Cloudflare的《2024年应用安全趋势报告》揭示了Web应用安全面临的挑战，特别是在DDoS攻击、机器人流量、零日漏洞（zero-day vulnerabilities）、第三方脚本和API安全等方面。报告指出，DDoS攻击仍是最普遍的Web应用攻击类型，且攻击的速度和规模都在增长。机器人流量占据了Web流量的三分之一，其中93%可能存在恶意。零日漏洞的武器化速度加快，企业平均使用的第三方脚本数量达到47.1个，这些脚本可能带来供应链风险。此外，API安全方法的过时使得API流量容易受到攻击。

报告强调，随着攻击手段的多样化，传统的安全工具已经难以应对。组织需要采取新的方法来保护Web应用和API，包括使用Web应用防火墙（WAF）、DDoS防御、机器人管理、API网关等技术。Cloudflare提供的数据显示，其全球网络平均每秒处理超过5700万个HTTP请求，每天阻止2090亿次网络威胁。

Cloudflare建议，为了降低与扩展基础设施相关的成本，企业应考虑在边缘提供应用内容和缓解攻击。此外，组织应优先处理高风险和正在被利用的漏洞，并使用提供自动规则更新的WAF来保护无法及时修补的应用。对于DDoS攻击，Cloudflare建议寻找具备自动吸收恶意流量、无限制的DDoS攻击缓解能力的服务。对于机器人流量，建议增加对机器人管理的投资，以阻止恶意机器人的威胁。对于第三方脚本和Cookie的使用，建议寻找能够自动消除风险并提供统一视图的服务。对于API安全，建议使用专为API安全和管理而设计的工具。

报告总结称，保护组织的应用和API免受新风险的复杂性正在增加，需要一种整合的、一流的方法来确保更好的安全性、无延迟的连接和业务增长。Cloudflare提供了一个统一的安全网络，可以实时阻止广泛的攻击，防止攻击者发现并利用IP地址、配置和IT资产，并将Web浏览转移到边缘，为用户和设备隔离基于Web的威胁。

来源：Cloudflare