最近， 网宿科技 旗下网宿安全正式发布《2023年互联网安全报告》（下称《报告》）。《报告》显示，2023年，网宿安全平台监测到的全球Web应用程序攻击数量达到7309亿次，同比增长30%，Web应用多维度风险持续上升。同时，生成式AI的兴起也增加了 网络安全 的不确定性与复杂性。

　　此次《报告》为企业给予了应对指南，建议企业尽早通过建设WAAP防护体系架构，并结合自身安全风险管理的实际诉求，构建符合现代Web安全要挟态势的整体安全方案。

　　Web应用多维度风险上升

　　根据《报告》，2023年应用层DDoS攻击次数达4500亿次，同比增长26%，其中，针对境外目标的DDoS攻击同比增长了近220%，或与企业出海趋势相关；同时，Web应用漏洞利用攻击为416亿次，同比增长8%。另外，电商、文旅行业所遭受到的恶意Bot攻击达到了462亿次，占全平台Bot请求数比例为22%，相比2022年的170亿、10%分别增长了172%、120%。

　　在攻击体量持续高涨的同时，新型攻击要挟也雨后春笋。从攻击手法来看，据网宿安全平台数据，2023年针对API的攻击占比上升到了63%，《报告》推测这一比例的增长源于生成式AI在 网络安全 和入侵攻击方面的应用得到了普及。

　　“生成式AI在提升效率的同时，也会成为攻击者武器库的一部分。生成式AI能够让现有攻击更隐蔽、逃避检测，同时还能生成攻击代码，让自动化的攻击和漏洞利用的效率变得更高。”网宿安全顶级总监胡钢伟介绍。

　　对于如何防范生成式AI要挟，安全牛分析师王剑桥在会上表示，作为防守方，要做到以不变应万变，防护好风险点，一是主动做好安全意识培训，提升内部员工的防范意识；二是及时查漏补缺，减少风险袒露点；三是变单点防护为全面防护，联动更多安全组件，全面识别风险。

　　胡钢伟认为，防范生成式AI造成的要挟应回归安全的本质，单点防护已经失灵，企业应该构建体系化主动安全。体系化主动安全包含几个核心，首先风险管理是基础，其次企业要完善自身体系化安全的建设，最后，企业可以将AI赋能到防守和安全运营方面，提升防护效率。

　　据了解，网宿安全已将AI能力赋能到整体防护能力上，其中较为典型的应用场景是Bot智能识别，基于AI的智能识别已经贡献了超40%的Bot识别率，而且这一比例还在上升。

　　建议尽早采用WAAP架构

　　在网宿安全看来，以往的WAF已经难以应对现代化Web应用的要挟趋势，Gartner提出的WAAP成为防护选择。WAAP通过集成Web应用防火墙、DDoS防护、Bot管理、API安全、要挟情报和自动化响应等安全功能，可以提供全面的要挟检测和防御体系。

　　此次《报告》，网宿安全结合自身在WAAP方面的实践经验，从顶层设计、全业务渠道接入、统一管理平台和API、数据驱动和AI应用、核心防护能力等方面提出了建议。

　　胡钢伟详细谈道，首先，建议针对企业在互联网Web应用所袒露出来的Web、H5、API、小程序等业务系统全部并入到WAAP架构保护范围之内。同时，针对这些防护对象所期望的DDoS防护、WAF、Bot防护、API保护等，建议采用统一的管理平台来管理这些防护组件。其次，在安全组件之间的协同处置和安全配置方面，建议采用一个统一的API实现自动化的处置和响应。最后，在平台的运营层面建议企业采用数据驱动的形式，同时将AI的能力应用到平台，不断提升整体的防护水位和运营效率。