9月28日,中國高校資料洩密違法處罰第一案誕生——國家網絡與資訊安全資訊通報中心通報:淮南職業技術學院系統存在高危漏洞,系統存儲的4353餘名學生身份資訊已經造成洩露。據悉,該校招生資訊管理系統存在越權漏洞、背景登入密碼弱密碼、重要資料無備份、無加密等多處疏漏,被犯罪分子通過拖庫、刷庫等不法攻擊行為竊取機密資料。
這是中國高校第一案,但絕對不會是最後一案。安全分析機構Risk Based Security(RBS)釋出的年中報告也佐證了這一點:截至2017年6月,全球發生了2227起資料洩露事件,黑客從中竊取了60億條記錄,這幾乎是2016年被竊取的醫療和金融資料總和。
當我們不停呼籲業界提高資料安全意識和防禦水準的同時,其實應該也能夠感受到來自黑客世界“黑雲壓城城欲摧”的壓力。換一個角度思考,黑客為什麼能夠如此“高效率”地成功“拖庫”?自動化程式攻擊絕對立了一大功。
先看看黑客是如何得手的!
“拖庫”的方法和手段多種多樣,其中通過Web應用盜取背景資料庫中的資料,甚至資料庫整體被“拖庫”的危害更為嚴重,也更加難以被識别和阻攔。黑客是如何通過Web應用進行“拖庫”的呢?
大緻手段離不開兩類途徑:一是黑客發現web應用的漏洞後,利用漏洞,通過程式和工具進行拖庫;二是黑客沒有發現漏洞,但是通過頁面提供資料查詢、展示、下載下傳等相關服務内容的Web應用,直接通過爬蟲程式進行批量資料爬取和拖庫。
簡而言之,“拖庫”的途徑和特點是:利用“工具”。這些工具包括:漏洞掃描器、漏洞利用工具、爬蟲工具等。那麼最好的防禦方法就是識别出這些工具,堅決将這些工具拒之門外。傳統的安全防禦手段往往識别不出這些自動化攻擊程式的“拟人”行為,是以要想從根源實作“防撞庫”,就必須采取新的思路和新的方法。
動态安全技術火眼金睛,一個“工具”都不放過!
瑞數資訊的防拖庫動态安全解決方案的核心是采用“動态安全技術”,結合用戶端行為分析,識别“工具”行為還是正常“人”的操作行為,可發現惡意爬蟲、漏洞利用工具及掃描器的行為,并可實施攔截。
該技術可以在實施“拖庫”的多個可能的環節進行層層防護:
第一層防禦:在攻擊者對web進行漏洞掃描時,防護系統即可發現是掃描器“工具”行為,在攻擊者尋找網站攻擊入口時攔截。
第二層防禦:如果漏洞已經被發現,并正在被利用,利用漏洞的“拖庫”操作一定也是“工具”,動态技術可以在“拖庫”行為發生時攔截。
第三層防禦:如果黑客不是通過漏洞利用,而是“爬蟲”行為的不間斷拖庫操作,同樣也是采用“工具”,動态技術可以在“爬蟲”進行資料爬取時攔截。
為什麼瑞數資訊的動态安全技術可以如此精準地識别出自動化程式攻擊的所有程序呢?這主要是因為動态安全技術精确切準了自動化程式攻擊的脈。正所謂“萬變不離其宗”,隻要是程式和工具行為,就一定存在着工具特征,而動态安全技術所依賴的并不是“通路頻率的快慢”,“IP來源的集中與否”這些單一進制素及傳統的工具判斷手段,來判斷頁面通路行為是否為工具,而是不管這個工具是什麼名字,在業務邏輯的哪個環節,模拟了哪類浏覽器、是否不斷更換工具和改變IP,它都可以知曉是程式性質的行為,同時結合行為分析進行更精準的識别和阻攔。
更值得一提的是,瑞數行為分析系統采用全程式感覺模式,其感覺半徑不僅僅局限于在伺服器端進行業務流程的觀測和分析,還覆寫了諸如PC、移動裝置和物聯網節點等使用者終端側面。通過在終端裝置上采集不同平台的浏覽器指紋、插件等環境參數,以及使用者的鍵盤、滑鼠動作、螢幕觸摸等行為特征,綜合分析通路端的通路方式、工具和意圖,從廣度上極大地拓展了整個系統對行為分析的能力。
随着企業客戶數字化轉型的深入,安全風險抵禦能力将成為其不可忽略的重要基石。在黑色産業鍊“寸草不留”的瘋狂攻擊下,企業客戶必須學會用新的思路新的工具去規避可能存在的風險,而瑞數動态安全解決方案就為轉型中的企業提供了一個值得信賴的選擇。
原文釋出時間為:2017-10-20
本文作者:周雪
本文來自雲栖社群合作夥伴51CTO,了解相關資訊可以關注51CTO。
![【圖解HTTP】——確定Web安全的HTTPSHTTPS小結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)