2022年Web安全观察报告

近日，网宿安全在线上举办第7次年度安全报告发布会，正式发布《2022年Web安全观察报告》、《零信任安全白皮书》以及《SASE安全访问服务边缘白皮书》。发布会现场，网宿科技副总裁、首席安全官吕士表与虚拟主持人对话，深入解读了Web安全威胁最新发展趋势，并分享了零信任与SASE的落地路径。

Web安全六大威胁趋势

会上，吕士表首先揭晓了《2022年Web安全观察报告》的6个核心发现：

1、Web安全漏洞持续爆发

2022年网宿安全平台检测到针对Log4shell各种变种的利用超过2,700万次，包括Apache、SQLite、OpenSSL等都爆出了大量高危漏洞。CNVD披露的数据也显示高危漏洞数量同比增长了13.07%。

2、API成为头号的攻击目标

Web攻击中针对API的攻击占比达到58.4%，首次超过50%。究其原因在于，企业在Web、APP、小程序各种场景都有广泛的API应用，API 资产数量庞大但管理不清，存在大量的僵尸API、影子API和敏感数据暴露。较低的攻击门槛和成本更加剧了攻击者对API的利用。

3、DDoS攻击翻倍增长

网宿安全平台在2022年日均监测到DDoS攻击43.92万次，同比增长超过100%；全年发生8次Tb级别的安全攻击，其中最高峰值达到2.09Tbps。当前的DDoS规模已远远超过单个数据中心的清洗能力，运营商、大型公有云、分布式的CDN与边缘计算，成为目前超大规模DDoS攻击的防护主体。

4、Bot攻击连年倍增

网宿安全平台监测到2022年平均每秒就发生超过5175次Bot攻击，攻击量达到2021年的近2倍、2020年的4.5倍。Bot攻击手法也越发隐蔽，不仅通过伪造正常的User-Agent，或者模拟正常浏览器做自动化框架的攻击，还通过模拟人的行为规避成熟的Bot检测，攻击防御难度持续地提升。

5、在线业务欺诈风险显著增加

注册、登录、下单等一系列与交易、账号密切相关的环节，都受到了灰黑产的大量关注，有类似秒播等大量自动化的流程方式进行。整个企业业务安全的攻击，从灰黑产攻击的角度来看，超过50%的攻击量是自动化的。

6、多样化威胁占比持续提高

网宿安全平台数据显示，同时遭受过2种以上的威胁的Web业务占比超过87%，同时遇到3种以上Web威胁的占比超过65%。涉及到的攻击方式包括网络层DDoS、应用层DDoS、漏洞利用、数据爬取、业务欺诈等全面的、自动化的Web攻击。传统WAF防护难以覆盖如此多样化的威胁，需要新的安全防护方案。