金融机构、政务及央企国企、媒体资讯、电商零售网站、APP、API、小程序等,企业需要保护的互联网应用种类越来越多,以传统思路叠加多套安全防护,缺乏协同机制,造成运营工作繁琐、安全策略跟不上业务迭代、出现大量告警误报、漏报等问题,导致真正的风险被掩盖。

面对复杂威胁态势,德迅云安全全推出WAAP全站防护,并创新引入安全风险闭环管理,以体系化主动安全,全面提升Web安全防护效率与水位。

WAAP的定义
WAAP,即 Web Application and API Protection 的缩写,指Web应用程序与API保护。WAAP是一种综合性的多层防护解决方案,用于保护Web应用程序和API免受各种网络攻击,例如SQL注入、跨站脚本攻击、跨站请求伪造、撞库、爬虫、DDoS 攻击、API接口滥用等。WAAP可通过多层防护规则提供可靠、安全的Web应用程序和API保护平台,为企业业务连续性和数据安全保驾护航。

WAAP的构成
WAAP,作为多层防护解决方案,由以下四部分构成,分别是Web应用程序防火墙(WAF)、API保护、分布式拒绝服务攻击(DDoS)防御及Bot访问管理。.

WAAP的优势
聚合DDoS云清洗、Web攻击防护、业务安全、API安全、全站隔离5大模块,实现覆盖L3-L7层的全站防护

1、风险管理:在事前阶段,结合安全专家服务,帮助企业发现并收敛Web业务安全风险

  • 漏洞扫描
    通过漏洞扫描器对Web应用资产进行安全扫描,发现Web应用中存在的安全漏洞(OWASP TOP10、弱口令、CVE漏洞等);
  • 渗透测试
    派出安全专家,以黑客视角对目标系统进行非破坏性漏洞挖掘,清查目标系统潜在的安全隐患;
  • 智能化防护策略
    平台基于客户业务的智能化分析,可自动适配防护策略,实现开箱即用;
  • API资产盘点
    基于流量分析,帮助企业从流量数据中发现尚未掌握的API业务,形成API资产清单,为后续的防护工作做好资产盘点;
  • 互联网暴露面资产发现
    通过平台和人工服务的方式,对域名、IP及关键字的综合查询及关联分析,提供互联网资产的发现、识 别、监测、稽核等服务,帮助用户发现和梳理互联网资产;

2、全站防护:在事中阶段,从网络安全、应用安全、业务安全、API安全各层面,为Web应用提供全面安全防护闭环

  • DDoS防护
    秒级检测专利技术,在边缘实时清洗网络层DDoS攻击;
  • CC防护
    基于AI的流量行为分析技术,实现对应用层CC攻击的秒级检测及防御;
  • 业务安全
    针对业务层面,提供轻量化的信息防爬和场景化风控能力;
  • API安全
    针对API应用进行精细化的管理和防护,规避API滥用行为、防止数据泄露;
  • Web攻击防护
    覆盖OWASP Top10的各类Web攻击防护,基于CDN的分布式算力提供弹性防护和海量IP封禁,同时支持与源站本地防护联合决策提高防御精度;
  • 全站隔离
    基于远程浏览器隔离技术使网站源代码不可见,从而主动隐藏网站攻击面,同时结合混淆访问路径、加密交互内容等技术,实现对0day漏洞攻击的有效屏蔽;
  • 协同防护
    通过全站防护管理平台,对网络L3-L7层各防护模块的安全策略进行统一管理,并通过数据聚合、情报协同,形成真正的纵深防护,简化运营工作的同时进一步提升整体安全的防护水位。

3、安全运营:在事后阶段,以降低风险为目标,全站防护管理平台提供体系化的安全运营能力,帮助企业夯实全周期风险管理闭环

  • 全面的安全态势
    聚合各防护模块数据,以简洁、贴近业务的形式呈现,用户可总览web安全态势,主动感知和响应已知安全事件;
  • 持续优化的托管策略
    结合平台实战对抗经验和持续的攻防研究成果,管理平台持续提供推送更高质量的防护规则和策略建议,对业务防护策略进行优化,与黑产持续对抗;
  • 安全专家运营
    德迅云安全资深安全专家提供策略优化、应急响应、重保等专项安全服务,同时对客户风险的持续监测与防护管理。

image.png


德迅云安全_小娜
1 声望0 粉丝

引用和评论

0 条评论