0
人生,總是有很多高低起伏的時刻。
當你低頭揀起一枚小小的、亮閃閃又臟兮兮的標著“X老師”的 U 盤:意外不意外!驚喜不驚喜!開心不開心!你欣喜地把 U 盤插進電腦,惡意程序自動運行,gameover,對方利用你對某些老師的喜愛,搞了一把“BadUsb 釣魚”。
摩天高樓上,你站在窗戶旁,看到一架神秘的無人機飛過來,毫不知情的你還以為是哪個小朋友又在玩無人機,你嘴角一揚:“小孩,趕緊玩,你以后就要像我這樣辛苦上班啊。”沒料到這架無人機搭載了一部智能手機,通過內置黑客軟件模擬成公司打印機,只需要幾秒就可截獲打印文檔,丟失了公司機密文件的你可能馬上就要被開除了。。。
還有一些鬼畜操作可能讓參加攻防演練的安全人員氣得禿頂:
臥槽,對方拿起望遠鏡偷看我方的密碼,提前半個月混進我方,有人偽裝成某廠商運維人員進入辦公室。。。
事實上,現實攻擊的操作可能更鬼畜,吸引攻擊者的不僅有閃閃發光的有價值的數據,還有在線業務商業利益的誘惑,威脅應用和業務安全的騷走位是安全守衛者的痛,他們日思夜想,面對攻擊者層出不窮的花招,到底要怎么搞?
上星期剛融資了一億元的瑞數公司 CTO 馬蔚彥告訴雷鋒網,既然攻擊方不按常理出牌,那么防守方也要“動態對抗”。
什么是動態對抗?
一億要讓走位更不正經???
NONONO!
舉個栗子,一個敵人打過來,以前直接攔截就好。但是,現在防守方可能不是直接攔截,而是想辦法拖延它的攻擊速度,采用灰度處理、二次挑戰、蜜罐引流都方式對敵人進行進一步處理,還可以順帶發現背后的其他蛛絲馬跡。
也就是說,本來是只瘋狂的兔子,被折騰成了迷路的烏龜。
防守方還要誘敵深入,挖掘攻擊者背后的秘密。
瑞數 CEO 余亮介紹,軟攔截技術也是動態對抗技術的一種。
比如,有一類網站的數據很有用,總會吸引一些奇奇怪怪的目光(你猜我說的是草榴還是“中國工商總局****”?)。做數據的公司每天一定會扒它的數據,想要攔截所有的疑似異常訪問可能會有問題,很多活動需要活躍用戶,自動化攻擊全部被攔截后,活躍用戶數蹭蹭往下掉,這個活動的考核指標很可能達不到。
我想打你,又不能打死你。那么,不如給一定比例的疑似異常訪問導入一個特殊頁面,顯示不正確,對另一些訪問則延時。整個防護體系不是靜態的,可以基于業務請求產生各種防護模式,又不用修改任何代碼。
“ 我們有一個信用卡客戶,它在每星期五搞活動搶電影票,如果出現自動化工具,或者是威脅值比較高的攻擊,我們會給參與用戶設定威脅值,直接告訴威脅值超過 70% 的人,你比正常人搶電影票慢30秒,根本不用攔截,威脅值超過 50% 的用戶,我會返回一個動態挑戰,進一步識別真人還是機器。”余亮說。
基于上述的對抗理念,在宣布融資當天,瑞數推出了五大武器:App 動態安全防護系統、API 動態安全防護系統、全息數據透視系統、業務威脅感知系統、IoT 動態安全防護系統。
我們先來看看官方介紹:
App 動態安全防護系統(App BotDefender):以“動態防護”技術為核心,通過甄別非法客戶端和仿冒正常請求的已知和未知自動化攻擊,為各類原生 App、H5及混合應用及微信等多應用入口提供統一的安全防護,覆蓋從 App 客戶端到 App 服務端的一體化安全防護。
API 動態安全防護系統(API BotDefender):獨特的 ADMP 安全模型實現覆蓋 API 感知、發現、監控和保護四大模塊的 API 安全解決方案。可以對來源環境及用戶行為進行感知,從而自動發現 API,并對所有異常 API 請求行為進行監控與告警,可借助動態響應機制,對異常 API 請求進行攔阻、限速或欺騙等響應動作。
業務威脅感知系統(Biz Insight):由瑞數動態安全引擎和 AI 人工智能引擎共同打造的多層次、多維度業務威脅感知技術,將傳統業務風控體系延伸到客戶端,實現風控前置,借助可編程對抗技術,實現持續對抗自動化攻擊和由此帶來的業務欺詐行為。
全息數據透視系統(Data Insight):作為一個可以針對多源異構海量數據的分析平臺,可采集、整理任何格式的機器數據,其索引后格式化技術,可對任意字段,按需提取,便于根據業務、安全不同部門需求,快速開發,快速迭代,提供所想即所得的數據分析、搜索、報表和可視化能力。以應用視角為核心,實現業務安全威脅監測、應用安全攻擊監測、應用運維安全監控分析等功能。
IoT 動態安全防護系統(IoT BotDefender):以 AI人工智能技術輔助動態安全,實時阻擋各類IoT惡意代碼攻擊及零日漏洞攻擊,提供 IoT 設備、IoT 應用及跨 IT/OT 的網關安全三方面的全程動態防護,降低維護成本,節約服務器資源和帶寬。
雷鋒網宅客頻道了解到,這是瑞數在推出 Web 端動態防范后,將安全版圖拓展到包含移動端、云端、API 及 IoT 應用安全在內的業務和應用安全領域的最新舉措。
實際上,瑞數該五大武器的產品負責人吳劍剛對雷鋒網說,從目前瑞數的客戶所有的接入渠道看,App 端的訪問量會比網站大,基本是 80% 和 20% 的局面,所以 App 的動態安全防護方案是主推的解決方案,同時面向應用與業務的安全,已然成為攻守兩方角力的重點,業務威脅感知則是另一個主力方案。與此同時,在數據和業務服務開放的當下,API 成為新崛起的流量,瑞數看好很有活力的云端市場,API 動態安全防護系統成了一個“新秀”方案。
下面,我們剖析一下上述“兩主一新”的武器。
與以往的 App 安全防護方案不同的是,這個安全方案可同時對 App、H5、WebView、網頁進行防護,這是其主打賣點之一。
很多傳統金融業客戶為了防止逆向和反編譯,做了App 加殼加固,但事實上,用戶不可能每次搞活動都升級手機 App,瑞數觀察到,很多用戶會把大量的促銷放在 H5 頁面上。
H5 頁面如何與身份驗證的要素結合?如何發現居心叵測的攻擊者或者羊毛黨?
傳統解決方案依靠生成設備指紋、設備信譽做安全防控,但都基于 App ,H5頁面上根本沒有任何信息,吳劍剛介紹,這個“武器”把App 跟 H5 的“指紋”關聯,建立“端到端”防護,跟傳統方案只防護App 或者服務器端不同的是,把 App 端和服務器端雙向防護起來。
除了應用威脅,還要應對通用性業務威脅,這就是業務威脅感知系統(Biz Insight)作為另一個主力方案的原因。這個以業務邏輯漏洞和業務邏輯濫用為核心的方案,本質上是個“感知+分析”的系統,可以理解為用戶行為分析系統。Biz Insight 識別和分析利用業務邏輯上的漏洞點進行訪問的這些行為,從而形成了業務欺詐行為或者業務威脅行為的感知、識別、分析,同時借助可編程對抗,軟阻攔技術等攔截。
馬蔚彥告訴雷鋒網,Biz Insight 與傳統反欺詐類產品的差別和優勢在于:
1) 動態技術讓這些欺詐行為的識別更靠前端,不是傳統的基于服務器側的日志,而是通過對客戶端 300多種信息的采集,在客戶端訪問還沒有到達業務系統前實現人機識別,將整個風控體現延伸到客戶端,實現風控前置。
2) 內置了OWASP 21種自動化威脅模型。傳統風控與業務關聯度高,定制性大,并且對于自動化工具的欺詐行為分析是薄弱的。Biz Insight 更聚焦在通用的欺詐行為——自動化威脅行為,并且采用行業內的標準分類,固化到產品中。既是補足和加強,同時其一定程度的通用性也降低了成本。
瑞數的 API 動態安全防護方案與其他武器的不同之處在于,首先,這個武器會感知任何渠道通過 API 進入的方法,自動發現、監控業務鏈條里所有的 API ,并實施攔截或者其他按需供給的動態方案。
這是一件很難的事情。一項業務里到底有多少 API,這是一個基本沒有人可以回答的問題,開發商換來換去,用戶也不可能知道自己所有的 API 接口。
在 API 多到“親媽都不知道時”,偽造一個 API 很簡單。吳劍剛說,用戶在開放能力時,會開放一些信息供人查詢,只要大致了解有什么 API,模擬一個 API 就可以通過查詢把數據全部“拿走”。更嚴重的是,用戶的 API 接口可能因此被刷爆,異常訪問流量一擁而入,正常訪問卻沒法進行。
因此,自動感知、發現業務上所有的 API,將關鍵 API 自動導入監控平臺,監控所有的 API 行為是否異常就顯得很重要。
這五大“武器”會先用在哪里?
從瑞數已有的客戶群體來看,政府、金融、電信、醫療、教育、電力能源、互聯網等行業和領域可能是目標。為了將動態安全的系列解決方案推向市場,宣布融資之時,英邁中國正式與瑞數信息達成總分銷合作協議。余亮表示,瑞數將集中精力開拓金融、運營商等頭部客戶,將出版業等領域交由分銷商拓展。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
