IDC本月初發(fā)布了一份關于“企業(yè)在數(shù)字化轉型過程中所遇到安全挑戰(zhàn)”的報告。IDC認為,包括:交易欺詐、利用自動化工具進行網絡犯罪、傳統(tǒng)安全防護措施失效,以及數(shù)據泄露發(fā)生后的巨大商業(yè)損失等的安全挑戰(zhàn),需要更主動、更動態(tài)的防御措施和已有安全防護手段結合,共同應對。
去年10月,基于動態(tài)驗證、封裝、混淆、令牌等動態(tài)技術實現(xiàn)對業(yè)務數(shù)據和交易環(huán)境進行保護的瑞數(shù)信息,其“動態(tài)安全”理念與IDC此次提出的“主動防御”在防護思路不謀而合。而瑞數(shù)在今年年初發(fā)布的一款針對自動化工具發(fā)起的攻擊的安全產品——機器人防火墻 (botgate),更可以看做是“主動防御”這一安全理念的一種落地。
一年多時間的產品化過程,打造了怎樣的瑞數(shù)信息?瑞數(shù)又是如何理解和實現(xiàn)以動態(tài)技術為核心的主動防御?
更加重視檢測和響應的主動防御
相較于傳統(tǒng)單點的防護和被動的響應,瑞數(shù)信息認為,主動防御應更加重視多安全機制的檢測和流程上的快速響應能力。特別在金融、電商、支付等領域,因非安全技術問題(例如:業(yè)務邏輯漏洞)、由近乎自動化工具發(fā)起的高效大規(guī)模攻擊(例如:惡意爬蟲、撞庫)以及傳統(tǒng)IT安全措施的失效,使得對企業(yè)業(yè)務風險的評估與管理愈加困難。
無論是發(fā)生數(shù)據泄露、還是企業(yè)營銷資源(包括帶寬等IT資源)被惡意占用,這些安全事件一旦發(fā)生,企業(yè)規(guī)模越大,所需要承受來自經濟、聲譽等多方面的損失就越多。
安全問題沒有“銀彈”。企業(yè)需要的是能為其有效爭取響應時間的“緩解措施”,以及結合已有安全能力,進行更快速的檢測和更靈活的響應。
基于利用動態(tài)技術更改app和web服務器間通信的HTML代碼,實現(xiàn)對模擬瀏覽器等“非人”行為的發(fā)現(xiàn)和對抗這一核心能力的瑞數(shù)信息,此次還特意提及了下面三點更加延伸或特殊一些的應用場景。
1. 威脅緩解——漏洞隱藏
漏掃,是網絡攻擊發(fā)起前重要的“前哨戰(zhàn)”。往往在漏洞利用公開前幾天,攻擊者就會利用工具開始全網掃描,尋找目標。而通過將網頁底層代碼動態(tài)變化和封裝,就可以一定程度上隱藏攻擊入口——(Web)漏洞,讓攻擊者無從下手。
當然,漏洞隱藏只是一個緩解措施。雖然不能完全代替?zhèn)鹘y(tǒng)的漏洞管理方案,更不能不打補丁,但是,其重要價值也在于此:彌補從漏洞利用在網上被公開,到系統(tǒng)管理員對所有IT資產進行完漏洞修復,這中間的空窗期。
如果漏洞難以被工具掃描出來,就更談不上之后的漏洞利用行為,這個威脅就會被暫時緩解。同時,檢測到漏掃行為的安全人員也不至于完全措手不及,可以優(yōu)先針對性的配置防護策略,再一步步完成漏洞的修復工作。
2. 反爬蟲與資源搶占
爬蟲是比較特殊的應用場景。政府或服務類網站,每天會固定有數(shù)據更新。除了搜索引擎爬蟲的抓取以及集中在工作日的合理訪問請求外,惡意爬蟲也在“夜以繼日”的不間斷爬取更新信息。類似的,電商類網站營銷時由機器人發(fā)起的大批量異常請求,例如使用虛擬號碼進行惡意注冊。
這兩種情況,都會直接導致大量本用來對外提供服務的計算和帶寬資源被占用;同時,正常的訪問請求體驗也會大打折扣,嚴重影響正常業(yè)務的進行,后果甚至堪比DDoS。
如何在正常流量中有效甄別由自動化工具發(fā)起的訪問請求,就顯得尤為重要。而這也正是瑞數(shù)動態(tài)驗證和底層代碼動態(tài)封裝技術的強項。之后,再將其發(fā)現(xiàn)能力融入企業(yè)原有風控體系并配置相應安全策略,便可實現(xiàn)惡意流量的精準阻斷。
3. 威脅感知——攻擊者畫像
瑞數(shù)的動態(tài)技術可以獲得客戶端的細粒度行為數(shù)據,除了定位攻擊外,還可從來源、目標、工具、手法、證據、過程六方面對攻擊者的行為進行畫像;并結合企業(yè)內部業(yè)務和服務端數(shù)據,進行針對性更強的威脅數(shù)據分析。
高效且更具針對性的威脅情報,可以進一步指導響應策略的制定。對異常行為,也不會是一刀切的阻斷,還會有行為的記錄甚至欺騙性的數(shù)據交互。同時,對攻擊者(黑產)的畫像,也能從另一面幫助企業(yè)找到業(yè)務邏輯漏洞。
