过去十二个月期间,互联网安全格局发生了翻天覆地的变化。地缘政治的不确定性,加上 2024 年全球多个国家/地区举行选举活动,导致互联网上的恶意流量活动大幅增加。在本报告中我们将了解 Cloudflare 对互联网应用程序安全的看法。
本报告是我们的第四版应用安全报告,也是对我们 2023 年第二季度报告的正式更新。本报告新增了一个章节,专注于 Web 应用环境中的客户端安全。
本报告讨论了各种洞察。从全球角度来看,整个网络上被缓解流量目前平均占 7%,其中一半以上来自 WAF 和机器人缓解。虽然 DDoS 攻击仍然是针对 Web 应用的头号攻击手段,但针对性的 CVE 攻击也值得关注,因为我们已经看到,有漏洞在概念验证发布后短至 22 分钟内就遭到利用。
机器人方面,我们观察到的所有流量中,大约三分之一是自动化的,其中绝大多数(93%)不是来自 Cloudflare 已验证清单中的机器人,可能存在恶意。
API 流量仍在增长,现在占到所有流量的 60%,也许更令人担忧的是,多达四分之一的 API 端点没有得到正确统计和管理。
我们还会讨论客户端安全,以及 Web 应用第三方集成的激增。根据 Page Shield 数据,企业站点平均集成 47 个第三方端点。
自上一版报告发布以来,作为数据和洞察来源,我们的网络已变得更大、更快:我们现在平均每秒处理 5700 万个 HTTP 请求(同比 +23.9% ),峰值时每秒处理 7700 万个请求(同比 +22.2%)。从 DNS 的角度来看,我们每秒处理 3500 万个 DNS 查询(同比 +40%)。这个数字包括我们基础设施提供的权威和解析器请求的总和。
或许更值得一提的是,在 2024 年第一季度,Cloudflare 每天平均拦截了 2090 亿个网络威胁(同比 +86.6%)。同比增幅相当可观。
一如既往,在深入讨论前,我们需要定义有关术语。
定义
本文中,我们将使用如下术语:
**缓解流量:**指由 Cloudflare 平台应用了“终止”操作的任何终端 HTTP 请求。其中包括以下操作:
BLOCK
、CHALLENGE
、JS_CHALLENGE
和MANAGED_CHALLENGE
。这不包括应用了以下操作的请求:LOG
、SKIP
、ALLOW
。它们在请求中所占比例也相对较小。此外,我们改进了有关CHALLENGE
类型操作的计算,以确保只有未解决的质询才视为被缓解。有关这些操作的详细说明,请参阅我们的开发人员文档。这与去年的报告相比没有变化。机器人流量/自动化流量: 被 Cloudflare Bot Management 系统确认由机器人产生的任何 HTTP* 请求。包括机器人分数在 1-29 (含)的请求。与去年的报告相比,这一点没有改变。
API 流量: 任何响应内容类型为 XML 或 JSON 的 HTTP* 请求。在响应内容类型不可用的情况下,例如对于缓解请求,则使用等效的 Accept 内容类型(由用户代理指定)。在后一种情况下,API 流量不会被完全计算在内,但它仍然为获得洞察的目的提供了一个很好的代表。
除非另有说明,本文评估的时间范围为 2023 年 4 月 1 日至 2024 年 3 月 31 日(含)。
最后,请注意,这些数据仅根据在 Cloudflare 网络上观察到的流量计算,不一定代表整个互联网的 HTTP 流量模式。
*文中的 HTTP 流量包括 HTTP 和 HTTPS。
全球流量洞察
平均每日缓解流量占比增加到接近 7%
与前 12 个月相比,在 2023 年第二季度至 2024 年第一季度期间,Cloudflare 在应用层流量和第 7 层(L7) DDoS 攻击中的缓解流量占比从 6% 上升到 6.8%。
**图 1:**过去 12 个月内缓解 HTTP 流量百分比增长
在大规模全球攻击事件期间,我们可以观察到缓解流量激增,在所有 HTTP 流量中占比接近 12%。这些峰值比我们在整个网络中观察到的任何峰值都要大得多。
WAF 和机器人缓解占所有缓解流量的 53.9%
随着 Cloudflare 平台继续公布更多信号以识别潜在的恶意流量,客户一直在 WAF 自定义规则中积极地利用这些信号来改善安全态势。示例信号包括我们的 WAF Attack Score(用于识别恶意有效负载),以及我们的 Bot Score(用于识别自动流量)。
在 WAF 和机器人缓解之后,HTTP DDoS 规则是缓解流量的第二大来源。IP 声誉(使用我们的 IP 威胁评分来阻止流量)和访问规则(即简单的 IP 和国家阻止)分别位居第三和第四。
图 2:按 Cloudflare 产品组别划分的缓解流量
CVE 在概念验证发布后快至 22 分钟遭到利用
Zero-day 利用 (也称为 zero-day 威胁)正在增加,已披露 CVE 武器化的速度也在加快。 2023 年,有 97 个 zero-day 漏洞被 在野外被利用,同时,2022 年至 2023 年间,披露 CVE 的数量增加了 15%。
就针对客户的 CVE 利用尝试而言,Cloudflare 主要观察到扫描活动,其次是命令注入,以及一些已披露概念验证的漏洞的利用尝试,包括 Apache CVE-2023-50164 和 CVE-2022-33891 、Coldfusion CVE-2023- 29298、CVE-2023-38203 和 CVE-2023-26360,以及 MobileIron CVE-2023-35082 。
CVE 利用尝试活动的这一趋势表明,攻击者首先瞄准最容易的目标,而鉴于围绕老漏洞的持续活动,在某些情况下可能取得成功。
例如,3 月 4 日 19:45 UTC,Cloudflare 观察到对 CVE-2024-27198(JetBrains TeamCity 身份验证绕过)的利用尝试,距离概念验证代码发布仅 22 分钟。
**图 3:**JetBrains TeamCity 身份验证绕过漏洞时间线
已披露 CVE 被利用的速度超过人类创建 WAF 规则或创建和部署补丁以缓解攻击的速度。对我们维护 WAF 托管规则集的内部安全分析团队而言同样如此。因此,我们将人工编写特征与基于 ML 的方法相结合,以实现低误报率和响应速度之间的最佳平衡。
当我们专注于 CVE 类别的一个子集时,来自特定威胁行为者的 CVE 利用活动清晰可见。例如,如果筛选远程代码执行(RCE)产生的 CVE,我们可以看到,在 2023 年底和 2024 年初有利用 Apache 和 Adobe 安装的明显尝试,以及今年 5 月针对 Citrix 的一场重大活动。
**图 4:**全球范围涉及代码执行 CVE 的每日请求数
当关注其他 CVE 或特定攻击类别时,也能清晰地看到类似的趋势。
DDoS 攻击仍然是针对 Web 应用的最常见攻击
DDoS 攻击仍然是针对 Web 应用的最常见攻击类型,在报告考虑期间缓解的所有应用流量中,DDoS 攻击占 37.1%。
**图 5:**HTTP DDoS 攻击容量随时间变化的趋势
我们发现容量耗尽攻击在 2024 年 2 月和 3 月大幅增加。这在一定程度上是由于我们的团队部署了改良的检测手段,以及攻击活动有所增加。仅在 2024年第一季度,Cloudflare 的自动防御就缓解了 450 万次独特的 DDoS 攻击,相当于我们在 2023 年缓解 DDoS 攻击总数的 32%。具体而言,应用层 HTTP DDoS 攻击同比增长 93%,环比增长 51%。
Cloudflare 根据事件开始和结束时间以及目标来关联和定义独特的攻击活动。
DDoS 攻击的动机各不相同,有的是针对特定组织以牟取利益(勒索),有的是测试僵尸网络的能力,还有的是出于政治原因而针对特定机构和国家。比如,据 Cloudflare 观察,2024 年 3 月 7 日瑞典加入北约后,针对瑞典的 DDoS 攻击激增了 466%。这与 2023 年芬兰加入北约期间观察到的 DDoS 模式如出一辙。DDoS 攻击本身的规模也在不断扩大。
2023 年 8 月,Cloudflare缓解了一次超大规模的 HTTP/2 Rapid Reset DDoS 攻击,峰值达到每秒 2.01 亿个请求—— 是此前观察到的任何攻击的 3 倍。在这次攻击中,威胁行为者利用了 HTTP/2 协议中的一个 zero-day 漏洞,该漏洞有可能瘫痪几乎任何支持 HTTP/2 的服务器或应用。这凸显了 DDoS 漏洞对未受保护的组织有多大威胁。
游戏和泛娱乐行业成为 DDoS 攻击的最主要目标,其次是互联网科技公司和加密货币挖矿。
**图 6:**Cloudflare 观察到的最大 HTTP DDoS 攻击(按年)
机器人流量洞察
Cloudflare 继续大力投资建设我们的机器人检测系统。在 7 月初,我们隆重推出 AIndependence,旨在帮助为内容创作者维护一个安全的互联网,提供一个全新的“简易按钮”来阻止所有 AI 机器人。它适用于所有客户,包括免费计划客户。
其他辅助性系统也取得了重大进展,例如我们的 Turnstile 产品。这是一个用户友好、保护隐私的 CAPTCHA 替代方案。
所有这些系统和技术帮助我们更好地识别和区分人类流量和自动机器人流量。
平均而言,机器人占所有应用流量的三分之一
Cloudflare 处理的所有应用流量中有 31.2% 是机器人流量。这个比例在过去三年中一直相对稳定,徘徊在 30% 左右。
“机器人流量”一词可能带有贬义,但实际上机器人流量不一定是好是坏;它完全取决于机器人的用途。一些机器人是“善意的”,执行所需的服务,例如客户服务聊天机器人和授权的搜索引擎爬虫。但一些机器人滥用在线产品或服务,需要予以阻止。
不同的应用所有者可能对他们认为的“恶意”机器人有不同的标准。例如,一些组织可能希望阻止竞争对手为降低价格而部署的内容抓取机器人,而一个不销售产品或服务的组织则可能不那么关心内容抓取活动。Cloudflare 将已知、善意的机器人归类为“经验证机器人”。
我们发现的机器人中有 93% 是未经验证的机器人,并可能是恶意的
未经验证的机器人通常是为破坏性和有害目的而创建的,例如囤积库存、发动 DDoS 攻击或试图通过暴力破解或凭据填充方式接管帐户。已验证机器人是已知安全的机器人,例如搜索引擎爬虫。Cloudflare 的目标是验证所有主要的合法机器人运营者。您可以在我们的文档中找到所有经验证机器人的列表。
利用机器人的攻击者主要关注那些可能为他们带来巨大财务收益的行业。例如,消费品网站经常成为囤积库存、竞争对手运作的价格抓取或旨在利用某种套利机会的自动应用(例如限量球鞋抢购机器人)的目标。此类滥用会对目标组织造成重大的财务影响。
**图 8:**机器人流量每日占比中位数最高的行业
API 流量洞察
消费者和最终用户期待动态的 Web 和移动体验——而这些体验是由 API 驱动的。对于企业来说,API 提供了竞争优势——更强的业务智能、更快的云部署、整合新的 AI 能力,等等。
然而,API 通过为外部方提供额外的攻击面(以访问应用和数据库)而引入新风险,这些攻击面也需要加以保护。因此,我们观察到的许多攻击现在首先针对 API 端点,而不是传统 Web 界面。
额外的安全问题当然不会减慢 API 优先应用的采用。
60% 的动态(不可缓存)流量与 API 有关
与去年的报告相比,增加了 2 个百分点。在这 60% 攻击,平均约 4% 是由我们的安全系统缓解的。
图 9:缓解 API 流量占比
1 月 11-17 日出现明显大幅增长,期间的流量份额增加了近 10%。这是因为特定客户区域接收了被 WAF 自定义规则缓解的攻击流量。
通过深入研究 API 流量的缓解来源,我们发现 WAF 是最大的贡献者,因为标准的恶意有效负载通常同时适用于 API 端点和标准 Web 应用。
**图 10:**按产品组别分的缓解 API 流量
四分之一的 API 是“影子 API”
您无法保护看不到的东西。而且许多组织缺乏准确的 API 清单,即便他们相信自己可以正确识别 API 流量。
通过使用我们的专有机器学习模型(它不仅扫描已知的 API 调用,还扫描所有 HTTP 请求,以识别可能未被考虑的 API 流量),我们发现组织拥有的公共 API 端点比他们知道的多 33%。这个数字是中位数,它是通过比较通过基于机器学习的发现和根据客户提供的会话标识符检测到的 API 端点的数量计算得出的。
这表明近四分之一的 API 是“影子 API”——可能没有得到适当的盘点和保护。
客户端风险
大多数组织的 Web 应用依赖于来自第三方提供商的不同程序或代码片段(通常用 JavaScript 编写 )。使用第三方脚本可加速现代 Web 应用的开发,并允许组织更快地将功能推向市场,而无需自行构建所有新的应用功能。
使用 Cloudflare 的客户端安全产品 Page Shield,我们可以了解互联网上使用的第三方库的流行程度,以及它们对组织构成的风险。鉴于近期影响了超过十万个站点的 Polyfill.io 事件,这变得非常重要。
企业应用平均使用 47 个第三方脚本
Cloudflare 的典型企业客户平均使用 47 个第三方脚本,中位数为 20 个。由于 SaaS 提供商的原因,平均值远高于中位数,后者通常有数千个子域,可能全部使用第三方脚本。以下是 Cloudflare 客户通常使用的一些主要第三方脚本提供商
Google (Tag Manager,Analytics,Ads,Translate,reCAPTCHA,YouTube)
Meta (Facebook Pixel,Instagram)
Cloudflare (Web Analytics)
jsDelivr
New Relic
Appcues
Microsoft (Clarity,Bing,LinkedIn)
jQuery
WordPress ( Web Analytics,托管插件)
Pinterest
UNPKG
抖音
Hotjar
第三方软件依赖虽然有用,但它们通常由最终用户的浏览器直接加载(即在客户端加载),使组织及其客户面临风险,因为组织无法直接控制其安全措施。例如,在零售领域,根据 Verizon 的 2024 年数据泄露调查报告,18% 的数据泄露事件源自 Magecart 式攻击。
企业应用程平均连接到近 50 个第三方
将第三方脚本加载到您的网站会带来风险,尤其是当该脚本“回调”以提交数据并执行预期功能时。一个典型的例子是 Google Analytics:每当用户执行操作时,Google Analytics 脚本会将数据提交回 Google 服务器。我们将这些操作称为连接。
平均而言,每个企业网站连接到 50 个独立的第三方目的地,中位数为 15 个。每一个此类连接也会带来潜在的客户端安全风险,因为攻击者经常会利用它们在不知不觉中泄露更多数据。
以下是 Cloudflare 客户最常用的一些第三方连接:
Google (Analytics, Ads)
Microsoft (Clarity,Bing,LinkedIn)
Meta (Facebook Pixel)
Hotjar
Kaspersky
Sentry
Criteo
tawk.to
OneTrust
New Relic
贝宝
展望未来
本应用安全报告也提供 PDF 格式,其中包含有关如何解决所提出的许多问题的其他建议,以及其他见解。
我们还在 Cloudflare Radar 上发布许多带有动态图表的报告,使其成为了解互联网最新状态的理想资源。