本次活動吸引了太平洋保險、長生人壽保險、東京海上日動火災(zāi)保險、甜橙金融、安達保險、中信保、平安科技、太平共享金融、上海盛付電子支付、寶尊電商等多家保險、金融類企業(yè)的的安全負責(zé)人和技術(shù)骨干參與。瑞數(shù)信息作為創(chuàng)新安全廠商,實地分享動態(tài)安全防御方案,與客戶在深度交流碰撞中共同探索網(wǎng)絡(luò)安全新發(fā)展。
瑞數(shù)信息技術(shù)總監(jiān)吳劍剛以“一場沒有硝煙的戰(zhàn)爭——自動化攻擊與動態(tài)防御演示”為題進行演講。
瑞數(shù)信息技術(shù)總監(jiān)吳劍剛
與會人員共聽瑞數(shù)動態(tài)防御新方案
演講中,根據(jù)自動化工具的升級路線,瑞數(shù)信息將其分為五個層次,工具識別與防護難度層層遞進:
第一層
簡單的腳本和工具,包括hydra、python、sqlmap等。這是最簡單也是最常見的攻擊手段,攻擊者甚至不需要太多安全技術(shù)就可以在網(wǎng)上找到腳本、工具,發(fā)起攻擊的門檻非常低。
l 舉個例子
利用python腳本進行撞庫時,通常可以設(shè)置IP地址代理和請求頻率,快速、批量地嘗試用戶名、密碼登陸;登陸成功后,即可以看到所有的用戶數(shù)據(jù)。前段時間A站信息泄漏就是遭受這類撞庫攻擊的嚴重后果。
l 瑞數(shù)的解決之道
簡單的腳本攻擊甚至根本無法通過瑞數(shù)動態(tài)防御的第一步——動態(tài)封裝,即將網(wǎng)頁敏感內(nèi)容封裝成亂碼,使得攻擊者無法讀懂代碼。找不到登陸入口,也就無法發(fā)起針對性攻擊。
第二層
具備JS解析能力的工具,如AppScan、AWVS、SlimerJS、PhantomJS等。
l 舉個例子
利用此類漏洞掃描工具對某網(wǎng)站進行掃描后,目錄結(jié)構(gòu)被全部爬出,發(fā)現(xiàn)12個高危漏洞,共發(fā)出18068個請求。
l 瑞數(shù)的解決之道
經(jīng)過動態(tài)技術(shù)對URL的動態(tài)封裝,對保護后的同一頁面再次進行掃描,目錄結(jié)構(gòu)卻完全沒有被爬出,也沒有發(fā)現(xiàn)任何高危漏洞,共發(fā)出4284個請求。前后對比十分強烈。
第三層
腳本驅(qū)動瀏覽器,如WebDriver、Appium、Browser Plugin等。這類攻擊通過瀏覽器插件等工具驅(qū)動瀏覽器,可以全模擬瀏覽器操作,幾乎能夠繞過包括驗證碼在內(nèi)的所有傳統(tǒng)安全防護。
l舉個例子
利用WebDriver,可以批量進行自動化查詢和轉(zhuǎn)賬,該動作不斷自動循環(huán),數(shù)據(jù)安全、業(yè)務(wù)安全難以保證。
l 瑞數(shù)的解決之道
經(jīng)過瑞數(shù)防護,仍然利用WebDriver,打開的頁面卻一片空白,攻擊者無法獲取任何信息。瑞數(shù)“動態(tài)技術(shù)”會對所有客戶端進行動態(tài)校驗,進行人機識別;就像安檢儀的功能一樣,我們會基于一定的環(huán)境驗證、行為驗證來取得指紋,做行為軌跡追蹤。
第四層
全錄屏操作,如按鍵精靈、AutoIt、Sikuli Script等。這類工具在驅(qū)動瀏覽器之外,還可以產(chǎn)生鍵盤、鼠標(biāo)行為,模擬真人操作。
l 舉個例子
利用按鍵精靈,同樣可以進行自動化查詢和轉(zhuǎn)賬,但與使用WebDriver不同的是,攻擊者可以產(chǎn)生許多鼠標(biāo)、鍵盤行為。對于安全防護來說,僅僅依據(jù)指紋識別和軌跡追蹤是無法識別這樣的行為是由工具還是真人發(fā)起的。
l 瑞數(shù)的解決之道
面對模擬真人的自動化工具,除了上文提到的動態(tài)封裝、動態(tài)驗證技術(shù),瑞數(shù)還會給每個合法頁面一個動態(tài)令牌,使其具有自動業(yè)務(wù)邏輯感知能力,保證所有請求業(yè)務(wù)的一致性。與傳統(tǒng)安全防護技術(shù)不同,“動態(tài)安全”技術(shù)并非基于特征識別,只要是利用自動化工具進行的攻擊,都可以被迅速識別并攔截。
第五層
真人操作。其實到這個階段,防護起來就非常困難了,但瑞數(shù)信息仍然可以阻擋類似攻擊。
l 舉個例子
移動設(shè)備群控,即通過一個軟件控制多臺手機來批量進行惡意操作。攻擊者采用多源低頻的攻擊方式,不斷更換IP地址以隱藏自己,在這種情況下,封IP、限制頻率的傳統(tǒng)手段已經(jīng)完全失效。
l 瑞數(shù)的解決之道
首先,如何發(fā)現(xiàn)群控設(shè)備?簡單地說,瑞數(shù)可以通過查看設(shè)備是否連接同一個Wi-FiSSID、是否始終充電、是否固定擺放等,來進行關(guān)聯(lián)分析,透視多源低頻的攻擊狀態(tài)。同時,在前端海量采集數(shù)據(jù)后,我們可以高效分析威脅數(shù)據(jù),提供精準的攻擊者畫像,準確定位攻擊。
綜合而言,瑞數(shù)“動態(tài)安全”防護新方案可以通過創(chuàng)新的動態(tài)技術(shù),高效應(yīng)對各種模擬真人操作的自動化工具攻擊,無需依賴特征、規(guī)則,無需更改應(yīng)用,讓安全領(lǐng)先一步!
京公網(wǎng)安備 11010502049343號