国际权威研究机构Forrester发布最新研究报告《The Web Application Firewall Solutions Landscape, Q4 2024》(以下简称“报告■■★”)■★◆■◆,从市场规模、部署方式■★、市场区域、应用场景等多个维度,对全球30家Web应用防火墙(WAF)知名厂商进行了评估,以供企业安全产品选型参考。
腾讯云WAF已广泛应用于民生政务、金融、电子商务、新零售■■■★、教育、房地产★■◆、互联网、游戏等领域的细分行业与市场,为云上企业提供全方位的Web应用安全支持◆◆■★。
为了应对上述挑战,腾讯云WAF依托腾讯20余年业务安全运营及黑灰产对抗经验,打造了基于 AI 的一站式 Web 业务运营风险防护方案★◆■,除了阻止针对Web应用层的常见攻击,还可有效阻止爬虫★★◆、薅羊毛、破解欢迎来到公海赌船、CC等攻击,通过Web入侵防护■◆★、0day漏洞补丁修复、恶意访问惩罚、云备份防篡改等多维度防御策略全面防护网站的系统及业务安全,为客户的云上安全保驾护航■◆■★。
腾讯安全也观察到,随着人们的生产生活越来越多地依托于各种数字应用展开,Web 应用流量也呈现井喷态势■★,并且不再仅仅局限于浏览器,移动应用——特别是小程序逐渐成为新生的流量载体■★★★★,在某些全民性的体育赛事、大型晚会、电商促销等场景★◆★★■,企业的网络应用流量会远超于常规水平■★■。流量载体的多样化★■★◆◆、流量的井喷以及波动带来新的安全挑战■■:
在此次报告中,Forrester指出,随着应用程序变得更加复杂和组件化、应用程序从数据中心转移到云等趋势,应用程序攻击变得更加复杂,现代WAF在完成合规★★、Web 应用程序保护和0day攻击防护等传统功能之外★■■◆■■,逐渐延展出了API防护、移动应用程序保护、BOT防护、小程序安全防护和客户端保护等更多拓展功能■■◆◆,呈现从单点防护产品向集成式解决方案发展的趋势■◆◆★■。
腾讯云WAF凭借出色的产品功能和应用案例入选报告,尤其是在API防护、BOT防护和小程序安全防护等方面表现脱颖而出,获得Forrester的认可和推荐。
精准的API防护:即开即用,一键开启API的安全管控;自动发现★■,动态梳理资产用途和变化;场景识别,快速梳理敏感暴露面★★;可视化分析,指明趋势和风险;联动防护,联动腾讯天御流量风控和威胁情报◆■。
在API防护上,腾讯云WAF-API安全帮助某大型医院全面梳理了API资产,发现医院APP存在大量无需鉴权即可访问的API◆★■,并迅速处置了API风险★◆★★,避免了百万级敏感数据的泄露★◆★■■。
更强大的引擎:支持精细化流量管理、基于语义的规则修正能力,HTTP协议的解析粒度更细,更精准,以及支持基于指纹的防护策略模板设置,实现更强大的恶意流量拦截能力;
云原生架构:容器化集群极速响应,极速扩容,降低接入延迟,进一步提升稳定性,可承载单客户千万级QPS的业务需求和攻击支持■★◆◆;
更多样的接入方式★★★◆◆◆:适配浏览器、小程序■★■、App★■★、H5和API全场景接入★★◆■,一套方案能同时满足有公网和内网访问需求★★◆;国内首发的创新性■■“旁挂式■★”云原生架构CLB-WAF,具有无需修改域名解析快速接入、延时低、对业务无改动★◆◆◆、快速应对突增流量,稳定性高等特点,可以保证业务安全能力快速上线;
在BOT管理上,腾讯安全WAF助力华住集团防护域名140+,提供了网站安全保护,并通过BOT行为管理治理了99%的恶意BOT爬虫流量,通过BOT流量分析发现存在越权行为的API,还通过接入BOT SDK实现了多端的统一的防护控制★◆。
BOT立体防护:腾讯云WAF将安全情报与BOT IP识别模块相结合,同时借助客户端风险识别体系和多维度实时分析,建立了BOT检测响应体系,能快速感知来源的威胁程度、应对分布式BOT■■、高级持续BOT等;
