Cloudflare 2024应用安全报告总结

Cloudflare最近发布了2024年版的应用安全报告，提供了关于解决当前安全问题的建议和洞察。报告的一个关键发现是恶意流量的增加，这主要是由于地缘政治事件和选举季节的驱动。

主要观点

1. 恶意流量增加：全球范围内，Cloudflare网络中的缓解流量平均达到7%，其中WAF（Web应用防火墙）和Bot缓解措施占了一半以上。DDoS攻击仍然是针对Web应用的主要攻击手段，但CVE（通用漏洞披露）攻击也值得关注，尤其是在PoC（概念验证）发布后22分钟内就观察到了利用尝试。
2. 客户端安全：今年的报告新增了一个专注于Web应用客户端安全的章节，分析了第三方库及其对组织带来的风险。例如，近期发生的Polyfill.io供应链攻击就是一个典型案例。
3. 零日漏洞增加：2023年共披露了97个零日漏洞，较2022年增长了15%。Cloudflare观察到的主要活动包括扫描、命令注入以及对已知漏洞的利用尝试。
4. HTTP请求和DNS查询增长：Cloudflare目前每秒处理5700万次HTTP请求，同比增长23.9%，峰值达到每秒7700万次请求，同比增长22.2%。此外，Cloudflare每秒处理3500万次DNS查询，同比增长40%。

关键信息

• CVE利用速度：CVE的利用速度可能比人类创建WAF规则的速度更快。例如，CVE-2024-27198（JetBrains TeamCity认证绕过漏洞）的利用尝试在PoC代码发布后仅22分钟就被观察到。
• Bot活动：93%的Bot未经验证，可能是恶意的。不同应用所有者对“坏”Bot的定义不同，例如，一些组织可能希望阻止竞争对手用于价格战的内容抓取Bot，而其他组织可能对此不关心。
• 第三方脚本：典型的Cloudflare企业客户平均使用47个第三方脚本，中位数为20个。主要的第三方脚本提供商包括Google（Tag Manager、Analytics、Ads等）、Meta（Facebook Pixel、Instagram）和Cloudflare（Web Analytics）。

重要细节

• 超大规模DDoS攻击：2023年8月，Cloudflare和其他提供商成功缓解了一次超大规模的HTTP/2 Rapid Reset DDoS攻击，其规模是之前观察到的最大攻击的三倍。
• Page Shield数据：通过Cloudflare的客户端安全产品Page Shield，报告分析了第三方库的风险，强调了供应链攻击的威胁。

结论

2024年的应用安全报告揭示了互联网安全格局的显著变化。地缘政治事件和选举季节驱动的恶意流量增加，使得应用安全变得更加重要。报告建议组织密切关注CVE、Bot活动以及第三方脚本带来的风险，并采取相应的安全措施。

完整报告可在Cloudflare官网和Cloudflare Radar上获取。