動態(tài)化對抗統(tǒng)一平臺攻擊 應(yīng)用的復(fù)雜化是當(dāng)前安全面臨的重要問題是。過去,簡單的IT架構(gòu),從DNS、VPN、負載均衡到后端應(yīng)用服務(wù)器,較容易梳理;隨著智能終端類型的不斷加入而趨向復(fù)雜化,后端應(yīng)用服務(wù)器隨之變得復(fù)雜,IT架構(gòu)開始難以控制。 同時,基于互聯(lián)網(wǎng)應(yīng)用的攻擊開始鎖定智能終端。現(xiàn)在包括穿戴式手表、電視機、空調(diào)和冰箱都是智能版,在帶來方便的同時也有隱患。 黑客操作分布式網(wǎng)絡(luò)對某銀行發(fā)起攻擊時,除了電腦外,還有冰箱、電視。結(jié)集未來植入式操作系統(tǒng)將會很普遍。
據(jù)了解,最近一次攻擊就是基于某個版本植入安卓系統(tǒng)的冰箱發(fā)起。冰箱和智能電視是一個版本。現(xiàn)在每個家庭都有如歌華有線的機頂盒。通過機頂盒侵入歌華內(nèi)容服務(wù)已有完整的解決方案。每個機頂盒都是一個平臺,如果黑客得到其控制權(quán),就可基于它進行攻擊轉(zhuǎn)發(fā)。 當(dāng)通過互聯(lián)網(wǎng)技術(shù),攻擊冰箱,即可控制溫度;如果可看到攝像頭,基于視頻做識別的話,人臉可模擬化追蹤目標(biāo),這面臨的威脅更大。 互聯(lián)網(wǎng)上的應(yīng)用除電腦、iPad、智能手機外,現(xiàn)在越來越多復(fù)雜內(nèi)容被加入原本簡單的架構(gòu)中。在這種動態(tài)化IT架構(gòu)下,黑客入侵將使系統(tǒng)運維更復(fù)雜從而導(dǎo)致力不從心。
代碼量發(fā)生質(zhì)的飛躍,常見的MySQL有千萬行指令。安全高發(fā)根源正在于現(xiàn)在IT基礎(chǔ)架構(gòu)及所有軟件體量之大,越出想象,絕不是簡單的原代碼審計就可彌補或者發(fā)現(xiàn)漏洞。審計代碼的工作量,等同于制造這些代碼工作量。 黑客是安全行業(yè)的發(fā)展引領(lǐng)者,并開始出現(xiàn)了新的特征。第一是有了統(tǒng)一的攻擊平臺。原本只是打造一個真正多層流量反擊工具,涵蓋七層網(wǎng)絡(luò)加密。但是黑客整合攻擊平臺則進行多層次攻擊產(chǎn)生流量,變換打擊點;第二黑客攻擊著眼點從原來的炫技變成利益驅(qū)動。 高感知應(yīng)用防御撞庫攻擊 任何商業(yè)模式在互聯(lián)網(wǎng)公布后,就會有人想法劫持這種商業(yè)模式。比如平安集團有好車網(wǎng)好房網(wǎng)。在好車網(wǎng)上線時有企業(yè)策略,如將某車輛信息登錄到好車網(wǎng)就能得到10元代金券,用代金券可買到好車網(wǎng)上的商品或保險。于是,有人基于這種商業(yè)模式把交管局幾十萬條車輛信息登錄至好車網(wǎng)獲得巨額代金券,然后去購物。這種行為并不違法,是游戲規(guī)則代碼。
這正是互聯(lián)網(wǎng)要對抗的根源問題。如果用手機銀行,通過第三方認證,進行查詢界面的訪問,將所持有用戶名和密碼登錄查賬戶余額,看似不存在風(fēng)險, 現(xiàn)有手機銀行面臨最大的問題就是撞庫,撞庫這種攻擊模式的核心是很多人在不同應(yīng)用系統(tǒng)使用一個用戶名和密碼口令。用已知用戶名和密碼口令登錄手機網(wǎng)銀,成功登錄后就獲得可進入查詢界面的手機終端權(quán)限。
真實的案例是,用戶名被撞成功后,用戶所有信息暴露后,非法侵入者將通過聯(lián)系方式打通用戶電話告知其賬面10萬資金失竊;當(dāng)用戶登錄賬戶查詢時,當(dāng)發(fā)現(xiàn)現(xiàn)金確實不存在,就慌了神,沒時間仔細核對。其實這些資金可能被轉(zhuǎn)為基金、紙黃金等,還在原賬戶某處。 隨之,騙子第二次打來電話,“指導(dǎo)”用戶,只要通過操作轉(zhuǎn)賬到另一賬戶,即可將資金追回。這時騙子指令該用戶實行轉(zhuǎn)賬,當(dāng)用戶在執(zhí)行轉(zhuǎn)賬行為時,等于是將10萬的代金等價證券直接賣還給這個用戶。 這是互聯(lián)網(wǎng)每天都在發(fā)生的真實場景。所以密碼口令太重了,必須避免在不同應(yīng)用系統(tǒng)使用相同的用戶名口令,只有做好基礎(chǔ)的防范,騙子技術(shù)法就會失去作用。這類攻擊就是符合對七層即業(yè)務(wù)層的攻擊。這種攻擊不會基于任何防御架構(gòu)預(yù)警,不讓防御體系阻斷。
一體化安全
在中國,所有網(wǎng)銀都遵循傳統(tǒng)三層的基礎(chǔ)網(wǎng)絡(luò)防護架構(gòu),銀監(jiān)會將之作為政策性標(biāo)準(zhǔn)作為約束,不實行基礎(chǔ)防護架構(gòu)不允許網(wǎng)銀上線。 三層架構(gòu)只能保證合規(guī)性。但是合規(guī)和安全是兩個層面的問題。所有得到有價值信息的攻擊手段基本是通過源代碼方式進行。最大優(yōu)勢在于可形成混合攻擊流量,當(dāng)混合攻擊流量產(chǎn)生時,基本用策略防御。這種基于特征碼比對進行阻斷的方式,從最早的防病毒軟件到防火墻從未改變。所有代碼都可以通過變種、隱藏數(shù)據(jù)包輕松繞過,將這些清晰的限制策略過濾。
當(dāng)一個真正的混和流量打來,首先分析它來自哪里,是網(wǎng)絡(luò)層還是業(yè)務(wù)層。不同層面采用三層網(wǎng)絡(luò)架構(gòu)防御,人為地增加工作量。如果在防火墻放一層負載設(shè)備,給傳統(tǒng)防火墻做均衡,其扛打能量極大。 傳統(tǒng)負載均衡位置是在所有防御架構(gòu)后,Web服務(wù)器前端。iRules可讓防御機構(gòu)根據(jù)攻擊變化頻率而變化,而F5負載均衡前面是傳統(tǒng)防火墻,從技術(shù)角度可替代三層網(wǎng)絡(luò)防護架構(gòu)。但由于三層網(wǎng)絡(luò)架構(gòu)是幫客戶做合規(guī)架構(gòu),所以不能省掉。 新的安全工具可解決從準(zhǔn)入到防火墻和負載均衡的一體化安全架構(gòu)問題。如F5,其關(guān)鍵價值在于TMOS傳輸管理操作系統(tǒng)。作為一家軟件公司,F(xiàn)5如同微軟,通過TMOS控制應(yīng)用系統(tǒng)的數(shù)據(jù)流實現(xiàn)快速、安全、高可用。其軟件硬件易于剝離,如果采用其硬件平臺,最大速度可達到20.5T,F(xiàn)5的盒子就是為了讓軟件發(fā)揮最大性能的私有化平臺。F5所有功能都是用iRules所寫。針對現(xiàn)有的手機撞庫、管理軟件等都可用iRules寫出腳本阻擋。F5在高感知應(yīng)用狀態(tài)下,第一次實現(xiàn)防御體系和防御對象之間的配合,以最小的技術(shù)投入增加攻擊者成本,顛覆性降低用戶防御成本。
全代理架構(gòu)應(yīng)對DDos攻擊
以普通的DDos攻擊方式為例。全世界一半以上的DDos發(fā)起方式來自中國,原因在于中國是全球84%的DDos目標(biāo)。其資源防護太差,而商業(yè)模式足夠豐富。 再看DDos目標(biāo)行業(yè)占比。銀行最大。銀行是在未來信息安全對抗的最重要領(lǐng)域,因為銀行必須提供無損服務(wù),要保證每個客戶的錢不能丟。互聯(lián)網(wǎng)企業(yè)根源特性則是有損服務(wù),只要保證80%用戶上線支撐其商業(yè)模式,而不在乎那20%的死活。 比如大眾點評就表示,當(dāng)遭遇到大流量的DDos攻擊壓跨其數(shù)據(jù)時,由于其80%客戶來自北上廣和成都,如果受到攻擊的話,他們就保留這幾個。
實際上現(xiàn)在所有互聯(lián)網(wǎng)金融架構(gòu)支撐金融支付存在巨大風(fēng)險,傳統(tǒng)銀行會比互聯(lián)網(wǎng)金融更靠譜。無論服務(wù)器后端承載多有價值的商業(yè)模式,利用普通PC即可通過DDos工具打倒七層防御。只有F5可通過一個平臺架構(gòu)解決多層的DDos攻擊。F5的AFM可提供62種網(wǎng)絡(luò)層DDos攻擊。 全代理架構(gòu)相當(dāng)于在服務(wù)器充分中間角色,把所有數(shù)據(jù)包折到七層,每層解決不同攻擊。這種全代理架性能到底如何,可參考F5兩個典型案例是淘寶和12306。鐵道部盡管構(gòu)建了雙活系統(tǒng),至今還是采用單點應(yīng)用。 購買火車票要經(jīng)歷一個較為復(fù)雜的過程。比如從哈爾濱到廣州,如果買了北京到上海這一段,就直接導(dǎo)致哈爾濱到上海的票少一張,北京到廣州的票少一張。鐵道部的數(shù)值是,買任何一張票平均檢五百張票。在12306下單,鐵道部檢500張,如果撤單,鐵道部又是500張,任何票在一個時間段是唯一商品,不可替代(包括查票改票在內(nèi),由此導(dǎo)致鐵道部做了地球上最大的內(nèi)存數(shù)據(jù)庫)。鐵道部所有投入對F5是兩臺低端設(shè)備,四個板卡插滿,8個高片就解決所有問題。12306在2014年達到最高訪問量峰值,一天84億次,今年達到270億次。 淘寶商品購買過程簡單得多,一個請求發(fā)出訂單傳到廠商即可發(fā)布。淘寶采用開源分布式網(wǎng)絡(luò)架構(gòu),非單點應(yīng)用。當(dāng)時淘寶將F5創(chuàng)始人請過去,給百人團隊,上百臺服務(wù)器才解決問題。開源是個美麗的神話,非擁有強悍IT資源能量的企業(yè)則玩不起。
七層攻擊最大的屬性是外部應(yīng)用架構(gòu),如黃牛軟件撞庫攻擊。這種模式如果防御架構(gòu)可識別出,提交請求的終端是人控制的瀏覽器軟件還是惡意軟件,F(xiàn)5即可分析并有效防護。驗證碼對抗原理即要更改源代碼,僅僅是修改校碼碼也是升級,運維人工成本很大。F5則將校驗碼交付從應(yīng)用層轉(zhuǎn)到F5,第一次把校驗碼從應(yīng)用層剝離,通過動態(tài)設(shè)置來檢測校驗碼輸入內(nèi)容,從而將使所有黃牛軟件、撞庫行為都被終結(jié)…… 安全防御架構(gòu)的優(yōu)劣直接決定客戶在未來的勝算機率。F5最新的云防護架構(gòu),有2TB級的DDos遍布全球的4個數(shù)據(jù)中心,可提供足夠資源的網(wǎng)絡(luò)層的防御云端服務(wù)。最新的WAF,F(xiàn)5將防御和感知應(yīng)用能力從數(shù)據(jù)中心挪到了云端,以更大量級的架構(gòu)應(yīng)對有限資源對于無限資源的對抗。
身份治理云社交移動應(yīng)該 甲骨文中國首席技術(shù)顧問魏青剛在甲骨文已工作10年,原主要負責(zé)甲骨文整體安全解決方案。但近兩年,中國安全問題如此敏感,令他較少在公共場合談安全。現(xiàn)在,他開始發(fā)現(xiàn)IT出現(xiàn)好的現(xiàn)象是,國內(nèi)很多IP安全廠商業(yè)務(wù)如火如荼展開,令他信心大增。 魏青剛認為,安全市場沒有任何一家廠商能獨立承擔(dān)所有安全行為;尤其是互聯(lián)網(wǎng)快速發(fā)展下,信息泄露問題頻發(fā),客戶日益重視敏感信息如身份認證的安全問題。甲骨文面向云移動環(huán)境的企業(yè)身份治理解決方案正是基于此而生。
信息安全主要分為基礎(chǔ)架構(gòu)安全和應(yīng)用安全兩部分。甲骨文安全業(yè)務(wù)產(chǎn)生于數(shù)據(jù)庫、中間件、ERP應(yīng)用及所有應(yīng)用等,其整體安全解決方案側(cè)重于數(shù)據(jù)據(jù)和應(yīng)用兩個安全層面。 甲骨文的身份管理則針對ERP和具體開發(fā)的移動APP,包括企業(yè)合規(guī)要求做身份治理和風(fēng)險合規(guī)分析。 現(xiàn)在,采用開源平臺的開源數(shù)據(jù)庫及大數(shù)據(jù)等的解決方案不斷推出,而圍繞數(shù)據(jù)庫相關(guān)的安全解決方案涉及三方面,即事前防范、事后審計和全面管理。作為企業(yè)IT運維經(jīng)理,面對上百個DBA,如何界定他們管理數(shù)據(jù)庫達何種程度。擁有超級用戶的權(quán)限管理的他們,如果去登錄查詢某用戶的比如CEO工資、某人家電話等,顯然并不合規(guī)。 對數(shù)據(jù)庫進行選型時,不只要看是否開源,更要考慮性能,更重要在于是否安全。DBA的管理也必須有一定限制,數(shù)據(jù)庫的敏感數(shù)據(jù)也要對他們進行加密屏蔽。
又比如運營商銷售的充值卡,發(fā)生了卡在原封不動情況下卻已被充值的安全事幫。到底是從網(wǎng)絡(luò)層面還是從應(yīng)用層面解決問題?其實只要在數(shù)據(jù)中心加臺數(shù)據(jù)庫防火墻,就可監(jiān)控任何訪問數(shù)據(jù)庫的記錄,查看數(shù)據(jù)庫審計報告。 全面管理則包括對數(shù)據(jù)庫從管理、運維、升級、監(jiān)控到統(tǒng)一平臺的管理。Oracle整體解決方尤其安全解決方案,針對Oracle的DB的加密和屏蔽方面,Oracle提供了縱深防御和安全備份。比如幫某客戶開發(fā)財務(wù)系統(tǒng),測試過程中不可能將生產(chǎn)系統(tǒng)上的敏感數(shù)據(jù)放到測試環(huán)境中,比如開放人員可看到每個人員的工資。將敏感數(shù)據(jù)信息轉(zhuǎn)移時,訪問控制針對DB權(quán)限控制,就可讓DBA對整個數(shù)據(jù)庫進行備份、管理啟動,而不能看到業(yè)務(wù)表上的信息系統(tǒng)。 基于應(yīng)用層安全日益受到企業(yè)重視。首先是身份認證管理。現(xiàn)在多數(shù)大型企業(yè)采系統(tǒng)是自動化信息管理。再就是云身份服務(wù)。 當(dāng)前,云應(yīng)用普及慢原因首先受限于安全。中國的云部署由于在IT監(jiān)管、審計及法規(guī)等方面不太嚴(yán)格,信任機制缺失與安全管理使云應(yīng)用受阻的主因。其次就是社交網(wǎng)絡(luò)集成及移動應(yīng)用的安全存在問題。只有結(jié)合客戶業(yè)務(wù)流程,從網(wǎng)絡(luò)安全到企業(yè)IT平臺內(nèi)部的身份認證管理等,整體后臺IT所有應(yīng)用和強認證管理策略相結(jié)合,才能切實保證云應(yīng)用安全的落地。
京公網(wǎng)安備 11010502049343號