瑞數資訊：建構安全可信動态雲端web應用平台

随着雲計算時代的到來，越來越多的企業使用者将業務系統遷移至雲平台，利用雲平台提供各種web應用和服務。然而，這些雲端web應用和服務也是以成為黑客或各種惡意組織和個人為某種利益而攻擊的目标。

組成“雲平台”的各種系統和應用除了要面對傳統網絡環境中所面臨的病毒、木馬和惡意軟體等威脅之外，還要應對薅羊毛、刷單、黃牛黨、虛假賬号等業務欺詐，以及針對存放在“雲中”使用者資訊發起的惡意撞庫、拖庫、惡意爬蟲等攻擊，這些新型威脅手段繁多，特别是模拟合法業務邏輯操作的攻擊更是防不勝防，讓現有防護措施難以甄别。

動态變幻隐藏技術

如何解決雲端web應用所臨的安全問題？有沒有一種方案能夠輕量便捷、靈活高效地将web業務和應用安全地傳遞到雲架構中呢？答案是肯定的。瑞數颠覆性的創新動态安全技術可以與各類公有雲、私有雲和混合雲充分整合，幫助企業安全地将各類web業務和應用傳遞在雲架構中，防範黑客利用 web 應用天然缺陷對業務進行惡意攻擊，彌補傳統安全産品的技術短闆。

圍繞保護雲端web業務，瑞數“先發制人，掌握先機”的防護哲學徹底颠覆攻防态勢，通過動态封裝、動态驗證、動态混淆、動态令牌等變幻技術，隐藏攻擊入口，提升黑客攻擊難度，加快防護響應速度，降低企業管理負擔，全程保護web應用安全，主動識别和阻擋傳統防護手段乏力的自動化攻擊，同時将安全資料與海量威脅情報分析相結合，為使用者提供全景的安全威脅可視、攻擊溯源定位等功能。利用并結合雲平台的計算資源和應用資源，為企業客戶的業務提供從用戶端到雲端服務側的全方位安全保護。

動态雲端web應用安全防護

具體來說，瑞數動态雲端web應用安全防護方案可以實作業務反欺詐、資料防洩漏、威脅可視化和協同防護。

業務反欺詐：攔阻盜刷、套現、薅羊毛、違反業務邏輯操作等業務欺詐行為。

資料防洩漏：防護零日漏洞、撞庫、網頁後門、惡意代碼注入等自動化攻擊。

威脅可視：高效的可視化報表系統，豐富的多元度分析參數和實時圖表單元。

協同防護：即時捕獲各類攻擊，精确定位攻擊來源，與各類安全手段形成協同防護體系。

通過動态雲端web應用安全防護方案，使用者可以實作：

應用漏洞不再依賴更新檔 - 通過隐藏web網頁路徑及可能的攻擊入口，令漏洞掃描、漏洞利用的工具完全失效。

直擊未知攻擊及自動化攻擊 - 有效阻止撞庫、惡意注冊、惡意爬蟲、拖庫、應用ddos等攻擊行為。

彌補應用安全防禦空白 - 識别與阻擋多源低頻、模拟業務邏輯、網頁零日漏洞等新興攻擊，讓企業不再…..

統一安全管理 - 整合公有雲和私有雲，提供可視性和報告管理；

自動化流程 - 最大限度的減少配置失誤；

消除業務中斷或停止帶來的成本及名譽損失；

最大的靈活性 - 将工作負載、應用程式及資料中心安全遷移到公有雲。

動态雲端web應用安全防護場景

絕大部分網站、電商、網上銀行等都需要進行web安全設防。在長期的實踐當中，瑞數的安全專家梳理出三種典型的動态雲端web應用安全防護場景，如下：

業務欺詐

刷單 - 防止商家通過工具刷單，虛假提升自己的排名或評價。

薅羊毛 - 防止“羊毛黨”通過惡意注冊等方式繞過平台驗證，批量套取活動優惠和促銷，賺取利潤。

短信轟炸 - 防止黑客濫用短信發送接口，批量或向指定手機号發送垃圾短信，影響正常手機使用。

黃牛黨 - 防止通過自動化工具大量從多點多賬号登入并參與搶購活動，進而倒賣獲利。

套現 - 防止惡意使用者通過技術手段繞過安全限制，進行虛假交易，換取積分，兌換禮品後套現獲利。

虛假賬号 - 防止通過虛假手機或臨時郵箱，通過自動腳本注冊大量垃圾賬号。

資料洩露

撞庫 - 防止黑客通過黑産資料庫，利用自動化程式實施登入嘗試，盜取合法賬号，進而擷取使用者資訊或讓使用者資金蒙受巨額損失。

拖庫?利用合法身份或盜用身份，通過腳本或者編制程式，模拟合法業務邏輯進行的批量資訊導出

惡意爬蟲 - 有效攔阻攻擊者利用自動化程式爬取網站企業資訊、商品資訊、評論資訊等内容，還原關鍵敏感資料。

威脅可視

内置可視化報表子系統，提供豐富的多元度分析參數和實時圖表單元，能夠将諸如攻擊類型、攻擊方式、攻擊路徑、源ip位址、異常流量占比等關鍵資訊一目了然地展示出來。

發現隐藏ip和攻擊以及網頁針對性攻擊的企圖

web應用安全是一個如何強調都不為過的事情，千裡之行始于足下，瑞數動态雲端web應用防護實作線上安全第一步，其低成本、輕量級、快速響應的優勢特點，讓更多企業使用者在享受雲服務便捷和成本優勢的同時，不再擔憂雲的安全性，全力擁抱雲計算。

關于瑞數

瑞數資訊( river security )，成立于2012年，專注于提供業界最前沿的網際網路動态業務應用安全防護解決方案。總部位于上海，在北京和深圳分别設有分支機構，并在成都設立了研發中心。首創的“動态安全”主動防護技術完全颠覆了延續20多年的傳統安全技術基礎，可以有效抵禦各類自動化攻擊或模拟合法操作的交易欺詐行為，阻擋能力更高效、更及時，同時大幅度降低部署及使用成本。

本文轉自d1net（轉載）