从市场规模来看,未来WAAP将逐步替代WAF,成为Web应用安全市场主流产品,同时也将涵盖API安全等其它市场。
随着云原生和微服务架构的兴起,Web业务的部署和管理方式发生了巨大变化。以APP应用和小程序为代表的移动应用使用量骤增,物联网的高速发展也使得API端点激增,基于BOT的自动化攻击流量快速上升。这些变化都使得Web暴露面开始大幅增加,Web应用面临的风险与日俱增,传统的WAF越来越难以应对日益复杂的针对Web的网络攻击。在此背景下,新技术WAAP应运而生。
从市场规模来看,未来WAAP将逐步替代WAF,成为Web应用安全市场主流产品,同时也将涵盖API安全等其它市场。
IDC认为,WAAP是以WAF为核心,聚合API安全、机器人程序管理、抗DDoS等技术的安全解决方案。WAAP可以包括WAF、机器人程序管理、API安全、客户端保护和其他相关功能,但必须包括WAF功能才能被视为WAAP。
从调研来看,国内WAAP产品和解决方案仍处于早期阶段,行业能力平均值较低,未来市场将有很大的发展空间。
展望未来,IDC认为:
-
WAAP将面对越来越多的应用,利用大模型的能力,实现策略动态下发,针对不同网站,可以自动化生成最适合客户业务场景的防护策略,最大程度地降低误报和漏报,减少运营成本。
-
API的能力将持续加强,例如API分类分级管理、API生命周期管理、API流量成分与趋势分析、API脆弱性与风险漏洞检测等等。另外,API接口作为数据流转的主要通道,是敏感数据跨境传输的重要途径之一,因此,增强对敏感数据跨境合规的评估也非常重要。
-
IT架构的变化,越来越多企业上云,同时也有私有云和自建数据中心,因此WAAP的接入场景会愈发复杂。另外,对于WAAP提供商而言,接入能力也决定了对于客户流量的覆盖度。对于WAAP而言,多场景灵活部署和统一管控至关重要。
IDC中国研究总监王军民表示,随着企业数字化进程加速与微服务的流行,API流量与日俱增,对API的保护迫在眉睫。因此,API保护已经成为WAAP产品中的重要核心能力,WAAP提供商在持续加强WAF、抗CC类DDoS攻击、机器人管理外,需要持续加大在API保护方面的研发投入。另外,大模型能力应用于WAAP产品上,也将大大提升WAF、抗DDoS、机器人管理及API安全的能力,这或许将会给WAAP的安全防护能力带来颠覆性的提升。