企业业务安全隐患如冰山一角
前不久,一家全球网络安全厂商发布的《2017年年度网络安全报告》中,很多数据都令人触目惊心。报告显示,在 2016 年遭遇过安全攻击的企业中,三分之一以上的企业损失了超过20%的重要客户、商业机会和收入。无独有偶,去年的统计数据显示,2016年因为业务安全问题给全球经济带来的损失高达4450亿美元,比上年增加了18%。全球97%的500强企业发生过业务安全事件。业务安全问题已成为全球企业共同关注并期盼解决的热点。
伴随互联网的飞速发展,企业业务越来越依赖信息系统,并且业务的快速变化带来应用开发的快速变更和迭代 ,然而安全威胁也在不断扩大攻击面,活跃的攻击者越来越多。市场上由于黑客攻击入侵导致企业业务濒临破产事件屡有发生,我国的地下黑色产业链规模甚至远远超过中国安全市场的规模。
以下图为例,在我们身边每时每刻都会发生这些来自互联网业务的安全威胁,而从趋势来看,攻击手段已经不仅仅是利用业务逻辑漏洞,更多的是采用模拟业务逻辑产生业务滥用,从而引发重大安全问题。然而更为严峻的是这些问题并不能够通过传统的规则和特征库方式进行防御。
攻击手段不断演进,催生新一代防护理念
在谈到网络安全“攻防”的时候,必须承认我国安全厂商这么多年一直在努力成长,从技术从产品从人力等多方面竭力抵御多方安全攻击。但不得不承认,黑客攻击手法也在不断提高,产业链分工明确持续升级,“攻防”制胜的关键在于速度,各种复杂的攻击已经不是传统的安全技术能够应对的了。
正如2016年RAS大会上RSA主席Amit Yoran所形容的那样,如果你的安全方案还是依赖规则的话,那就是非常错误的方向。他强调,传统的防护手段主要基于规则和特征库识别,这就如同病毒和疫苗的关系:老的病毒已经有成熟的疫苗进行防护,所以就算是发生也可以迅速解决;可一但出现新的病毒,只能通过找到病源体去研制对应的疫苗来解决问题。对应到网络攻防上来看,传统的安全防护方案可以抵御陈旧的攻击方式,可是新的攻击手段,只有在事后再去调整防护规则,亡羊补牢般的补救,可攻击发生之后造成的损失却再难挽回。
因此,新的安全时代,就需要有新的安全防护理念来保障企业业务不受攻击,将损失降到最低。
那么有没有一种安全理念,可以避免安全受制于人被动挨打的局面呢?
答案当然是肯定的。
“动态安全”改写安全新思路
瑞数信息作为国内首家推出“动态安全”技术的本土公司,创新提出“动态安全”理念,以“先发制人,掌握先机”的防护哲学彻底颠覆攻防态势。由传统安全技术中采用的静态和被动(规则及事后)的模式,转为动态和主动方式(变换及事中)进行保护。
像上文提到的传统安全防护总是“慢半拍”,如果企业部署了瑞数的动态安全解决方案,则可以改写这一现场。在网站漏洞尚未修补前,搭配瑞数信息动态安全系统,便几乎可以达到零时差保护的目标,使企业业务运营无虞。
以某大型支付门户为例,部署了瑞数信息的动态应用安全保护解决方案当天,因薅羊毛行为造成的业务中断情况大大改善,恶意请求下降了85.4%;在随后近2个月的定时监测中,瑞数信息发现,由于自动化工具失效,恶意流量急剧下降,在全站访问量中的占比已经不足1%。自项目完成至今,该支付门户系统一直平稳运行,从未出现过一次宕机事件;并且可以确保在每一次促销活动中,用户皆可以正常访问系统。羊毛党再也无法通过门户薅羊毛,该支付门户的商誉和企业形象得到了极大的提升。
机器人防火墙Botgate大显身手
那么瑞数信息究竟是如何做到保障企业业务安全的呢?
瑞数信息的机器人防火墙Botgate通过对服务器网页底层代码的持续动态变换,使得服务器对于用户端访问请求的响应具有 “不可预测性”,使得成为攻击者目标的网页和手机应用,变成“移动标靶”。不仅有效对抗传统技术部分解决的漏洞利用问题,也更简便有效地解决了滥用业务逻辑的自动化威胁,乃至越来越普遍被使用,却是检测和防御难点的应用DDoS 和分布式漏洞扫描。
瑞数信息通过四大“动态”引擎技术联合使用,实现其防护能力:
- 动态封装。网页代码的底层动态封装,封闭攻击入口。每次的变换均不同,攻击者难以逆向。
- 动态验证。对客户端的人机行为进行验证,有效判断自动化攻击。
- 动态混淆。对客户端提交的重要数据和属性进行混淆保护,防止中间人攻击。
- 动态令牌。通过对受保护网页授予一定时间内的有效访问,确保合法的业务逻辑。防止越权访问、拖库等恶意自动化攻击。
在网络欺诈和数据被盗“暗箭难防”的今天,企业业务安全现状的确不容乐观,企业客户要做的不仅要刷新自己对安全的固有认知,更重要的是要行动起来,采用有效的方案和技术应对新的风险和问题,确保业务系统免受安全威胁,能够正常运行。倘若每一家企业都能有足够的安全认知,那么由点及面,抵御黑产攻击的大网终将形成史上最强屏障。