[[188848]]

為求獲取龐大經(jīng)濟(jì)利益，甚至達(dá)成某種特定利益目的，黑客組織對商業(yè)機(jī)構(gòu)或政府網(wǎng)站發(fā)動攻擊事件屢見不鮮。日前，由上海社會科學(xué)院信息研究所、中國信息通信研究院安全研究所發(fā)布了一份《網(wǎng)絡(luò)空間安全藍(lán)皮書：中國網(wǎng)絡(luò)空間安全發(fā)展報告(2016)》，藍(lán)皮書里面披露的數(shù)據(jù)讓人觸目驚心： 據(jù)監(jiān)測，2015年，我國政府網(wǎng)站被入侵21674次，較2014年增長36.7%;我國地方政府網(wǎng)站成為受攻擊的“重災(zāi)區(qū)”，植入后門和網(wǎng)站被篡改的情況依然嚴(yán)重。

難道在面對黑客日新月異的攻擊面前，我們真的束手無策嗎?非也。瑞數(shù)采用創(chuàng)新動態(tài)安全技術(shù)架構(gòu)的機(jī)器人防火墻可以通過隨機(jī)變幻網(wǎng)頁原始代碼，讓模擬合法操作的自動化攻擊行為徹底失效，可阻擋約99%以上的非法行為。

拒絕惡意“爬蟲”爬取關(guān)鍵數(shù)據(jù)

隨著 “互聯(lián)網(wǎng)+政務(wù)”的快速推進(jìn)，政府網(wǎng)站正面臨著越來越復(fù)雜的安全挑戰(zhàn)。一方面，網(wǎng)頁應(yīng)用漏洞依然層出不窮，傳統(tǒng)防護(hù)依靠不停的查補(bǔ)漏洞、更新規(guī)則，無法避免亡羊補(bǔ)牢、疲于奔命的被動局面。另一方面，政務(wù)服務(wù)和數(shù)據(jù)不斷向網(wǎng)上遷移，除了傳統(tǒng)的“防篡改”、“防掛馬”外，被廣泛用于數(shù)據(jù)獲取的“爬蟲”工具，令政府網(wǎng)站面臨著業(yè)務(wù)和數(shù)據(jù)安全的雙重嚴(yán)峻挑戰(zhàn)。據(jù)統(tǒng)計，目前40% - 60%的網(wǎng)絡(luò)流量來自爬蟲，而這一比例在提供公眾查詢的服務(wù)性網(wǎng)站業(yè)務(wù)中甚至更高。爬蟲爬得不亦樂乎，但被爬的網(wǎng)站卻不堪其擾。據(jù)馬蔚彥介紹，遭受“爬蟲”騷擾的網(wǎng)站，一方面業(yè)務(wù)服務(wù)的可用性受到巨大影響，系統(tǒng)宕機(jī)、網(wǎng)絡(luò)帶寬資源被占滿的情況時有發(fā)生，影響了政府對公眾的服務(wù)能力。

她介紹到，當(dāng)前數(shù)據(jù)帶來的價值已經(jīng)被普遍認(rèn)同，并受到空前的關(guān)注，于是對數(shù)據(jù)的爭奪所引發(fā)的安全對抗也將會愈加激烈。我們不僅可以看到的招聘簡歷、人資社保、工商稅務(wù)、專利信息查詢等政府和企業(yè)的正規(guī)線上數(shù)據(jù)服務(wù)，同時也看到泛濫在互聯(lián)網(wǎng)上的非正常的數(shù)據(jù)應(yīng)用服務(wù)，以及線下的非法數(shù)據(jù)售賣。這些數(shù)據(jù)應(yīng)用服務(wù)很多都是通過運(yùn)用爬蟲工具去競爭對手網(wǎng)站、政府公眾服務(wù)類網(wǎng)站爬取的信息，經(jīng)過二次分析或者加工對外提供有償性服務(wù)。這一方面增加了企業(yè)及公民信息外泄和被利用被偽造的風(fēng)險，一方面會造成互聯(lián)網(wǎng)商業(yè)競爭環(huán)境的惡化。

馬蔚彥提到，“爬蟲技術(shù)不斷發(fā)展，手段越來越高級，傳統(tǒng)反爬蟲技術(shù)通過惡意IP來源庫，以及爬蟲訪問頻率的方式，已經(jīng)難以應(yīng)付。瑞數(shù)的動態(tài)安全技術(shù)，改變傳統(tǒng)的安全防護(hù)思路，從識別“自動化、工具化”為核心，通過動態(tài)封裝、一次性的動態(tài)令牌、動態(tài)驗(yàn)證等多個動態(tài)引擎，有效識別和阻止各類新型的爬蟲工具，保護(hù)企業(yè)的數(shù)據(jù)資產(chǎn)，保障正常的業(yè)務(wù)和數(shù)據(jù)服務(wù)。”

阻擋機(jī)器人搶票的殺手锏

利用機(jī)器人程序進(jìn)行搶票并轉(zhuǎn)售的現(xiàn)象一直存在于各種在線購物、線上購票、網(wǎng)絡(luò)游戲之中。2016年8月2日，歌手李宇春2016野蠻生長巡演深圳站，樂視商城售賣的200張1880元和200張1280元門票秒罄。經(jīng)查明，活動訂單中存在大量黃牛訂單，為了防止黃牛加價售票從中非法牟利，最后樂視商城不得不取消所有訂單。

馬蔚彥指出：“這些機(jī)器人程序是針對某個網(wǎng)站業(yè)務(wù)所設(shè)計的定制化軟件，自動化地實(shí)現(xiàn)網(wǎng)站的購買業(yè)務(wù)操作流程，比如，能自動快速填入網(wǎng)頁中的每個欄目的資料，因此能于短短2-3秒內(nèi)完成訂票工作，造成熱門商品、演唱會門票剛開賣，隨即出現(xiàn)銷售完畢的怪異現(xiàn)象。產(chǎn)生這一結(jié)果的根本原因就是機(jī)器人程序，以‘機(jī)器人’代替‘真人’行為導(dǎo)致的。由于與業(yè)務(wù)相關(guān)性大，傳統(tǒng)這類問題往往通過應(yīng)用開發(fā)進(jìn)行解決，而常規(guī)的做法是通過購票業(yè)務(wù)操作提交的頻度、數(shù)量等進(jìn)行限制和判別“非人”行為，但發(fā)現(xiàn)在強(qiáng)力而持續(xù)的‘機(jī)器人’行為面前，這些遏制的手段依然不能有效阻止，正常的購買訪問還是會受到影響。

瑞數(shù)信息自行研發(fā)的機(jī)器人防火墻，采用全新概念設(shè)計的動態(tài)安全技術(shù)架構(gòu)，并不依賴限制頻度、數(shù)量的機(jī)器人判定方式，而是以動態(tài)生成令牌、動態(tài)驗(yàn)證訪問行為等方式判斷“人”與“機(jī)器人”，比如，無需在訂票的頻度或者訂票數(shù)量達(dá)到某個門限值的時候就能進(jìn)行判別和阻攔。這種識別是否自動化操作的機(jī)制，使得防護(hù)功能不依賴某個特定應(yīng)用，任何模擬業(yè)務(wù)邏輯的“非人”訪問行為，均可被識別。

“根據(jù)有在線業(yè)務(wù)的企業(yè)實(shí)際應(yīng)用后發(fā)現(xiàn)，瑞數(shù)機(jī)器人防火墻大約可以阻擋95%以上的業(yè)務(wù)濫用性機(jī)器人攻擊行為，有助于維持交易的公平性及既有應(yīng)用服務(wù)器的穩(wěn)定性。” 瑞數(shù)信息首席策略官馬蔚彥女士強(qiáng)調(diào)。

零補(bǔ)丁、零規(guī)則 - 跑贏零日漏洞

零日漏洞問題讓安全從業(yè)者頭疼，最初是因零日攻擊被用來針對政府及國家重要基礎(chǔ)設(shè)施，常常與APT關(guān)聯(lián)起來，并非傳統(tǒng)安全技術(shù)，甚至不是單一技術(shù)能給予防范的。因涉及關(guān)鍵行業(yè)和系統(tǒng)，它的風(fēng)險和危害極大，然而涉及企業(yè)面并不十分廣泛。而近幾年零日漏洞的披露越來越多，影響面也越來越波及到各行各業(yè)，不僅僅是安全界，甚至也成為企業(yè)里的難題，究其原因，開源代碼的不斷擴(kuò)散，被企業(yè)用于業(yè)務(wù)系統(tǒng)的開發(fā)，縮短項目周期，盡快將業(yè)務(wù)推向市場，是其根源之一。

這些開源組件中的代碼被多種設(shè)備，多個系統(tǒng)復(fù)用，組件中一旦發(fā)現(xiàn)零日漏洞，產(chǎn)生的風(fēng)險往往是成倍增長的。去年到今年，接二連三的Struts S2零日漏洞就證明了這一點(diǎn)。

而對于此類漏洞的防護(hù)手段目前采用的是以打補(bǔ)丁和更新組件版本為主，傳統(tǒng)WAF廠商依據(jù)漏洞利用的攻擊特征，更新其策略規(guī)則或者特征庫之后才能有效防御。在這種“滯后于攻擊”的防護(hù)現(xiàn)狀中，安全廠商和企業(yè)能夠做到快速預(yù)警、及時響應(yīng)就已經(jīng)很好了。然而，漏洞被發(fā)現(xiàn)和公布時，通常已有漏洞利用工具已經(jīng)先行流行和傳播于互聯(lián)網(wǎng)，一些企業(yè)的Web應(yīng)用勢必受到此類零日攻擊的影響，這種事后的被動式防御手段在新的威脅面前顯然是力不從心，如果企業(yè)大面積使用這些開源組件作為軟件基礎(chǔ)平臺，則大規(guī)模的查漏洞、打補(bǔ)丁的工作，也令用戶備受困擾。

“瑞數(shù)機(jī)器人防火墻的引擎，并不是在零日漏洞被披露后的快速特征庫、規(guī)則庫的更新，其實(shí)現(xiàn)機(jī)理并非傳統(tǒng)靠零日漏洞的攻擊特征來識別和阻擋攻擊，而是通過識別攻擊是否為腳本、程序、工具，以及結(jié)合動態(tài)令牌及動態(tài)驗(yàn)證技術(shù)進(jìn)行的識別和阻擋。因此，假設(shè)在零日漏洞被披露之前，漏洞利用的方法和工具被惡意地使用在企業(yè)中，瑞數(shù)機(jī)器人防火墻即可先于零日攻擊進(jìn)行有效阻攔。”

馬蔚彥還提到：“實(shí)際上，零日漏洞的披露往往伴隨著漏洞檢測的手法，這些手法的披露是把雙刃劍，在檢測是否有零日漏洞的同時，也是大量利用漏洞的時機(jī)。換句話說，手法本身對攻守兩方幾乎是對等的，對于企業(yè)的安全來講比的就是誰‘快’。顯然，打補(bǔ)丁、設(shè)規(guī)則是一定滯后于攻擊手段的，補(bǔ)丁空窗期的一次漏洞利用的攻擊，輕則植入木馬，重則信息外泄”。

在零日漏洞面前，在傳統(tǒng)安全技術(shù)之上的監(jiān)控、響應(yīng)、預(yù)警盡管是加強(qiáng)主動防御的重要手段，依然不能根本性地轉(zhuǎn)本防守方的被動局面，瑞數(shù)信息通過創(chuàng)新的動態(tài)安全技術(shù)，在漏洞利用時進(jìn)行的識別和防護(hù)，是針對web零日漏洞在技術(shù)機(jī)理上真正的主動防御。

不僅僅是零日漏洞，針對已知漏洞的探測和掃描行為同樣也是工具化、自動化的機(jī)器人行為，經(jīng)過瑞數(shù)機(jī)器人防火墻的防護(hù)，令漏洞掃描無法發(fā)現(xiàn)web應(yīng)用的漏洞，在企業(yè)客戶面臨經(jīng)常性的、甚至常常是緊急的打補(bǔ)丁的繁雜運(yùn)維工作時，或者打補(bǔ)丁影響業(yè)務(wù)系統(tǒng)的艱難處境面前，這種漏洞隱藏的方式和零日漏洞的主動防御手段無疑會深受企業(yè)的歡迎。

構(gòu)建360o無死角的防護(hù)網(wǎng)

當(dāng)然，企業(yè)若要保護(hù)應(yīng)用網(wǎng)站服務(wù)器的安全，絕對不可能僅僅依靠某種單一防護(hù)方式，而是要從減少網(wǎng)站漏洞本身做起，并且搭配多種資產(chǎn)安全設(shè)備，構(gòu)建一張360°無死角的防護(hù)網(wǎng)。

更重要的是，企業(yè)IT部門管理者應(yīng)該從黑客思維出發(fā)，重新檢視應(yīng)用服務(wù)網(wǎng)站的漏洞，才能打造出可阻擋惡意軟件與機(jī)器人程序入侵的防護(hù)機(jī)制。

據(jù)了解，瑞數(shù)機(jī)器人防火墻已在國內(nèi)市場廣泛得到廣泛運(yùn)用，國內(nèi)眾多大型企業(yè)都是瑞數(shù)信息的忠實(shí)用戶。用戶范圍遍及電信、銀行，以及許多以網(wǎng)絡(luò)應(yīng)用服務(wù)為主的產(chǎn)業(yè)機(jī)構(gòu)。未來，瑞數(shù)信息的動態(tài)安全防御體系能夠幫助越來越多的企業(yè)走出安全威脅的陰影。

“瑞數(shù)信息已經(jīng)意識到應(yīng)用的普及給資產(chǎn)安全帶來的巨大挑戰(zhàn)。”馬蔚彥表示，現(xiàn)今各種應(yīng)用服務(wù)的網(wǎng)站面臨的資產(chǎn)安全挑戰(zhàn)遠(yuǎn)勝于過去，除了將之歸咎于黑客攻擊手法不斷進(jìn)步之外，更與應(yīng)用服務(wù)的深入發(fā)展有關(guān)。她介紹到，國內(nèi)不少新興的數(shù)據(jù)應(yīng)用服務(wù)都是通過運(yùn)用各種機(jī)器人程序，模擬合法操作竊取并匯總不同網(wǎng)站的用戶數(shù)據(jù)，進(jìn)行二次分析、商品推薦及數(shù)據(jù)售賣服務(wù)，導(dǎo)致用戶網(wǎng)站負(fù)荷在無形中增