越來越泛濫的零日攻擊

在大多數網絡安全從業者意識中，“零日攻擊”往往是讓人非常頭痛的安全威脅。其高威脅性、突發性、高破壞性、大規模性的主要特點，讓零日攻擊能在網絡安全地下黑市歷時十多年都長盛不衰。近幾年，零日漏洞的披露越來越多，影響面也越來越波及到各行各業，不僅僅是安全界，甚至也成為企業里的難題，究其原因，開源代碼的不斷擴散，被企業用于業務系統的開發，縮短項目周期，盡快將業務推向市場，是其根源之一。

這些開源組件中的代碼被多種設備，多個系統復用，組件中一旦發現零日漏洞，產生的風險往往是成倍增長的。去年到今年，接二連三的Struts S2零日漏洞就證明了這一點。

2016年4月15日，國內安全專家發現并公布了在Struts2上的一個嚴重遠程代碼執行漏洞S2-032，黑客可以利用該漏洞輕易攻陷網站服務器，獲取網站注冊用戶的帳號密碼和個人資料，通過瀏覽器在遠程服務器上執行任意系統命令，受影響站點可能引發數據泄露、網頁篡改、植入后門、成為肉雞等一系列重大安全事件。該漏洞最直接影響到的就是金融行業、運營商、各大門戶和電商。而這些企業機構掌握的核心的數據資產，因此影響極為嚴重。

傳統安全手段力不從心

面對此類新型的互聯網安全威脅，尤其是零日攻擊，傳統的安全防護技術往往顯得力不從心。過去針對此類漏洞，通常采用的防護手段是以打補丁和更新軟件版本為主。如果通過Web應用防火墻產品進行防護，需要廠家根據漏洞利用的攻擊特征，更新其策略規則或者特征庫之后，才能進行防御，但顯然已經是“滯后于攻擊”的防護結果了。

而且，漏洞被發現和公布時，通常已經有漏洞利用工具先行流傳和傳播于互聯網，行業和企業用戶的Web應用勢必受到影響。這種事后的被動式防御手段，在新的威脅面前處處被掣肘。如果企業大面積使用這些開源組件作為軟件基礎平臺，則大規模的查漏洞、打補丁的工作，會令用戶備受困擾。

動態安全 - 先于攻擊的主動防御之道

瑞數信息的動態安全技術可以非常好地解決零日漏洞攻擊問題。通過針對網頁的動態變幻技術實現實時和在線的防護，讓攻擊程序無法進行漏洞利用的嘗試，從而在補丁沒有更新、傳統防護手段未到位的時候，保護客戶的應用不受影響。

“瑞數機器人防火墻的引擎，并不是在零日漏洞被披露后的快速特征庫、規則庫的更新，其實現機理并非傳統靠零日漏洞的攻擊特征來識別和阻擋攻擊，而是通過識別攻擊是否為腳本、程序、工具，以及結合動態令牌及動態驗證技術進行的識別和阻擋。因此，假設在零日漏洞被披露之前，漏洞利用的方法和工具被惡意地使用在企業中，瑞數機器人防火墻即可先于零日攻擊進行有效阻攔。”

馬蔚彥還提到：“實際上，零日漏洞的披露往往伴隨著漏洞檢測的手法，這些手法的披露是把雙刃劍，在檢測是否有零日漏洞的同時，也是大量利用漏洞的時機。換句話說，手法本身對攻守兩方幾乎是對等的，對于企業的安全來講比的就是誰‘快’。顯然，打補丁、設規則是一定滯后于攻擊手段的，補丁空窗期的一次漏洞利用的攻擊，輕則植入木馬，重則信息外泄”。

關鍵技術主要體現在“變幻”和“動態”兩大亮點上。

所謂變幻是指對敏感內容進行變幻，包括客戶端輸入和提交的數據內容，也包括URL、Cookie、服務器返回頁面中可能成為攻擊入口的Html參數信息。

而動態是指封裝及混淆算法的動態，運用在每一個頁面每次返回客戶端時動態封裝中;令牌隨機動態生成，在瀏覽器應用及環境驗證方法也有動態變化。

動態安全的價值：為企業安全提供新的主動防護思路

在零日漏洞面前，在傳統安全技術之上的監控、響應、預警盡管是加強主動防御的重要手段，但依然不能根本性地扭轉防守方的被動局面，瑞數信息創新動態安全技術可以阻擋多源低頻攻擊，還能感知和透視到來自客戶端瀏覽器的惡意行為，在漏洞利用時進行的識別和防護，是針對web零日漏洞在技術機理上真正的主動防御。

像上文提到了Struts2 漏洞，瑞數信息在日前就與之交鋒，交出了令客戶滿意的答卷。一家大型企業客戶通過瑞數機器人防火墻的動態安全技術，在兩會保障期間監控日志發現并阻擋了一年前的S2-032漏洞攻擊。當時正值S2-45漏洞剛剛正式發布，企業采用Web應用防火墻升級特征庫的手段，抵御了S2-45漏洞。但是黑客并不死心，轉而用一年前的S2-032漏洞，恰巧Web應用防火墻并未升級改漏洞的防護規則，造成攻擊穿透了WAF防護。幸而瑞數機器人防火墻在線，即便穿透WAF，依然被阻擋。后來分析發現，事實上，早在S2-45漏洞公布前兩天，網站就曾經有過一批利用多種S2漏洞的攻擊手段在進行活動。瑞數信息通過動態安全技術，不僅抵御了來自S2-045、S2-032的漏洞攻擊，還成功攔截了數千次在漏洞公布前的S2攻擊(繞過了該網站所有WAF)，極大地提升了系統的安全防御水平。

事實上，瑞數信息的動態安全技術不僅比傳統打補丁的方法更及時、更有效，而且對其他類似零日漏洞利用的攻擊，尤其是利用各種漏洞進行業務違規操作也非常有效，例如網頁越權訪問、中間人攻擊、惡意注冊、惡意訪問等行為都得到了扼制。

此外，不僅僅是零日漏洞，針對已知漏洞的探測和掃描行為這些工具化、自動化的機器人行為，經過瑞數機器人防火墻的防護，令漏洞掃描無法發現web應用的漏洞，在企業客戶面臨經常性的、甚至常常是緊急的打補丁的繁雜運維工作時，或者打補丁影響業務系統的艱難處境面前，這種漏洞隱藏的方式和零日漏洞的主動防御手段無疑會深受企業的歡迎。

目前在國內眾多電信運營商、銀行、政府以及大型企業中，動態安全技術得到非常好的實踐檢驗，效果顯著，受到客戶的青睞的好評。