2023年應(yīng)用程序安全態(tài)勢報(bào)告

一年前，我們發(fā)布了首份應(yīng)用安全報(bào)告。Security Week 2023期間，我們將介紹關(guān)于緩解流量、機(jī)器人和API流量以及帳戶接管攻擊的最新洞見和發(fā)展趨勢。

Cloudflare在過去一年取得顯著增長。2023年2月，Netcraft指出，在2023年初，Cloudflare已經(jīng)成為排名前百萬網(wǎng)站中最常用的Web服務(wù)器供應(yīng)商，并繼續(xù)增長，市場份額達(dá)到21.71%，高于2022年2月的19.4%。

由于這種持續(xù)增長，目前Cloudflare平均每秒處理4500萬個(gè)HTTP請求(高于去年的3200萬)，峰值時(shí)每秒處理超過6100萬個(gè)HTTP請求。Cloudflare網(wǎng)絡(luò)處理的DNS查詢也在不斷增長，達(dá)到2460萬次/秒。所有這些流量讓我們對互聯(lián)網(wǎng)趨勢有了前所未有的了解。

在深入討論之前，需要先定義下在本次報(bào)告中我們將會使用到的一些術(shù)語，以避免對大家造成理解上的歧義。

定義

本文中，我們將使用如下術(shù)語：

緩解流量：由Cloudflare平臺應(yīng)用了“終止”操作的眼球請求。包括如下操作：BLOCK,CHALLENGE,JS_CHALLENGE和MANAGED_CHALLENGE。這并不包括應(yīng)用以下操作的請求：LOG、SKIP、ALLOW。與去年相比，現(xiàn)在我們不包括由我們的DDoS緩解系統(tǒng)應(yīng)用了CONNECTION_CLOSE和FORCE_CONNECTION_CLOSE操作的請求，因?yàn)樵诩夹g(shù)上只會降低連接初始化的速度。它們在請求中所占比例也相對較小。此外，我們改進(jìn)了關(guān)于CHALLENGE類型操作的計(jì)算，以確保只有未解決的質(zhì)詢被計(jì)入緩解。有關(guān)操作的詳細(xì)說明請參閱我們的開發(fā)人員文檔。

機(jī)器人流量/自動(dòng)化流量：被Cloudflare Bot Management系統(tǒng)確認(rèn)由機(jī)器人產(chǎn)生的任何HTTP 請求。包括機(jī)器人分?jǐn)?shù)在1-29(含)的請求。與去年的報(bào)告相比，這一點(diǎn)沒有改變。

API流量：任何響應(yīng)內(nèi)容類型為XML或JSON的HTTP 請求。在響應(yīng)內(nèi)容類型不可用的情況下，例如對于緩解請求，則使用等效的Accept內(nèi)容類型(由用戶代理指定)。在后一種情況下，API流量不會被完全計(jì)算在內(nèi)，但仍可為獲得一些趨勢洞察提供很好的參考作用。

除非另有說明，本文評估的時(shí)間范圍是2022年3月到2023年2月(含)的12個(gè)月期間。

最后，請注意，這些數(shù)據(jù)僅根據(jù)在Cloudflare網(wǎng)絡(luò)上觀察到的流量計(jì)算，不一定代表整個(gè)互聯(lián)網(wǎng)的HTTP流量模式。

文中的HTTP流量包括HTTP和HTTPS。

全球流量洞察

平均每天有6%的HTTP請求被緩解

從Cloudflare網(wǎng)絡(luò)代理的所有HTTP請求來看，我們發(fā)現(xiàn)被緩解的請求占比下降到6%，比去年低兩個(gè)百分點(diǎn)。2023年到目前為止，我們看到緩解的請求占比進(jìn)一步下降到4-5%之間。下圖中可見的較大峰值，比如6月和10月出現(xiàn)的峰值，通常與Cloudflare緩解的大規(guī)模DDoS攻擊有關(guān)。值得注意的是，盡管緩解流量的百分比隨著時(shí)間的推移而下降，但緩解的總請求量一直相對穩(wěn)定，如下面的第二個(gè)圖表所示，這表明全球總體干凈流量有所增加，而不單單是惡意流量的絕對值減少。

81%的緩解HTTP請求是被直接BLOCK的，其余則包含各種CHALLENGE類型的操作。

DDoS緩解占所有緩解流量的50%以上。

Cloudflare提供各種安全功能，用戶可以通過配置這些功能來保障應(yīng)用安全。不出所料，DDoS緩解仍然是緩解第7層(應(yīng)用層)HTTP請求的最大貢獻(xiàn)者。就在上月(2023年2月)，我們報(bào)告了按每秒HTTP請求數(shù)計(jì)算最大的已知被緩解DDoS攻擊(該攻擊在上述圖表中不可見，因?yàn)檫@些圖表是按每天匯總的，而該攻擊僅持續(xù)了大約5分鐘)。

然而，與去年相比，Cloudflare WAF緩解請求顯著增長，現(xiàn)在占緩解請求的近41%。部分原因在于我們的WAF技術(shù)進(jìn)步，使其能夠檢測和阻止更大范圍的攻擊。

表格形式供參考：

請注意，與去年不同的是，上表中的產(chǎn)品分組方法與我們的市場營銷資料和2022 Radar年度回顧中使用的分組一致。這主要影響我們的WAF產(chǎn)品，其中包括WAF自定義規(guī)則、WAF速率限制規(guī)則和WAF管理規(guī)則。在去年的報(bào)告中，這三個(gè)功能合計(jì)占緩解請求的31%。

要了解WAF緩解請求隨時(shí)間的增長，我們可以再深入一個(gè)層級，其中可以明顯看到，Cloudflare客戶越來越依賴WAF自定義規(guī)則(過去稱為“防火墻規(guī)則”)，以緩解惡意流量或?qū)嵤I(yè)務(wù)邏輯阻止。下圖中的橙色線條(防火墻規(guī)則)顯示隨著時(shí)間的逐步增長，而藍(lán)色線條(L7 DDoS)呈現(xiàn)明顯的下降趨勢。

HTTP異常是通過WAF緩解的

最常見第7層攻擊手段

2023年3月，HTTP異常占比與去年同期相比下降了近25個(gè)百分點(diǎn)。HTTP異常的例子包括格式不規(guī)范的方法名，頭部的空字節(jié)字符，非標(biāo)準(zhǔn)端口或POST請求的內(nèi)容長度為零。這可以歸因于匹配HTTP異常特征的僵尸網(wǎng)絡(luò)緩慢改變其流量模式。

從圖中移除HTTP異常線條，可以看到在2023年初，攻擊手段分布看起來更加均衡。

表格形式供參考(前10類別)

特別值得注意的是2023年2月底出現(xiàn)的橙色線峰值(CVE類別)。這個(gè)峰值與我們的兩條WAF托管規(guī)則的突然增加有關(guān)：

這兩條規(guī)則是根據(jù)CVE-2018-14774標(biāo)記的，這表明了，即使是相對較老的已知漏洞，仍然經(jīng)常被用于對潛在的未修補(bǔ)軟件進(jìn)行攻擊。

機(jī)器人流量洞察

Cloudflare的Bot Management在過去12個(gè)月內(nèi)獲得了重大投資。我們推出了一些新功能，例如如可配置的啟發(fā)式方法、強(qiáng)化的JavaScript檢測、自動(dòng)機(jī)器學(xué)習(xí)模型更新，以及Turnstile——Cloudflare的免費(fèi)CAPTCHA替代品，改善了我們每天的人類和機(jī)器人流量分類工作。

我們對分類輸出的信心非常充足。如果我們繪制出2023年2月最后一周流量的機(jī)器人分?jǐn)?shù)圖，可以看到非常清晰的分布，大多請求要么分類為絕對機(jī)器人(低于30)，要么為絕對人類(高于80)，大部分請求實(shí)際得分低于2或高于95。

30%的HTTP流量是自動(dòng)化的。

在2023年2月的最后一周，30%的Cloudflare HTTP流量被分類為自動(dòng)化流量，相當(dāng)于Cloudflare網(wǎng)絡(luò)上每秒約1300萬個(gè)HTTP請求。這比去年同期下降了8個(gè)百分點(diǎn)。

如果僅看機(jī)器人流量，我們發(fā)現(xiàn)，僅有8%是由經(jīng)過驗(yàn)證的機(jī)器人產(chǎn)生的，占總流量的2%。Cloudflare維護(hù)一個(gè)已知的善意(經(jīng)驗(yàn)證)機(jī)器人列表，以便客戶輕松區(qū)分行為良好的機(jī)器人提供商(如Google和Facebook)和可能不太知名或不受歡迎的機(jī)器人。目前列表中有171個(gè)機(jī)器人。

16%的未經(jīng)驗(yàn)證機(jī)器人HTTP流量被緩解

未經(jīng)驗(yàn)證的機(jī)器人網(wǎng)絡(luò)流量通常包括不斷在Web上尋找利用機(jī)會的漏洞掃描器，因此，近六分之一的此類流量得到了緩解，因?yàn)橐恍┛蛻舾矚g限制此類工具可能獲得的洞察。

盡管像googlebot和bingbot這樣的經(jīng)驗(yàn)證機(jī)器人通常被認(rèn)為是有益的，大多數(shù)客戶也希望允許它們，但我們也看到一小部分(1.5%)經(jīng)驗(yàn)證機(jī)器人流量被緩解。這是因?yàn)橐恍┱军c(diǎn)管理員不希望站點(diǎn)的某些部分被爬取，而客戶通常依賴WAF自定義規(guī)則來強(qiáng)制執(zhí)行這個(gè)業(yè)務(wù)邏輯。

客戶使用的最常見操作是BLOCK這些請求(13%),但我們也看到一些客戶配置CHALLENGE操作(3%)，以確保任何是人類的誤報(bào)仍可在必要時(shí)完成請求。

類似地，同樣值得注意的是，所有緩解流量中有近80%被歸類為機(jī)器人，如下圖所示。有人可能指出，20%的緩解流量被歸類為人類流量仍然非常高，但大多數(shù)人類流量的緩解是由WAF自定義規(guī)則生成的，常常是由于客戶在其應(yīng)用程序上實(shí)施國家級別或其他相關(guān)法律的阻止。這種情況很常見，例如，設(shè)在美國的公司出于GDPR合規(guī)性的原因，阻止歐洲用戶的訪問。

API流量洞察

55%的動(dòng)態(tài)(不可緩存)流量與API有關(guān)

例如我們的Bot Management解決方案，我們也在大量投資于保護(hù)API端點(diǎn)的工具。這是因?yàn)榇罅縃TTP流量與API相關(guān)。事實(shí)上，如果僅計(jì)算到達(dá)源且不可緩存的流量，則根據(jù)之前聲明的定義，其中55%的流量是與API有關(guān)的。這與去年的報(bào)告使用的方法相同，55%的數(shù)字與去年相比沒有變化。

如果只考慮緩存的HTTP請求(緩存狀態(tài)為HIT、UPDATING、REVALIDATED和EXPIRED)，我們發(fā)現(xiàn)，也許有點(diǎn)出人意料，接近7%與API相關(guān)。現(xiàn)代的API端點(diǎn)實(shí)現(xiàn)和代理系統(tǒng)，包括我們自己的API網(wǎng)關(guān)/緩存功能集，實(shí)際上允許非常靈活的緩存邏輯，既允許自定義鍵緩存，也允許快速緩存重新驗(yàn)證(快至每秒一次)，以便開發(fā)人員減少后端端點(diǎn)的負(fù)載。

如果將可緩存的資源和其他請求(例如重定向)計(jì)算在總數(shù)中，則這個(gè)數(shù)字會減少，但仍然占流量的25%。下圖中，我們提供了有關(guān)API流量的兩種視角：

黃線：API流量占所有HTTP請求的百分比。這將把重定向、緩存資源和所有其他HTTP請求包括在總數(shù)中；

藍(lán)線：API流量占動(dòng)態(tài)流量(僅返回HTTP 200 OK響應(yīng)碼)的百分比；

65%的全球API流量是由瀏覽器生成的

如今，越來越多Web應(yīng)用是以“API優(yōu)先”方式構(gòu)建的。這意味著初始HTML頁面加載只提供了框架布局，大多數(shù)動(dòng)態(tài)組件和數(shù)據(jù)是通過單獨(dú)的API調(diào)用加載的(例如，通過AJAX)。Cloudflare自己的儀表盤就是這樣。在分析API流量的機(jī)器人分?jǐn)?shù)時(shí)，可以看到這種不斷增長的實(shí)現(xiàn)范式。下圖可見，大量的API流量是由我們的系統(tǒng)分類為“人類”的用戶驅(qū)動(dòng)瀏覽器產(chǎn)生的，其中近三分之二的流量集中在“人類”范圍的高端。

計(jì)算緩解API流量是一個(gè)挑戰(zhàn)，因?yàn)槲覀儾⒉粚⒄埱筠D(zhuǎn)發(fā)到源服務(wù)器，因此不能依賴于響應(yīng)內(nèi)容類型。按照去年使用的相同計(jì)算方法，略高于2%的API流量被緩解，低于去年的10.2%。

HTTP異常超過了SQLi

成為API端點(diǎn)上最常見的攻擊手段

與去年相比，HTTP異常現(xiàn)在超過了SQLi，成為針對API端點(diǎn)的最流行攻擊手段(注意，圖表開始處，即去年的報(bào)告發(fā)布時(shí)，藍(lán)色線更高)。針對API流量的攻擊手段在全年內(nèi)并不一致，與全球HTTP流量相比變化更大。例如，請注意2023年初的文件包含攻擊嘗試出現(xiàn)激增。

探索帳戶接管攻擊

自2021年3月以來，Cloudflare在其WAF中提供泄露憑據(jù)檢測功能。當(dāng)檢測到身份驗(yàn)證請求帶有已知泄露的用戶名/密碼對時(shí)，客戶就會得到通知(通過HTTP請求標(biāo)頭)。對于檢測執(zhí)行帳戶接管暴力攻擊的僵尸網(wǎng)絡(luò)而言，這往往是一個(gè)非常有效的信號。

客戶還使用這個(gè)信號，對有效的用戶名/密碼對登錄嘗試，發(fā)出雙因素身份驗(yàn)證、密碼重置，或者在某些情況下，對用戶不是憑據(jù)合法所有者的情況添加日志記錄。

暴力帳戶接管攻擊越來越多

從過去12個(gè)月的匹配請求趨勢來看，2022年下半年開始出現(xiàn)明顯的增長，這表明針對登錄端點(diǎn)的欺詐活動(dòng)越來越多。在大型暴力破解攻擊中，我們觀察到匹配泄露憑據(jù)的HTTP請求速率達(dá)到每分鐘12k以上。

我們的泄露憑據(jù)檢測功能具有匹配對以下系統(tǒng)身份驗(yàn)證請求的規(guī)則：

Drupal

Ghost

Joomla

Magento

Plone

WordPress

Microsoft Exchange

匹配常見身份驗(yàn)證端點(diǎn)格式的通用規(guī)則

這使我們能夠比較來自惡意行為者的活動(dòng)，其通常采取僵尸網(wǎng)絡(luò)的形式，試圖“入侵”潛在泄露帳戶。

Microsoft Exchange受到的攻擊超過WordPress

主要由于其熱門程度，您可能會預(yù)期WordPress是風(fēng)險(xiǎn)最大和/或遭遇最多暴力帳戶接管流量的應(yīng)用。然而，從上述受支持系統(tǒng)的規(guī)則匹配情況來看，我們發(fā)現(xiàn)，除了我們的通用特征，Microsoft Exchange特征是最頻繁的匹配。

大多數(shù)遭受暴力攻擊的應(yīng)用都是高價(jià)值資產(chǎn)，根據(jù)我們反應(yīng)這一趨勢的數(shù)據(jù)，Exchange賬戶是最有可能被攻擊的目標(biāo)。

從泄露憑據(jù)匹配流量的國別來看，美國遙遙領(lǐng)先。

展望未來

鑒于Cloudflare承載的網(wǎng)絡(luò)流量，我們觀察到廣泛的攻擊類型。從HTTP異常、SQL注入攻擊、跨站腳本攻擊(XSS)到帳戶接管嘗試和惡意機(jī)器人，威脅形勢不斷變化。因此，任何在線運(yùn)營的企業(yè)都必須投資于可見性、檢測和緩解技術(shù)，以確保其應(yīng)用程序——以及更重要的是——其最終用戶數(shù)據(jù)的安全。

我們希望本報(bào)告的結(jié)果能引起您的興趣，至少可以讓您了解互聯(lián)網(wǎng)應(yīng)用安全的狀態(tài)。網(wǎng)絡(luò)上有大量惡意行為者，而且沒有跡象表明互聯(lián)網(wǎng)安全防護(hù)將變得更加容易。

我們已經(jīng)計(jì)劃更新這份報(bào)告，以包含來自我們產(chǎn)品組合的更多數(shù)據(jù)和洞察。歡迎關(guān)注Cloudflare Radar，以獲得更全面的應(yīng)用安全報(bào)告和見解。