首頁 > 信息安全 > 正文

新基建背后的隱憂——自動化攻擊下的企業安全之道

2020-05-13 10:33:06  來源:企業網D1Net

摘要:2020年由于新冠疫情影響全球經濟受到重創,國家為刺激經濟復蘇,確定了以5G基站建設、城際高速鐵路和城市軌道交通、大數據中心、
關鍵詞: 新基建 安全
  2020年由于新冠疫情影響全球經濟受到重創,國家為刺激經濟復蘇,確定了以5G基站建設、城際高速鐵路和城市軌道交通、大數據中心、人工智能、工業互聯網等領域的數字化和智能化方向的科技投資,加速產業升級。新技術在各行業滲透的同時對信息安全帶來了巨大挑戰。
 
  瑞數信息近日發布的《2020 Bots自動化威脅報告》(以下簡稱《報告》)中顯示,Bots機器人攻擊在逐年增加,其流量占到正常流量的一半以上。攻擊者利用Bots自動化工具占用了大量社會資源,包括搶票、秒殺、薅羊毛、掛號等。而國內的Bots攻擊形勢更為嚴峻,尤其在一些資源搶占類和信息公示類系統中,Bots發起的訪問請求占比甚至超過 80%。同時相對傳統安全攻防,企業普遍缺乏對于Bots攻擊的認知和防護,這進一步加劇了Bots攻擊帶來的危害。
 
  “我們收集了包含政府、金融、電信、電商、教育、能源等八大行業的200多家客戶的真實威脅數據制作了這份報告。”瑞數信息CTO馬蔚彥告訴記者,“數據已成為企業的重要生產要素,自動化攻擊的增長趨勢不容忽視。傳統的反自動化攻擊手段如特征識別技術對于簡單的機器人攻擊的防范能力有一定效果,但面對愈加智能的自動化攻擊則收效漸微。”
 
  《報告》指出,從Bots攻擊流量最主要的關注點和對業務影響的角度,Bots攻擊主要來自5大類: 一、漏洞探測利用,二、模擬正常業務操作邏輯搶占業務資源,三、爬蟲獲取高價值數據,四、暴力破解或者撞庫獲取賬號信息,五、面向應用和業務的拒絕服務攻擊。
 
  這導致很多企業損失慘重:2019年拼多多平臺優惠券被薅羊毛,損失近千萬;抖音平臺千萬賬號被撞庫攻擊,黑客通過其他平臺交叉撞庫獲取更多平臺賬戶,非法獲利百萬……瑞數信息在防范這種自動化攻擊方面采取了更為有效的技術——動態防御。馬蔚彥指出:“動態防御技術的特點是不依賴于傳統的特征識別,通過動態封裝、動態驗證、動態混淆、動態令牌這四種核心動態技術來識別并抑制機器人的攻擊。他不是被動的防御,而是主動地讓網站、IT系統成為不斷變化的動態系統,迷惑、擾亂攻擊者。”
 
  動態技術也將是未來的發展方向。“機器人攻擊是用機器來模擬人的行為,因此我們通過讓被攻擊目標主動變換,不按照一個既定的程序進行,每一次信息請求就變換一次,這樣來提高攻擊的難度,有效抑制自動化的攻擊。除了以上說的的四種動態技術,還將加入動態挑戰和動態響應來完善動態技術。”
 
  利用這種技術對銀行業的收效更為明顯。中小金融機構的安全面臨兩大困境:首先是新產品采用第三方解決方案。比如移動APP這種產品采用第三方技術,在安全方面的可靠度很難把控,中小金融機構維護起來也更加困難。其次,中小金融機構的安全保護能力有限,整個運營人手就缺乏,應對攻擊的手段也不全面,在面對高級別攻擊時就更加被動。
 
  “因此,在提升安全防護時首先要從自身著手,增強安全意識的管理。其次,惡補短板,按照等保等級做到安全合規,補齊短板。最后就是采用新型的防護機制,通過一些智能威脅識別的機制,提升整體防護能力。整體來說就是先打好基礎,然后再來做這種安全的加固、延伸。”馬蔚彥為企業的安全管理提出了一個行之有效的思路。
 
  面對搶占流量日益猖獗的爬蟲,瑞數信息也積累了行之有效的治理方案。瑞數信息首席安全顧問周浩介紹:“爬蟲是一種對抗性很強又很難管理的自動化攻擊。一方面要區分出正常人類的流量,另一方面又不能簡單粗暴地封鎖干掉所有的爬蟲,還要讓一部分有助于信息推廣的爬蟲可以訪問,甚至有些系統是允許爬蟲來訪問的,只有爬蟲訪問影響到業務正常運行時才進行處理。在這樣的要求下我們采用定制性的管理策略。通過瑞數信息自主研發的動態技術對所有的訪問行為進行監測,可以清楚地知道當前請求的狀態,哪些是正常人的行為,哪些是爬蟲,一旦需要對爬蟲進行處理里,系統就會啟用相應的保護策略,對異常請求進行攔截,保證正常業務不受影響。處理的方式也是多種多樣的,例如直接攔截,或者引流到特定的服務器等等。”
 
  “此外,我們還會根據現有的爬蟲進行情報收集,例如客戶端特征、行為特性、高質量IP代理信息等等,通過收集這些爬蟲自己送上門的情報,來進一步豐富我們的情報庫,提升爬蟲識別的技術儲備。”
 
  攻與防在安全領域是永恒的對立與統一。攻擊技術的不斷進步也驅動著防守的不斷進化。瑞數信息另辟蹊徑以攻代防,以變應變的策略有效提高了攻擊者的難度,我們相信在加入智能機器識別、智能威脅檢測、以及全息設備指紋等新技術后,瑞數信息將把企業的安全防護水平提到一個新的臺階,幫助企業降低風險,成為保護新基建的堅固盾牌。

第三十屆CIO班招生
法國布雷斯特商學院碩士班招生
北達軟EXIN網絡空間與IT安全基礎認證培訓
北達軟EXIN DevOps Professional認證培訓
責編:zhangwenwen
好运南京麻将安卓版 澳门十大赌场排名 分分彩是合法的吗 股票开户证券公司哪家好 贵州十一选五中奖规则 江苏体彩7位数预测 能交易的炒股软件 股票分析论文 大发快三技巧 彩发发怎么下载不了了 腾讯分分彩官网在线