Cloudflare 2023年第二季度应用程序安全报告

Cloudflare的全球网络在互联网上有着独有的优势，这些优势使得我们能够发现、探索及监测识别到一些可能会被忽视的关键趋势。正如今天和大家分享的这篇《应用程序安全报告》，在本报告中，涵盖了我们对互联网范围内的最新应用程序安全趋势的一些洞察及见解。

本篇报告是Cloudflare的《应用程序安全报告》的第三版。第一版于2022年3月发布，第二版于今年早些时候的3月份发布。

自上次报告发布以来，Cloudflare的全球网络已经发展至规模更大、速度更快：现在平均每秒可处理4600万个HTTP请求，峰值时可达6300万个。我们每秒持续处理大约2500万个DNS查询。每天大约有2.1万亿次DNS查询，每月大约有65万亿次查询。这是我们的基础结构所服务的权威请求和解析器请求的总和。结合所有HTTP和DNS请求，我们可以从中监测到大量恶意流量。仅聚焦HTTP请求，2023年第2季度，Cloudflare平均每天阻止1120亿次网络威胁，这些都是本篇报告中会和大家分享到的相关数据洞察。

不过，像往常一样，在深入讨论之前，我们需要先定义一下我们的术语。

定义

本文中，我们将会使用到如下术语：

·已缓解流量：经由Cloudflare平台被执行了“终止”操作的所有重点关注的HTTP 请求-其中包括以下操作：BLOCK、CHALLENGE、JS_CHALLENGE和MANAGED_CHALLENGE。但同时不包括执行了以下操作的请求：LOG、SKIP、ALLOW。与去年相比，我们现在排除了由DDoS缓解系统应用了CONNECTION_CLOSE和FORCE_CONNECTION_CLOSE操作的请求，因为从技术上讲，这些操作只会减慢连接初始化的速度。它们在请求中所占的比例也相对较小。此外，我们优化了有关CHALLENGE类型操作的计算，以确保只有未解决的质询才计入已缓解。如需操作的详细描述，请参阅我们的开发人员文档。

·机器人流量/自动化流量：被Cloudflare机器人管理系统识别为由机器人产生的所有HTTP 请求。包括机器人分数在1-29（含）之间的请求。与去年的报告相比，这一点没有改变。

·API流量：任何响应内容类型为XML或JSON的HTTP 请求。在响应内容类型不可用的情况下，例如对于缓解请求，则使用等效的Accept内容类型(由用户代理指定)。在后一种情况下，API流量不会被完全计算在内，但这一监测指标仍可为后续所解析出的相关洞察提供很有价值的参考作用。

（文中提及的内容所参考的评估时间范围是2023年4月到2023年6月（含）的3个月期间。除非另有说明。）

最后，请注意，这些数据仅根据在Cloudflare的全球网络上观察到的流量计算，不一定代表整个互联网的HTTP流量模式。

文中的HTTP流量包括HTTP和HTTPS。

全球流量洞察

每日缓解的流量稳定在6%，峰值期间达到8%

尽管从2021年到2022年，每日缓解的HTTP请求平均减少了2个百分点，达到6%，但在整个网络中可以清楚地看到在一些特定时间恶意活动频次有明显上升的趋势。下图显示了一个明显的例子：在临近2023年5月底期间，可以看缓解请求峰值达到近8%。这是和大型DDoS攻击事件和其他一些不遵循常规标准的每日或每周周期的网络活动相关，这也是在时刻提醒我们，大型恶意事件仍然可以在全球范围内产生较为明显的影响，即便在Cloudflare的全球网络规模上也是如此。

75%的已缓解HTTP请求被彻底阻止。与之前的报告相比，这一数字下降了6个百分点。大多数其他请求都可以通过各种CHALLENGE类型操作来缓解，其中受管理的质询约占该类别的20%。

加强防护：客户配置的自定义规则是已缓解流量的最大贡献因素

在之前的报告中，经由我们的自动化DDoS缓解系统所缓解的流量平均占到已缓解流量的50%以上。在过去的两个季度中，由于Cloudflare WAF的采用率不断增加，以及公司及组织很可能更好地配置了WAF规则、成功保护了其应用程序以免受无用流量的影响，我们观测到了一种新的趋势，通过Cloudflare WAF缓解的流量超过了DDoS缓解。大部分增长是由WAF自定义规则BLOCK而不是我们的WAF托管规则推动的，这表明这些缓解是经由客户针对业务逻辑或相关目的配置的规则生成的。从下图中可以清楚地看到这一点。

从图示中可以发现，与Cloudflare WAF缓解的总体流量相比，我们的WAF托管规则缓解流量（黄线）可以忽略不计，这也表明我们的客户正在采用更积极的安全模型，允许已知的良好流量，而不是仅仅阻止已知的不良流量。与此同时，本季度WAF托管规则缓解量也达到了每天15亿个请求。

当然，相对于WAF，我们容量巨大的DDoS缓解容量，以及与我们的DDoS第7层规则相匹配的流量也不应被低估，特别是考虑到我们所观察到网络上出现的许多新型攻击和僵尸网络。您可以在我们的第二季度DDoS威胁报告中深入了解最新DDoS攻击趋势。

从已缓解流量的来源汇总来看，WAF目前约占所有缓解流量的57%。下面的表格中汇总了其他来源，可供参考。

应用程序所有者越来越依赖基于地理位置的阻止规则

鉴于客户定义的WAF规则所缓解的流量有所增加，我们认为，更深入地了解客户正在阻止哪些内容以及他们是如何做到这一点的，将会很有意义。为此，我们审查了WAF自定义规则中的规则字段使用情况，以识别常见主题。当然，数据需要正确解读，因为由于合同和方案级别的不同，并非所有客户都可以访问所有字段，但我们仍然可以根据字段“类别”做出一些推论。通过审查整个网络中部署的全部约700万条WAF自定义规则并仅关注主要分组，我们得到以下字段使用情况分布：

值得注意的是，在所有已部署的WAF自定义规则中，40%使用与地理位置相关的字段来决定如何处理流量。这是一种常用技术，用于实施业务逻辑或排除预计不会产生流量的地区，并有助于减少攻击面。虽然这些都是相对粗略的控制策略，不太可能阻止“经验丰富”的攻击者，但它们仍然可以有效地减少攻击面。

另一个值得注意的观察结果是，11%的WAF自定义规则中使用了机器人管理相关字段。随着越来越多的客户采用基于机器学习的分类策略来保护其应用程序，这个数字随着时间的推移而稳步增加。

旧CVE仍被大量利用

HTTP异常仍然是WAF托管规则拦截的最常见攻击类别，占WAF托管规则总体缓解流量的约32%。SQLi上升到第二位，超过了目录遍历，二者分别占12.7%和9.9%。

如果我们看回2023年4月初时的情况，就会发现DoS类别远远超过HTTP异常类别。DoS类别中的规则是WAF第7层HTTP签名，这些签名足够具体，可以匹配（并阻止）单个请求，而无需查看交叉请求行为，并且可以追溯到导致拒绝服务(DoS)的具体僵尸网络或有效负载。通常（就像这里的情况一样），这些请求不是“分布式”攻击的一部分，因此在类别名称中没有代表“分布式-Distributed”的第一个“D”。

缩小范围并仅基于DoS类别进行过滤，我们发现大部分已缓解流量可归因于一条规则：100031/ce02fd…（分别为旧WAF和新WAF规则ID）。此规则的描述为“Microsoft IIS-DoS，Anomaly:Header:Range-CVE:CVE-2015-1635”，属于可追溯到2015年的CVE，该CVE影响了许多Microsoft Windows组件，可导致远程代码执行 。这是一个很好的提醒，旧的CVE，甚至是8年多以前的CVE，仍然被积极利用来危害可能未打补丁且仍在运行易受攻击软件的计算机。

由于规则分类的原因，一些特定于CVE的规则仍被分配到更广泛的类别，如本示例中的DoS。只有当攻击有效负载与其他更通用的类别没有明显重叠时，才会将规则分配到CVE类别中。

另一个有趣的观察结果是，从6月份开始，“失效身份验证”规则匹配数有所增加。这一增长还归因于我们所有客户（包括我们的Free方案用户）部署的一条规则：“Wordpress-Broken Access Control,File Inclusion”。此规则会阻止对wp-config.php-WordPress默认配置文件的访问尝试，该文件通常位于Web服务器文档根目录中，但永远不应该通过HTTP直接访问。

同样，CISA/CSA最近发布了一份报告，重点介绍了2022年最常被利用的漏洞。我们借此机会探讨CISA报告中提到的每个CVE在Cloudflare自身数据中的反映情况。CISA/CSA讨论了恶意网络攻击者在2022年经常利用的12个漏洞。然而，根据我们的分析，CISA报告中提到的两个CVE造成了我们在全网看到的绝大多数攻击流量：Log4J和Atlassian Confluence代码注入。我们的数据清楚地表明，前两名与列表中的其余成员之间的漏洞利用量存在重大差异。下图根据我们的日志比较了CISA列表中前6个漏洞的攻击量（以对数刻度）。

机器人流量洞察

Cloudflare的机器人管理继续获得重大投资，因为添加了JavaScript Verified URL以更好地防御基于浏览器的机器人，Detection ID现在可在自定义规则中使用，以实现额外的可配置性，以及改进了UI以简化入门。对于自助服务客户，我们添加了“跳过”Super Bot Fight模式规则的功能以及对Wordpress Loopback请求的支持，以更好地与客户的应用程序集成并为他们提供所需的保护。

我们对机器人管理分类输出仍然充满信心。如果我们在分析的时间范围内绘制机器人分数图，我们会发现一个非常清晰的分布，大多数请求要么被归类为“肯定是机器人”（得分低于30分），要么被归类为“肯定是人类”（得分高于80分），大多数请求的实际得分低于2分或高于95分。这相当于在同一时间段内，33%的流量被归类为自动化流量（由机器人生成）。在较长一段时间内，我们确实看到整体机器人流量百分比稳定在29%，这也反映了Cloudflare Radar上显示的数据。

平均来看，超过10%的未经验证机器人流量得到缓解

与上次报告相比，未经验证的机器人HTTP流量缓解目前呈下降趋势（下降6个百分点）。然而，WAF自定义规则中的机器人管理字段使用率不可忽视，占比达到11%。这意味着Cloudflare上部署了超过70万个WAF自定义规则，这些规则依赖机器人信号来执行某些操作。最常用的字段是cf.client.bot，它是cf.bot_management.verified_bot的别名，由我们经过验证的机器人列表提供支持，让客户能够区分“良性”机器人和潜在的“恶意”未经验证机器人。

Enterprise方案客户可以访问更强大的cf.bot_management.score，它可以直接访问根据每个请求计算的分数，该分数与上一节中用于生成机器人分数分布图的分数相同。

查看哪些Cloudflare服务正在缓解未经验证的机器人流量，上述数据也得到了验证。尽管我们的DDoS缓解系统会自动阻止所有客户的HTTP流量，但这仅占未经验证机器人缓解的13%。与之相对，WAF以及主要由客户定义的规则占此类缓解的77%，远高于报告开头讨论的所有流量的缓解情况(57%)。请注意，这里特别提到的机器人管理指的是我们的“默认”一键式规则，这些规则与WAF自定义规则中使用的机器人字段分开计数。

表格形式供参考：

API流量洞察

58%的动态（不可缓存）流量与API有关

Cloudflare观察到的API流量总体增长速度并未放缓。与上一季度相比，我们现在看到58%的总动态流量被归类为API相关流量。比第一季度增加了3个百分点。

我们对API Gateway的投资也呈现出类似的增长趋势。在上一季度，我们发布了几项新的API安全功能。

首先，我们推出了新的收件箱视图，使API Discovery更易于使用。API Discovery会清点您的API以防止影子IT和僵尸API，现在客户可以轻松过滤、仅显示API Discovery发现的新端点。通过API Discovery保存端点即可将它们放入我们的端点管理系统中。

之后，我们添加了仅在Cloudflare有在提供的全新API安全功能：通过客户端行为控制API访问的能力。我们称之为序列缓解。客户现在可以根据客户端访问的API路径的顺序，创建积极或消极的安全模型。您现在可以确保：只有访问应用程序的用户才能访问API，忽略正常应用程序功能而进行暴力尝试的人将无法访问API。例如，在银行应用程序中，您现在可以强制要求，只有在用户访问了账户余额检查端点之后，才能访问资金转账端点。

我们将会在2023年的下半年及之后持续发布更多的API安全和API管理功能。

65%的全球API流量是由浏览器生成的

在过去一个季度中，浏览器产生的API流量所占比例一直非常稳定。对于这一项统计，我们指的是那些不提供基于HTML内容的HTTP请求，这些内容将由浏览器直接呈现，无需进行一些预处理，例如那些通常称为AJAX调用的请求，这些请求通常会提供基于JSON的响应。

HTTP异常是API端点上最常见的攻击手段

与上一季度一样，HTTP异常仍然是API流量中被缓解次数最多的攻击手段。不过，SQLi注入攻击也不容忽视，约占缓解流量总量的11%，紧随其后的是XSS攻击，约占9%。

表格形式供参考（前5位）：

下一步

随着我们将《应用程序安全报告》改为每季度发布一次，我们还计划将通过一些新产品（例如Page Shield）所观测到的更多其他数据一并纳入以进一步加深和完善相关洞察及见解，以使我们能够看到HTTP流量之外的更多流量，并探索线上基于第三方因素的相关依赖性及影响。

我们保护整个企业网络，帮助客户高效构建互联网规模应用，加速任何网站或互联网应用，抵御DDoS攻击，阻止黑客，并为您的Zero Trust之旅提供协助。