0
如果舉辦一屆安全運維人員吐槽大會,想必會收到很多人的共鳴。
人少活多,活忒多;
漏洞無窮盡,補丁補不完;
掏空我的不是愛情,是漏洞
……
拿Web應用舉例,Web應用除了要應對OWASP TOP10穩居前列的SQL注入、跨站腳本XSS、認證和Webshell木馬上傳等傳統攻擊,還要應對大量新興安全威脅及漏洞,例如Bots攻擊、API數據泄露、零日漏洞等。
也就是即使應用代碼中移除了所有已知漏洞,威脅也會以零日攻擊的形式繼續存在。(這句話出自Forrester Wave的報告)
這些新興安全威脅可以輕松繞過傳統驗證碼的人機識別技術,也使傳統WAF的防護瓶頸愈加凸顯:
只能通過規則更新阻攔零日漏洞,過于滯后和被動;
只能通過信譽庫、黑名單、限頻規則設定等手段防御應用DDoS;
只能通過策略規則識別和阻攔OWASP Top10 Web安全威脅,誤報多,運維工作量大。
運維狗情不自禁哭出聲。
這時候開始有人思考,漏洞是補不完的,但是不是可以隱藏漏洞?
《Gartner 2018 年WAF魔力象限報告》指出全球Web Application Firewall的市場高達8.5億美元,亞太地區增長率為13.5%,超過全球11.9%的增長率,而中國WAF市場也以14% - 15%的速度在逐年增長。企業Web 應用最有效的技術中,WAF已處于首位(占73%)。
但是傳統Web安全技術卻并不完美,諸多安全廠商開始尋找最佳防護姿勢。
靜態防不住換動態,規則防不住就用智能,瑞數就是這么做的。
不久前,瑞數信息發布全球第一款雙引擎動態WAF——瑞數靈動River Safeplus,這款動態WAF采用瑞數獨有的“動態安全引擎” + “AI智能威脅檢測引擎”,內建智能模型,不依賴于規則,即可精確識別Bots和各類攻擊,為Web安全提供主動式的安全防護。
怎么個主動法?
瑞數信息的副總裁趙曄宇舉了個例子,2017年時候有個厲害的零日漏洞Struts2-045,其破壞力超強堪稱王者。更牛X的是它爆發時間正好在2017年3月初兩會期間,很敏感的時間。(圍觀群眾露出了你懂我也懂的眼神)據說瑞數的一個用戶也在這個時候受到了攻擊。
趙曄宇
趙曄宇告訴雷鋒網,那次攻擊第一波出現在公安部或其他國家權威機構公布這個零日漏洞的前兩天。如果要等機構通報,那第一波的黑客攻擊已經完事了,換句話說,黑客一定是比通報機構更早知道這個零日漏洞,所以他才能更早的去利用,所以第一波是正式公布的前兩天。
但是機構公布后就會引發第二波超強攻擊,為什么呢?
這就像新的傳染病爆發出來后,要需要一段時間去研究疫苗,那在這段空窗期內,基本就是感染必死,唯一的辦法就是拔線,沒錯,就是這么簡單粗暴。
這時候安全廠商能做什么?只能打補丁,瘋狂打補丁。“我記得那個時候有些友商一個團隊的技術人員覺都沒睡。”
但奇怪的是,明明打好了補丁這家倒霉客戶又遭到了第三波攻擊,進一步研究了這次攻擊特征后,才發現黑客利用的是Struts2-032這個漏洞(爆發出來的是045)。也就是,Struts2是一個零日漏洞的家族,這個家族包含1、2、4……45(當時)這些漏洞,當然截止現在這個家族還在擴大。
黑客在進行攻擊的時候,比任何一家企業都要講效率,他們不會一次只用一個攻擊,攻擊工具往往是一個家族。所以喪心病狂的黑客可能是把Struts2這個攻擊家族,從Struts2-01一直到045全部去試一遍,來找到你存在的漏洞。
這個事例說明了什么?
傳統的WAF防護,是滯后的、被動的,存在時間差的,依靠規則的更新,依靠打補丁去防御攻擊,永遠都是百密一疏。怎么讓這種防御主動起來?
瑞數動態安全引擎會對當前頁面內的合法請求地址授予一定時間內有效的動態令牌,并為每個客戶端生成不依賴于設備特征的唯一標識。令牌的動態變換,加上客戶端唯一標識,可防止攻擊者通過偽造客戶端環境、偽造令牌的方式繞過追蹤,阻攔非法的自動化攻擊請求。
同時,動態安全引擎通過在頁面中隨機自動插入動態驗證腳本,實現對訪問客戶端的人機識別,從而阻攔腳本、程序等自動化攻擊行為,并保障應用邏輯的正確運行。
動態驗證包含真實瀏覽器形態驗證、瀏覽器指紋及異常行為模式監測三大模塊。動態驗證的過程中,還會根據威脅態勢生成不同的檢測代碼,提升攻擊者或自動化工具假冒合法客戶端的難度,有效克服現有終端感知產品使用靜態采集代碼、被逆向后易于被繞過的安全難題。
為了更“人性化”,River Safeplus 采用了AI智能威脅檢測引擎,可以做到深度識別 , 精準溯源。
具體來說,這個智能引擎基于大數據分析技術,對客戶端到服務器端所有的請求日志進行全訪問記錄,并利用機器學習進行深度行為分析。通過智能規則匹配,持續監控并分析流量行為,從而深入檢測威脅攻擊。
AI智能威脅檢測引擎在用戶和應用程序交互的過程中采集環境和行為特征信息,并利用統計模型來確定HTTP請求的異常。另外,還會基于IP/設備指紋/瀏覽器形態/操作事件/會話對象等上百個維度進行應用層威脅建模和數據訓練學習,區分正常用戶及攻擊者操作序列,及時阻攔異常行為的訪問請求。
總之有了AI神器加持,檢測引擎等于有了揪出隱蔽攻擊的“千里眼”和實現精準攻擊溯源的“順風耳”。
那么八卦的編輯好奇發問,靈動上線真的有幫小哥哥們減輕負擔嗎,會有什么不一樣的感覺?
90%的外部攻擊都是黑客通過一個程序、工具掃描企業網站尋找可攻擊的漏洞,以往的攔截方式是在自己的安全產品上增加規則,也就是可能這款產品可以攔截10種漏洞,發現沒攔住的新品種需要手動增加規則,變成可以攔截11種漏洞。而靈動做的是從源頭抓起,惡意工具首次訪問就被攔下,至于之后的N種漏洞就無計可施了。
當然,小哥們也不可能什么都不做,畢竟這是個長期對抗過程。
賽博世界,攻防之戰永遠是道高一尺魔高一丈,止步于前只會將企業安全置于無處不在而不斷升級的威脅之中。如果把安全廠商比作戰斗在黑暗中的鐵甲騎兵,這群沖在最前面的兵將們似乎需要升級武器,更加動態,更加智能。
雷鋒網宅客頻道(微信公眾號:letshome),專注先鋒科技,講述黑客背后的故事,歡迎關注雷鋒網宅客頻道。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
