产品介绍：

绿盟下一代WEB应用防护系统，从WEB应用及API出发，基于用户面临的Web漏洞利用、资源滥用、资源访问控制等多方威胁，提供包含DDoS防护、Bot流量管理、WAF、API防护于一体的协同解决方案，升级整体安全架构，保障企业用户的Web应用安全、业务安全、数据安全，为用户提供端到端的全面防护。

方案横向扩展覆盖数字变革下的全新服务提供场景，对外解决身披“合法身份”进行账号接管、黄牛党、薅羊毛这些引发敏感数据泄露、业务过载，以及造成的客户经济、声誉双重受损的问题；对内帮助客户梳理API资产，分类安置，基于不同的API类型，按行为、按上下文逻辑，在合规检测的基础上、解决API控制、防护等多方面问题。同时，方案组合后，还具备攻击意图分析，攻击行为分析等能力，全面评估业务系统网络、业务安全风险。

纵向延伸DEVOPS及云化带来的环境变更，识别新需求，跟进新难点，保持前瞻性。适配最新服务网格架构，轻量级、无感知，融入微服务应用，安全防护贯穿南北与东西。落地DevSecOps供应链安全，与SCA等组件审计配合，增加全量的API调用，支持接收防护组件的名称、版本，从而生成对应的精准防护能力。

技术突破

一、云原生安全能力：

1．与服务网格高度兼容并赋予安全防护能力

服务网格为微服务的治理框架，采用四层及七层代理容器以边车的方式运行在微服务旁，通过一定的策略管理，服务网格可接管微服务的流量治理、监控及追踪甚至具备一定的基础防护能力，云原生WAF以轻量级安全伴生容器的方式透明注入至微服务中，并随着微服务资源的变化而变化，不仅可与现有服务网格治理框架高度兼容，也能进一步提升服务网格在流量侧的安全防护能力。

此外，将安全容器注入微服务中还能带来一些额外的优势：

a)  爆炸半径更小 — 爆炸半径仅限于一个微服务，即使安全容器因各种因素停止运行，由于安全容器于微服务内部运行，因而不会影响其他业务的正常运行。

b)  代理维护成本低 — 利用容器编排工具现有的滚动升级更新、灰度发布等机制，无需额外进行开发维护。

c)  安全边界更清晰 — 安全容器仅对位于同一微服务中的业务应用进行防护，与应用具有相同的IP地址。

d)  代理资源消耗依赖应用负载自身的变化 — 传统WAF可能会存在不同站点流量抢夺的问题，即若有站点占用了较高的流量，消耗了WAF的所有资源，则其他站点流经的恶意流量将不会被处理，导致WAF无法正常工作，云原生WAF可通过配置微服务资源消耗占比有效应对此场景。

e) 容器级别的隔离防护 — 安全容器的方式可以让内核在容器级别执行所有的安全防护能力

2．基于微服务粒度的安全防护能力

云原生WAF的防护粒度从传统的基于站点转向基于微服务场景下的一个个服务，并且可支持针对不同的服务下发不同的策略，做到策略和服务的灵活分配，安全能力更能适应云原生灵活多变的场景。

3．精简的WAF容器

WAF容器经过精心设计，相比于传统的WAF系统盘（2-3G）在大小上缩减为仅200M的Docker镜像，能充分适应云原生轻量化的特性。

4．基于全流量防护能力

传统WAF常以API网关的形式部署在业务系统边界处，仅能处理南北向流量，而微服务场景下，API交互除了来自系统外部，还来自系统内部的服务与服务之间，相比于传统WAF，云原生WAF还可以处理东西向流量，因此可以满足基于微服务的全流量防护的能力。

5．针对加密流量的处理能力

针对加密请求，云原生WAF可透明地卸载服务端证书，确保流量经过WAF前已经过妥善处理。

二、针对于自动化（bot）攻击的意图分析能力：

意图分析是通过 bot 类型以及客户业务类型输出的针对于攻击者意图的研判，旨在进一步解决客户常规安全产品难以输出业务侧风险结论的挑战，将场景化的业务操作对应成方案的安全能力，以业务资产的视角来分析安全设施为客户实际带来的使用价值，提供定制化的检测结果，明确标识攻击者身份意图，具备攻击路线记录、攻击时间线概览、业务所受影响统计等能力，将不可见的网络流量，可视化成量化指标，帮助客户将安全  能力转变为实际的业务价值。

此外，结合NLP（Natural Language Processing，自然语言处理）技术及机器学习技术，对客户资产进行业务类型的智能化分类识别，简化客户业务类型配置过程，扩大意图分析的应用场景。

应用案例

目前市场推广情况反映良好，依据绿盟下一代WEB应用防护系统中立足API安全的能力覆盖与深化，基于云原生架构的技术融合、DevSecOps安全左移理念的落地，不断的接收到金融、运营商、能源、互联网行业用户的详细咨询，已与数十家客户进行了售前方案交流，目前测试环境部署超过5家、预计2022年落地多个样板间并带来超过千万级收入。

一、基于方案在各行业覆盖的应用场景，切实解决企业用户关注的安全问题，例如：

1、金融行业：提供API资产识别梳理管控，基于生成的API基线，提供非法API调用防护，API接口滥用识别处置，API流量异常监控告警。全面助力开放银行，拥抱API经济业务场景发展。

2、运营商行业：辅助监管机构，严厉打击黑灰产团伙批量开卡行为，打击网络诈骗行为；解决营销活动薅羊毛、撞库、扫号、恶意注册所带来的声誉下降及经济损失。支撑重保、HVV等重大安全演练，有效进行策略布防，溯源反制；

3、科教文卫：降低基础设施运作成本，有效解决民生就医问题，黄牛党自动化抢号（医疗）、医患个人敏感信息爬取；防患教学资源爬虫，解决黑灰产组织通过各种非法媒介贩卖师生信息，有效降低高校面临的声誉风险。

二、通过1个标杆案例进行推广效果介绍——国网XX电力业务安全风险防护体系建设：

1、客户业务系统面监的主要风险：

（1）省级微信公众号：

与各渠道接口可能成为网络攻击的入口或跳板；

拉新引流等各类营销活动可能被黑灰产薅羊毛等；

存在可绕过的验证，导致短信炸弹或客户敏感信息泄露；

小额大量频繁交易导致拒绝服务或公司手续费、短信费剧增；

（2）省级智慧能源服务平台、绿色国网、车联网：

CPS终端、充电桩可能成为网络攻击入口；

第三方服务商网络安全漏洞影响公司网络；

（3）营销业务应用系统、用电信息采集系统：

营销内网最重要的两大系统，与其他系统接口最多，易受其他系统影响发生信息安全事件；

存储了营销大部分数据，应注意防范内部人员信息泄露或被攻击发生数据库拖库等安全事件；

2、提供的方案能力：

（1）业务资产梳理：

全面梳理营销相关业务的API资产

发现隐藏API和僵尸API

对API进行分类并按需管理

（2）安全漏洞与风险：

资产暴露面脆弱性  

漏洞发现、错误配置、特性利用

数据泄露、逻辑缺陷

不合规使用/访问

（3）业务画像：

账号、IP等资产进行画像

对重点账号、IP的操作进行细粒度审计

（4）自动化风险与管理：

人机识别

异常行为检测

处置响应

（5）攻击者画像：

客户端画像：人机、工具、行为特征

意图分析：攻击者目的研判

（6）业务风险发现：

内置风险场景

自定义风险场景

风险关联

（7）业务风控规则模型库：

异常注册/登陆

业务逻辑漏洞

业务行为异常等常见的

3、客户侧效果展示：

（1）风险异常分析

提供针对风险异常的快速预警和排查能力，通过预置和自定义各类监控指标，及时发现可疑高风险事件和违规操作行为。采用基于行为历史的自学习方法，建立用户行为基线，智能化分析识别。

（2）快速定位溯源

根据详细的业务风控日志和事件记录，还原出业务请求和响应结果，绘制业务访问路径，评估影响面，提供溯源定位能力。

（3）大数据智能图表

融合了实时/离线计算、神经网络、机器学习、知识图谱等技术，通过大数据分析建模实现对业务安全事件、风险行为的多维监测与展示，支持多种自定义指标和展示风格，满足业务定制化需求。