AI赋能，Fortinet重塑Web应用程序安全

　　其实Web应用程序安全分析师的日常工作并不轻松。即便是经验最丰富、技术最娴熟的专业分析师，也必须与时俱进，快速掌握各种日益复杂的攻击技术，比如利用零日漏洞、高级机器人程序、注入攻击和远程脚本攻击等等。除了这些复杂的攻击技术，他们在工作中还要面对不计其数的监控工具，这些工具会源源不断地发出各种警报，使分析师很容易漏掉真正的威胁。再加上企业普遍存在安全人才短缺的问题，加剧了企业的安全风险和管理压力。对于企业来说，要在短期内改善这种局面并不现实，不过现在有一个好消息：Fortinet已经把自己的虚拟AI助手FortiAI-Assist集成到Web应用程序安全解决方案中，可以帮助安全团队有效抵御持续进化的威胁。目前，FortiWeb的物理设备和虚拟机版本，以及FortiAppSec Cloud云服务，均已搭载FortiAI-Assist功能。其中，FortiAppSec Cloud是一项统一的Web应用程序和API保护服务，可以跨混合云和多云环境来保障Web应用程序与API安全。现在，FortiAppSec Cloud还新增了集成式的客户端保护功能，可以按照PCI DSS 4.0标准的要求来监控支付页面脚本。这些改进消除了常见的安全盲点，简化了运营流程，并且确保符合最新的支付标准，实现了从服务器到浏览器的全方位的Web应用程序保护，但却不会增加系统的复杂性。这些新增的强化功能可以帮助分析师更快地响应，在保障用户体验和数据安全的同时，满足监管要求。

　　AI助手的六大核心价值需要明确的是，FortiAI-Assis并不会取代Web应用程序安全专家，反而会帮助他们的工作事半功倍。将FortiAI-Assis这样的嵌入式AI助手与FortiAppSec Cloud中统一的Web应用程序、API和客户端保护功能相结合，它就可以自动执行威胁分析、加快事件响应速度，提供可操作的情报。借助FortiAI-Assist，分析师可以获得以下优势：

　　更快速的检测与响应：FortiAI-Assist能够对事件进行总结、对下一步行动提出建议，并生成可以直接执行的调查方案，加快事件分类处理的速度。

　　更明智的决策制定：FortiAI-Assist可以提供服务的重要性、影响范围、对潜在用户的影响、合规信息，以及流量是否针对结账页面或高价值API等内容，为WAF/API警报补充上下文信息，进而提高警报的参考价值。

　　更合理的事件优先级排序：FortiAI-Assist能够根据漏洞的可利用性、给客户造成的影响以及在Web和API层面的影响范围，对事件进行优先级排序。

　　实现任务自动化与定制化：FortiAI-Assist可以自动生成操作手册、总结日志、关联API异常表现、设置可重复的操作，并用通俗易懂的语言解释检测结果，让专家能够专注于架构设计和威胁追踪。

　　提供修复指导与解释说明：FortiAI-Assist可以帮助团队里的初期成员快速学习，弥补安全技能上的差距;也让高级安全工程师能够专注于战略性任务，如威胁追踪和架构优化等等。

　　节约成本：借助FortiAI-Assist提供的指导性调查，可以减少问题滞留的时间和响应工时，从而简化安全团队的工作流程与运营环节。为了应对Web应用程序面临的复杂威胁，FortiAppSec Cloud还通过整合Web应用程序防火墙、API安全和机器人程序防护功能，提供了全面的Web应用程序和API保护。此外，它还具备可视化、分析和治理能力，可以帮助安全团队进一步简化运营，节约成本。

　　权威认证的云WAAP领导者凭借着在云WAAP(Web应用程序和API保护)领域的卓越表现，Fortinet在《2025年SecureIQLab云WAAP报告》中被评为“经过验证的领导者”，其运营效率(96.2%)和安全效能(92.4%)均位于前列。Fortinet云WAAP解决方案(FortiAppSec Cloud)专为混合云和云原生环境打造，具备可视化、可扩展性和弹性等核心优势。SecureIQLab的权威认可彰显了Fortinet在为Web应用程序和API提供强大防护的同时，仍然能确保解决方案简洁、高效。与其他基于调查问卷得出的报告不同，SecureIQLab是通过模拟真实世界的攻击场景，从安全效能和运营效率两个维度，对包括Fortinet在内的11款企业级云WAAP解决方案进行了独立测试，证实了Fortinet在抵御高级威胁方面表现卓越，而且误报率极低。其中，安全效能的评估方式是让测试产品抵御1360多次复杂多样的攻击，这些攻击都是基于OWASP Top 10、MITRE ATT&CK 和Lockheed Martin Kill Chain等知名的网络安全框架。运营效率的评估则涵盖了10个关键类别，包括部署与管理便捷性、日志记录与分析、支持与文档、集成能力、可扩展性、证书处理、基于地理位置的安全防护以及风险管理。所有测试均遵循反恶意软件测试标准组织制定的严格标准。

　　借助Fortinet简化Web安全防护现在，Web 应用程序安全分析师不用再担心工作繁重，FortiAppSec Cloud这样的Web安全解决方案可以为他们提供一套完整、统一的云交付方案，他们无需再同时使用机器人程序防御、API保护等多种碎片化的工具，极大减轻了工作负担。

　　资料来源于网络，详情请点击：集中管理，FortiManager | 网络管理解决方案（https://www.fortinet.com/cn/products/management/fortimanager）