7月12日，网宿科技联合数世咨询在北京发布《2021年中国互联网安全报告》（下称《报告》）。《报告》显示，2021年网络安全形势更加严峻，应用层攻击持续高发，API攻击尤其呈爆炸性增长，达到2020年的3.13倍。同时，网络攻击的方式趋于多样化，来自境外的攻击源数量增长显著。
《报告》称，随着企业对于开源软件的依赖日益提升，开源软件出现漏洞所造成的影响逐渐深远，组合拳的防护方式成为应对软件供应链安全风险的趋势。此外，《报告》提到，企业正加速向新一代网络安全模型零信任架构转变，由此将带动对零信任高阶概念SASE的需求。
网络攻击持续高发，API攻击增长超200%
据《报告》，2021年DDoS攻击事件数量同比增长约60%，DDoS攻击带宽最高峰值达到774.58Gbps，相较于2020年的峰值612.67Gpbs，规模再次突破。游戏仍是遭受DDoS攻击最多的行业，占比过半。
Web应用攻击延续了倍增态势，2021全年体量达229.83亿次，同比增长141.30%。其中，接近50%的Web攻击集中在软件信息服务和金融行业。从攻击IP的地理位置分析发现，来自境外的Web应用攻击IP同比暴涨了357.16%，《报告》推测或与日趋紧张的地缘政治局势有关。
恶意爬虫攻击方面，据网宿安全平台监测，2021年平均每秒发生2688次恶意爬虫攻击，全年攻击量为2020年的2.36倍。从行业来看，随着疫情对交通运输的负面影响逐步消除，抢票类爬虫复苏，交通运输业遭受的恶意爬虫攻击量从2020年的第六位回到前三位置。
值得注意的是，企业开放的API越来越多，面临的风险随之加剧，API安全威胁已经进入爆发期。据《报告》，2021年针对API业务的攻击达到147.98亿次，同比增长超过200%，其中零售业、金融业以其数字化程度最深成为重灾区，两者集中了将近七成的API攻击。另外，尽管恶意爬虫仍是最主要的攻击方式，但其占比有所下降，针对API业务的攻击手段类型整体趋于多样化。
网宿科技副总裁、首席安全官吕士表指出，API访问环境越发开放、通过API流转的数据价值水涨船高，使得API攻击趋势走高，而当前API业务增速与防护能力之间存在错位，只依靠基于规则的应用漏洞攻击防护已经无法有效应对，行业亟需强化综合防控体系。
对此，网宿安全实验室建议企业采用能够自动化发现API、检测API访问行为，支持API全生命周期管理的高级API防护产品，并在此基础上向WAAP（云Web应用程序和API保护）方案演进。
主机威胁隐匿度提升，软件供应链安全亟需组合拳
《报告》对2021年主机入侵事件分析发现，针对主机的攻击者大规模使用了隐藏进程（检出率59%）、伪装恶意定时任务（检出率78%）、Rootkit等技术，用以规避异常行为检测，这意味着主机安全威胁隐匿度提升，将对主机入侵检测能力提出更高要求。
此外，据网宿安全平台监测，由Apache Log4j2远程代码执行漏洞引起的入侵事件占到了全部主机安全入侵事件总数的近一半。
吕士表指出，“Log4j2安全漏洞引发的大震荡，折射出软件供应链安全风险正在加剧。事实上，随着全球产业数字化提速，企业对于开源软件的依赖日益提升，任何一个比较底层的开源组件出现漏洞，都将造成‘攻其一点，伤及一片’的广泛影响。” 
此形势下，组合拳成为防护趋势。具体的策略上，网宿安全实验室建议可以通过资产发现、漏洞检测、Web应用防护产品提供的虚拟补丁等手段，在漏洞曝光初期拦截针对该漏洞的利用行为，在应用开发阶段可以采用软件成分分析（SCA）技术，避免应用带病上线。
《报告》最后提到，疫情催化以及远程办公、业务上云、攻击防御的实践不断深入，使得企业对零信任架构的态度从观望走向加速落地部署，而此过程中，随着企业对安全功能的整合、对策略及控制台的集成提出要求，将带动对SASE的需求。
SASE的关键技术包含SD-WAN、防火墙即服务(FWaaS)、云访问安全代理(CASB)、安全Web网关(SWG)、以及零信任网络访问(ZTNA)。Gartner预测，到2024年，30%的企业将采用云交付的SWG、CASB、ZTNA和FWaaS功能，2020年这一比例还不到5%。
“SASE代表了行业方向，能否完整、成熟地支持上述各项关键功能将是厂商竞争的关键所在。”吕士表表示。
据了解，此次《报告》为网宿科技连续第六年发布。值得一提的是，在帮助公众洞察安全态势的同时，网宿科技也始终聚焦前沿安全技术的研究，网宿安全凭借网宿安达SecureLink在业内率先实现了零信任产品化落地，近年来更持续进化“3+X”SASE能力，包括深化网络、安全、边缘计算能力，以及加速构建X能力开放平台。

第三十八届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。