樘砑恿薐avaScript Verified URL以更好地防御基于瀏覽器的機(jī)器人�,Detection ID現(xiàn)在可在自定義規(guī)則中使用,以實(shí)現(xiàn)額外的可配置性�����,以及改進(jìn)了UI以簡化入門���。對(duì)于自助服務(wù)客戶�,我們添加了“跳過”Super Bot Fight模式規(guī)則的功能以及對(duì)Wordpress Loopback請(qǐng)求的支持����,以更好地與客戶的應(yīng)用程序集成并為他們提供所需的保護(hù)。
我們對(duì)機(jī)器人管理分類輸出仍然充滿信心�。如果我們?cè)诜治龅臅r(shí)間范圍內(nèi)繪制機(jī)器人分?jǐn)?shù)圖,我們會(huì)發(fā)現(xiàn)一個(gè)非常清晰的分布��,大多數(shù)請(qǐng)求要么被歸類為“肯定是機(jī)器人”(得分低于30分)����,要么被歸類為“肯定是人類”(得分高于80分),大多數(shù)請(qǐng)求的實(shí)際得分低于2分或高于95分��。這相當(dāng)于在同一時(shí)間段內(nèi),33%的流量被歸類為自動(dòng)化流量(由機(jī)器人生成)�。在較長一段時(shí)間內(nèi),我們確實(shí)看到整體機(jī)器人流量百分比穩(wěn)定在29%�����,這也反映了Cloudflare Radar上顯示的數(shù)據(jù)����。
平均來看�����,超過10%的未經(jīng)驗(yàn)證機(jī)器人流量得到緩解
與上次報(bào)告相比���,未經(jīng)驗(yàn)證的機(jī)器人HTTP流量緩解目前呈下降趨勢(shì)(下降6個(gè)百分點(diǎn))���。然而,WAF自定義規(guī)則中的機(jī)器人管理字段使用率不可忽視�����,占比達(dá)到11%�。這意味著Cloudflare上部署了超過70萬個(gè)WAF自定義規(guī)則�����,這些規(guī)則依賴機(jī)器人信號(hào)來執(zhí)行某些操作�����。最常用的字段是cf.client.bot����,它是cf.bot_management.verified_bot的別名���,由我們經(jīng)過驗(yàn)證的機(jī)器人列表提供支持��,讓客戶能夠區(qū)分“良性”機(jī)器人和潛在的“惡意”未經(jīng)驗(yàn)證機(jī)器人�����。
Enterprise方案客戶可以訪問更強(qiáng)大的cf.bot_management.score�,它可以直接訪問根據(jù)每個(gè)請(qǐng)求計(jì)算的分?jǐn)?shù)�,該分?jǐn)?shù)與上一節(jié)中用于生成機(jī)器人分?jǐn)?shù)分布圖的分?jǐn)?shù)相同。
查看哪些Cloudflare服務(wù)正在緩解未經(jīng)驗(yàn)證的機(jī)器人流量����,上述數(shù)據(jù)也得到了驗(yàn)證����。盡管我們的DDoS緩解系統(tǒng)會(huì)自動(dòng)阻止所有客戶的HTTP流量�����,但這僅占未經(jīng)驗(yàn)證機(jī)器人緩解的13%�����。與之相對(duì)�,WAF以及主要由客戶定義的規(guī)則占此類緩解的77%���,遠(yuǎn)高于報(bào)告開頭討論的所有流量的緩解情況(57%)���。請(qǐng)注意,這里特別提到的機(jī)器人管理指的是我們的“默認(rèn)”一鍵式規(guī)則�,這些規(guī)則與WAF自定義規(guī)則中使用的機(jī)器人字段分開計(jì)數(shù)。
表格形式供參考:
API流量洞察
58%的動(dòng)態(tài)(不可緩存)流量與API有關(guān)
Cloudflare觀察到的API流量總體增長速度并未放緩��。與上一季度相比�����,我們現(xiàn)在看到58%的總動(dòng)態(tài)流量被歸類為API相關(guān)流量。比第一季度增加了3個(gè)百分點(diǎn)��。
我們對(duì)API Gateway的投資也呈現(xiàn)出類似的增長趨勢(shì)���。在上一季度���,我們發(fā)布了幾項(xiàng)新的API安全功能。
首先�,我們推出了新的收件箱視圖,使API Discovery更易于使用����。API Discovery會(huì)清點(diǎn)您的API以防止影子IT和僵尸API,現(xiàn)在客戶可以輕松過濾�����、僅顯示API Discovery發(fā)現(xiàn)的新端點(diǎn)�。通過API Discovery保存端點(diǎn)即可將它們放入我們的端點(diǎn)管理系統(tǒng)中。
之后��,我們添加了僅在Cloudflare有在提供的全新API安全功能:通過客戶端行為控制API訪問的能力����。我們稱之為序列緩解���。客戶現(xiàn)在可以根據(jù)客戶端訪問的API路徑的順序����,創(chuàng)建積極或消極的安全模型。您現(xiàn)在可以確保:只有訪問應(yīng)用程序的用戶才能訪問API�����,忽略正常應(yīng)用程序功能而進(jìn)行暴力嘗試的人將無法訪問API�。例如,在銀行應(yīng)用程序中�����,您現(xiàn)在可以強(qiáng)制要求���,只有在用戶訪問了賬戶余額檢查端點(diǎn)之后,才能訪問資金轉(zhuǎn)賬端點(diǎn)�����。
我們將會(huì)在2023年的下半年及之后持續(xù)發(fā)布更多的API安全和API管理功能。
65%的全球API流量是由瀏覽器生成的
在過去一個(gè)季度中��,瀏覽器產(chǎn)生的API流量所占比例一直非常穩(wěn)定����。對(duì)于這一項(xiàng)統(tǒng)計(jì),我們指的是那些不提供基于HTML內(nèi)容的HTTP請(qǐng)求��,這些內(nèi)容將由瀏覽器直接呈現(xiàn)��,無需進(jìn)行一些預(yù)處理��,例如那些通常稱為AJAX調(diào)用的請(qǐng)求�,這些請(qǐng)求通常會(huì)提供基于JSON的響應(yīng)。
HTTP異常是API端點(diǎn)上最常見的攻擊手段
與上一季度一樣��,HTTP異常仍然是API流量中被緩解次數(shù)最多的攻擊手段����。不過,SQLi注入攻擊也不容忽視����,約占緩解流量總量的11%,緊隨其后的是XSS攻擊�,約占9%��。
表格形式供參考(前5位):
下一步
隨著我們將《應(yīng)用程序安全報(bào)告》改為每季度發(fā)布一次�,我們還計(jì)劃將通過一些新產(chǎn)品(例如Page Shield)所觀測(cè)到的更多其他數(shù)據(jù)一并納入以進(jìn)一步加深和完善相關(guān)洞察及見解�,以使我們能夠看到HTTP流量之外的更多流量,并探索線上基于第三方因素的相關(guān)依賴性及影響���。
我們保護(hù)整個(gè)企業(yè)網(wǎng)絡(luò)���,幫助客戶高效構(gòu)建互聯(lián)網(wǎng)規(guī)模應(yīng)用,加速任何網(wǎng)站或互聯(lián)網(wǎng)應(yīng)用��,抵御DDoS攻擊����,阻止黑客,并為您的Zero Trust之旅提供協(xié)助��。
立即登錄�,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
