表1:2015 OWASP Web應(yīng)用 Top 20自動(dòng)化威脅
傳統(tǒng)安全防御“心有余�����,力不足”
面對(duì)自動(dòng)化威脅,現(xiàn)有主流網(wǎng)頁安全技術(shù)���,應(yīng)對(duì)自動(dòng)化攻擊均存在不同程度的局限�,大致可分為四類:
一是基于規(guī)則和簽名的技術(shù)存在空窗期�����。防火墻�����、IDS/IPS�����、Web應(yīng)用防火墻等技術(shù)在現(xiàn)階段都沒有擺脫有防護(hù)空窗期的缺陷��,規(guī)則和簽名永遠(yuǎn)滯后于攻擊的發(fā)生���。
二是身份安全面臨挑戰(zhàn)。安全水平參差不齊的互聯(lián)網(wǎng)及互聯(lián)網(wǎng)金融企業(yè)的興起��,在大量的普通用戶群體用戶帳號(hào)�、密碼一致的現(xiàn)實(shí)情況下,以“拖庫”為代表的大量用戶身份信息泄漏事件頻發(fā),甚至通過“撞庫”方式產(chǎn)生更為嚴(yán)重的連鎖反應(yīng)�。出現(xiàn)了抗動(dòng)態(tài)身份認(rèn)證技術(shù)的工具和服務(wù),如:打碼平臺(tái)���,專門應(yīng)對(duì)各類動(dòng)態(tài)驗(yàn)證碼防護(hù)技術(shù)��。
三是模擬合法操作的自動(dòng)化攻擊和對(duì)未知攻擊的防護(hù)薄弱且低效��。目前主要依賴應(yīng)用軟件本身的改進(jìn)�����,并無有效的產(chǎn)品和技術(shù)應(yīng)對(duì)��。這如同發(fā)現(xiàn)應(yīng)用漏洞一樣�����,漏洞的修復(fù)和應(yīng)用軟件修改的工作成本和周期都較大�����,這些改進(jìn)的工作內(nèi)容的復(fù)制性低�,也造成了不能很好適應(yīng)“互聯(lián)網(wǎng)+”模式的快速性特點(diǎn)���。同時(shí)����,過嚴(yán)的安全防護(hù)還造成客戶體驗(yàn)不佳。
四是日志分析和大數(shù)據(jù)分析技術(shù)仍需要時(shí)間和驗(yàn)證��。大數(shù)據(jù)技術(shù)運(yùn)用在安全威脅情報(bào)的分析和預(yù)測(cè)上是潮流和方向��,其中海量的事件源采集和數(shù)據(jù)分析模型是關(guān)鍵�����。然而���,自動(dòng)化攻擊和威脅事件的捕獲手段是目前一個(gè)主要的障礙點(diǎn)����。
取勝之道:“動(dòng)態(tài)安全”防御理念動(dòng)中取勝
在自動(dòng)化威脅肆虐和傳統(tǒng)安全防御技術(shù)亟待提升的嚴(yán)峻形勢(shì)下���,突破傳統(tǒng)安全防御觀念,扭轉(zhuǎn)被動(dòng)滯后的局面����,成為傳統(tǒng)金融機(jī)構(gòu)和安全廠商的迫切需求����。
瑞數(shù)信息做到了這一點(diǎn)����。
瑞數(shù)信息立足信息安全領(lǐng)域的技術(shù)創(chuàng)新,面向解決自動(dòng)化攻擊的威脅趨勢(shì)�����,秉承動(dòng)態(tài)安全的防御理念��,采用創(chuàng)新的“動(dòng)態(tài)變幻”安全技術(shù)(已獲專利)�,通過對(duì)服務(wù)器網(wǎng)頁底層代碼的持續(xù)動(dòng)態(tài)變換,使得服務(wù)器對(duì)于用戶端訪問請(qǐng)求的響應(yīng)具有 “不可預(yù)測(cè)性”��,使得成為攻擊者目標(biāo)的網(wǎng)頁和手機(jī)應(yīng)用�����,變成“移動(dòng)標(biāo)靶”����。不僅有效對(duì)抗傳統(tǒng)技術(shù)部分解決的漏洞利用問題,也更簡(jiǎn)便有效地解決了濫用業(yè)務(wù)邏輯的自動(dòng)化威脅���,乃至越來越普遍被使用����,卻是檢測(cè)和防御難點(diǎn)的DDoS?和分布式漏洞掃描?���!皠?dòng)態(tài)變幻”技術(shù)同時(shí)也顛覆了傳統(tǒng)安全技術(shù)中采用的靜態(tài)和被動(dòng)(規(guī)則及事后)的模式,轉(zhuǎn)為動(dòng)態(tài)和主動(dòng)方式(變幻及事中)進(jìn)行保護(hù)����。
瑞數(shù)機(jī)器人防火墻Botgate產(chǎn)品通過以下多重“動(dòng)態(tài)”引擎技術(shù)聯(lián)合使用,實(shí)現(xiàn)其防護(hù)能力:
動(dòng)態(tài)封裝�����。網(wǎng)頁代碼的底層動(dòng)態(tài)封裝���,封閉攻擊入口�����。每次的變換均不同�,攻擊者難以逆向 ���。
動(dòng)態(tài)驗(yàn)證�。對(duì)客戶端的人機(jī)行為進(jìn)行驗(yàn)證�,有效判斷自動(dòng)化攻擊。
動(dòng)態(tài)混淆��。對(duì)客戶端提交的重要數(shù)據(jù)和屬性進(jìn)行混淆保護(hù)���,防止中間人攻擊�����。
動(dòng)態(tài)令牌�。通過對(duì)受保護(hù)網(wǎng)頁授予一定時(shí)間內(nèi)的有效訪問���,確保合法的業(yè)務(wù)邏輯�����。防止越權(quán)訪問���、拖庫等惡意自動(dòng)化攻擊。
針對(duì)銀行業(yè)面臨的主要安全風(fēng)險(xiǎn)�����,瑞數(shù)產(chǎn)品可以實(shí)現(xiàn)三個(gè)層面的安全,例如屏蔽業(yè)務(wù)安全風(fēng)險(xiǎn):防止撞庫����;防止盜用賬戶、竊取用戶信息�����、欺詐交易����、盜取用戶存款;防止應(yīng)用層DDoS��。還可以避免銀行的商譽(yù)受到影響:防止自動(dòng)化提交垃圾信息或惡意內(nèi)容����、防止自動(dòng)化投票或評(píng)價(jià)結(jié)果操控、防止中間人攻擊(MITM或MITB)��。此外還可以保障網(wǎng)站安全:防止漏洞掃描與漏洞利用�、隱藏網(wǎng)站邏輯缺陷、防止各種已知和未知攻擊行為,做到先人一步���,以動(dòng)制動(dòng)。
更值得一提的是�����,瑞數(shù)機(jī)器人防火墻Botgate以虛擬機(jī)及軟硬一體機(jī)的方式部署于網(wǎng)頁服務(wù)器前端�,采用反向代理的工作模式。其最主要的特點(diǎn)和優(yōu)勢(shì)是無需修改應(yīng)用的代碼����,運(yùn)維難度小成本低,在一定程度上替換了應(yīng)用軟件漏洞修補(bǔ)和代碼改進(jìn)的工作���,更適應(yīng)“互聯(lián)網(wǎng)+”時(shí)代的業(yè)務(wù)特點(diǎn)���。
互聯(lián)網(wǎng)金融業(yè)務(wù)的風(fēng)控體系,需要從政策��、監(jiān)管����、信用機(jī)制、身份和交易安全等多方面整體規(guī)劃、通盤考慮��。作為即將成為互聯(lián)網(wǎng)金融更強(qiáng)大的參與者和推動(dòng)力的銀行業(yè)�,可以結(jié)合創(chuàng)新的產(chǎn)品和技術(shù)有效彌補(bǔ)傳統(tǒng)安全策略的不足,將應(yīng)用安全技術(shù)納入業(yè)務(wù)安全模型����,推動(dòng)銀行業(yè)“互聯(lián)網(wǎng)+”業(yè)務(wù)的快速發(fā)展。
