网站及移动应用服务日渐复杂 瑞数信息开启“以动制动”安全新起点

网络
难道在面对黑客日新月异的攻击面前,我们真的束手无策吗?非也。瑞数采用创新动态安全技术架构的机器人防火墙可以通过随机变幻网页原始代码,让模拟合法操作的自动化攻击行为彻底失效,可阻挡约99%以上的非法行为。

[[188848]]

为求获取庞大经济利益,甚至达成某种特定利益目的,黑客组织对商业机构或政府网站发动攻击事件屡见不鲜。日前,由上海社会科学院信息研究所、中国信息通信研究院安全研究所发布了一份《网络空间安全蓝皮书:中国网络空间安全发展报告(2016)》,蓝皮书里面披露的数据让人触目惊心: 据监测,2015年,我国政府网站被入侵21674次,较2014年增长36.7%;我国地方政府网站成为受攻击的“重灾区”,植入后门和网站被篡改的情况依然严重。

难道在面对黑客日新月异的攻击面前,我们真的束手无策吗?非也。瑞数采用创新动态安全技术架构的机器人防火墙可以通过随机变幻网页原始代码,让模拟合法操作的自动化攻击行为彻底失效,可阻挡约99%以上的非法行为。

拒绝恶意“爬虫”爬取关键数据

随着 “互联网+政务”的快速推进,政府网站正面临着越来越复杂的安全挑战。一方面,网页应用漏洞依然层出不穷,传统防护依靠不停的查补漏洞、更新规则,无法避免亡羊补牢、疲于奔命的被动局面。另一方面,政务服务和数据不断向网上迁移,除了传统的“防篡改”、“防挂马”外,被广泛用于数据获取的“爬虫”工具,令政府网站面临着业务和数据安全的双重严峻挑战。据统计,目前40% - 60%的网络流量来自爬虫,而这一比例在提供公众查询的服务性网站业务中甚至更高。爬虫爬得不亦乐乎,但被爬的网站却不堪其扰。据马蔚彦介绍,遭受“爬虫”骚扰的网站,一方面业务服务的可用性受到巨大影响,系统宕机、网络带宽资源被占满的情况时有发生,影响了政府对公众的服务能力。

她介绍到,当前数据带来的价值已经被普遍认同,并受到空前的关注,于是对数据的争夺所引发的安全对抗也将会愈加激烈。我们不仅可以看到的招聘简历、人资社保、工商税务、专利信息查询等政府和企业的正规线上数据服务,同时也看到泛滥在互联网上的非正常的数据应用服务,以及线下的非法数据售卖。这些数据应用服务很多都是通过运用爬虫工具去竞争对手网站、政府公众服务类网站爬取的信息,经过二次分析或者加工对外提供有偿性服务。这一方面增加了企业及公民信息外泄和被利用被伪造的风险,一方面会造成互联网商业竞争环境的恶化。

马蔚彦提到,“爬虫技术不断发展,手段越来越高级,传统反爬虫技术通过恶意IP来源库,以及爬虫访问频率的方式,已经难以应付。瑞数的动态安全技术,改变传统的安全防护思路,从识别“自动化、工具化”为核心,通过动态封装、一次性的动态令牌、动态验证等多个动态引擎,有效识别和阻止各类新型的爬虫工具,保护企业的数据资产,保障正常的业务和数据服务。”

阻挡机器人抢票的杀手锏

利用机器人程序进行抢票并转售的现象一直存在于各种在线购物、线上购票、网络游戏之中。2016年8月2日,歌手李宇春2016野蛮生长巡演深圳站,乐视商城售卖的200张1880元和200张1280元门票秒罄。经查明,活动订单中存在大量黄牛订单,为了防止黄牛加价售票从中非法牟利,最后乐视商城不得不取消所有订单。

马蔚彦指出:“这些机器人程序是针对某个网站业务所设计的定制化软件,自动化地实现网站的购买业务操作流程,比如,能自动快速填入网页中的每个栏目的资料,因此能于短短2-3秒内完成订票工作,造成热门商品、演唱会门票刚开卖,随即出现销售完毕的怪异现象。产生这一结果的根本原因就是机器人程序,以‘机器人’代替‘真人’行为导致的。由于与业务相关性大,传统这类问题往往通过应用开发进行解决,而常规的做法是通过购票业务操作提交的频度、数量等进行限制和判别“非人”行为,但发现在强力而持续的‘机器人’行为面前,这些遏制的手段依然不能有效阻止,正常的购买访问还是会受到影响。

瑞数信息自行研发的机器人防火墙,采用全新概念设计的动态安全技术架构,并不依赖限制频度、数量的机器人判定方式,而是以动态生成令牌、动态验证访问行为等方式判断“人”与“机器人”,比如,无需在订票的频度或者订票数量达到某个门限值的时候就能进行判别和阻拦。这种识别是否自动化操作的机制,使得防护功能不依赖某个特定应用,任何模拟业务逻辑的“非人”访问行为,均可被识别。

“根据有在线业务的企业实际应用后发现,瑞数机器人防火墙大约可以阻挡95%以上的业务滥用性机器人攻击行为,有助于维持交易的公平性及既有应用服务器的稳定性。” 瑞数信息首席策略官马蔚彦女士强调。

零补丁、零规则 - 跑赢零日漏洞

零日漏洞问题让安全从业者头疼,最初是因零日攻击被用来针对政府及国家重要基础设施,常常与APT关联起来,并非传统安全技术,甚至不是单一技术能给予防范的。因涉及关键行业和系统,它的风险和危害极大,然而涉及企业面并不十分广泛。而近几年零日漏洞的披露越来越多,影响面也越来越波及到各行各业,不仅仅是安全界,甚至也成为企业里的难题,究其原因,开源代码的不断扩散,被企业用于业务系统的开发,缩短项目周期,尽快将业务推向市场,是其根源之一。

这些开源组件中的代码被多种设备,多个系统复用,组件中一旦发现零日漏洞,产生的风险往往是成倍增长的。去年到今年,接二连三的Struts S2零日漏洞就证明了这一点。

而对于此类漏洞的防护手段目前采用的是以打补丁和更新组件版本为主,传统WAF厂商依据漏洞利用的攻击特征,更新其策略规则或者特征库之后才能有效防御。在这种“滞后于攻击”的防护现状中,安全厂商和企业能够做到快速预警、及时响应就已经很好了。然而,漏洞被发现和公布时,通常已有漏洞利用工具已经先行流行和传播于互联网,一些企业的Web应用势必受到此类零日攻击的影响,这种事后的被动式防御手段在新的威胁面前显然是力不从心,如果企业大面积使用这些开源组件作为软件基础平台,则大规模的查漏洞、打补丁的工作,也令用户备受困扰。

“瑞数机器人防火墙的引擎,并不是在零日漏洞被披露后的快速特征库、规则库的更新,其实现机理并非传统靠零日漏洞的攻击特征来识别和阻挡攻击,而是通过识别攻击是否为脚本、程序、工具,以及结合动态令牌及动态验证技术进行的识别和阻挡。因此,假设在零日漏洞被披露之前,漏洞利用的方法和工具被恶意地使用在企业中,瑞数机器人防火墙即可先于零日攻击进行有效阻拦。”

马蔚彦还提到:“实际上,零日漏洞的披露往往伴随着漏洞检测的手法,这些手法的披露是把双刃剑,在检测是否有零日漏洞的同时,也是大量利用漏洞的时机。换句话说,手法本身对攻守两方几乎是对等的,对于企业的安全来讲比的就是谁‘快’。显然,打补丁、设规则是一定滞后于攻击手段的,补丁空窗期的一次漏洞利用的攻击,轻则植入木马,重则信息外泄”。

在零日漏洞面前,在传统安全技术之上的监控、响应、预警尽管是加强主动防御的重要手段,依然不能根本性地转本防守方的被动局面,瑞数信息通过创新的动态安全技术,在漏洞利用时进行的识别和防护,是针对web零日漏洞在技术机理上真正的主动防御。

不仅仅是零日漏洞,针对已知漏洞的探测和扫描行为同样也是工具化、自动化的机器人行为,经过瑞数机器人防火墙的防护,令漏洞扫描无法发现web应用的漏洞,在企业客户面临经常性的、甚至常常是紧急的打补丁的繁杂运维工作时,或者打补丁影响业务系统的艰难处境面前,这种漏洞隐藏的方式和零日漏洞的主动防御手段无疑会深受企业的欢迎。

构建360o无死角的防护网

当然,企业若要保护应用网站服务器的安全,绝对不可能仅仅依靠某种单一防护方式,而是要从减少网站漏洞本身做起,并且搭配多种资产安全设备,构建一张360°无死角的防护网。

更重要的是,企业IT部门管理者应该从黑客思维出发,重新检视应用服务网站的漏洞,才能打造出可阻挡恶意软件与机器人程序入侵的防护机制。

据了解,瑞数机器人防火墙已在国内市场广泛得到广泛运用,国内众多大型企业都是瑞数信息的忠实用户。用户范围遍及电信、银行,以及许多以网络应用服务为主的产业机构。未来,瑞数信息的动态安全防御体系能够帮助越来越多的企业走出安全威胁的阴影。

“瑞数信息已经意识到应用的普及给资产安全带来的巨大挑战。”马蔚彦表示,现今各种应用服务的网站面临的资产安全挑战远胜于过去,除了将之归咎于黑客攻击手法不断进步之外,更与应用服务的深入发展有关。她介绍到,国内不少新兴的数据应用服务都是通过运用各种机器人程序,模拟合法操作窃取并汇总不同网站的用户数据,进行二次分析、商品推荐及数据售卖服务,导致用户网站负荷在无形中增

责任编辑:武晓燕 来源: 51CTO
相关推荐

2017-04-18 18:53:29

2015-11-03 13:32:49

2014-08-08 09:54:19

烽火星空

2017-09-15 11:29:41

2019-11-05 13:05:24

安恒信息科创板上市

2011-07-26 13:52:11

2020-02-10 15:32:44

瑞数信息

2010-05-20 15:22:02

LOGOIP数据通信斐讯通信

2012-09-21 11:05:50

瑞友

2019-09-06 18:29:14

网络优化Akamai

2012-03-29 10:45:40

惠普应用服务移动应用

2011-11-11 09:49:44

2020-10-16 12:40:20

5G

2011-11-14 16:04:21

无线建设Aruba

2011-10-28 11:03:33

惠普移动应用服务

2014-02-13 09:26:46

2013-01-10 10:07:15

2021-03-25 18:00:53

HarmonyOS元服务开发者

2018-04-16 11:34:59

2009-06-05 09:48:49

Struts2简介开源技术
点赞
收藏

51CTO技术栈公众号