作為我國石油石化行業的盛會,此大會已連續舉辦了十余屆,為推動石油石化企業數字化轉型、智能化發展發揮了重要積極作用。在會上,瑞數信息高級安全顧問張凡發表了題為《自動化威脅的趨勢與應對》的主題演講,為石油石化企業應對自動化威脅帶來了創新安全技術方案。
瑞數信息高級安全顧問 張凡
數字化時代 企業面臨5大Bots自動化威脅
數字化時代,Bots自動化攻擊已經演變為網絡安全領域的頑疾,不斷升級的Bots自動化威脅持續牽動著行業的神經。
瑞數信息高級安全顧問張凡表示,瑞數信息作為Bots自動化攻擊防護領域的專業廠商,多年來持續輸出Bots自動化威脅報告,現階段觀察到5大Bots自動化威脅趨勢:
趨勢1:Bots攻擊趨于常態化
在“十四五”規劃以及數字化浪潮的驅動下,伴隨著大數據、5G、云計算、人工智能等技術發展,各行各業都開始“互聯網 +”的服務。同時在疫情的持續影響下,遠程辦公、在線教育、在線醫療、直播帶貨、社區團購等產業快速崛起,Bots的攻擊態勢也趨于常態化。
據瑞數信息《2022 Bots自動化威脅報告》顯示,綜合各行各業的網絡請求流量來看,Bots產生的流量明顯高于正常訪問流量,2021年Bots訪問占比持續上升至59.71%。在能源行業,惡意機器人的比例高達31.62%,這個比例還在進一步提升。
趨勢2:零日漏洞攻擊持續深化
0day漏洞利用數量和攻擊流量持續增長,漏洞攻擊和影響面逐步擴大,0day漏洞攻擊越來越常態化。
根據CVE和CNNVD披露的數據顯示,2021年新增漏洞超過20000個,相比2020年漏洞數量進一步增加。除數量之外,開源和第三方組件的0day漏洞影響面擴大,軟件供應鏈安全問題嚴峻。特別是在2021年底爆發的Log4j核彈級漏洞,給整個JVM生態圈帶來致命打擊,影響至今。
在零日漏洞攻擊持續深化的背后,是黑客組織進一步加大投入在各種自動化工具上,使攻擊武器庫更加龐大,發現和利用漏洞一體化,網絡犯罪更加高效。
趨勢3:API 攻擊持續走高
API已成為企業數字業務生態系統的支柱,但同時也給了攻擊者可乘之機。有數據顯示,每個企業平均管理超過350種不同的API,其中69%的企業會將這些API開放給公眾和他們的合作伙伴。隨著API調用數量的增多和自動化工具的興起,涉及的數據泄漏和欺詐風險正對企業的業務安全構成新的挑戰。
趨勢4:數據爬蟲依然泛濫
惡意數據爬蟲是自動化攻擊請求中占比最大的一類,無論是傳統行業、互聯網行業,還是政企、醫療、能源、教育等,都遭受持續不斷的爬蟲訪問。2022年瑞數信息監測到的惡意爬蟲攻擊達到1000億以上,各個行業的信息服務業務是爬蟲光顧的重災區。在公開數據方面,惡意爬蟲主要關注企業信息、公示信息、敏感數據等。
趨勢5:AI武器更聰明
AI驅動的進攻性網絡威脅的發展正在重新定義企業安全,特別是ChatGPT的出現,使得網絡安全從現階段的人與人對抗、人機對抗,向基于AI攻防對抗的演化趨勢愈加明顯。目前,人類的應對措施已經落后于Bots攻擊。
瑞數動態安全 助力石油石化企業應對Bots自動化威脅
能源是國民經濟發展的重要支撐,其中石油石化安全直接影響國家安全、可持續發展以及社會穩定,保護石油石化企業的信息安全至關重要。面對Bots自動化工具已成為攻擊常態手法的挑戰,石油石化企業該如何應對?
對此,瑞數信息高級安全顧問張凡表示,在Bots自動化威脅發展的新趨勢下,石油石化企業可從四大安全防護重點出發,并采用創新性的安全技術來應對新挑戰。
第一,隨著Bots自動化攻擊趨于常態化,Bots自動化威脅防護體系應成為企業標配。
第二,API調用數量的增多和自動化工具的興起,其涉及的數據泄漏等安全問題對業務安全構成新的挑戰,API合規和安全應成為企業安全防護重中之重。
第三,如今企業業務應用形態從早期的Web到如今的APP、H5、小程序、API,呈現多樣化趨勢,因此支持WAF、Bots管理、API防護等多種安全能力的整合性防御機制勢在必行。
第四,面對越來越復雜的自動化攻擊,過去以人力為主的被動防御已徹底失效,企業應借助AI、自動化響應機制等新手段,筑高智能型主動安全防御門檻,實現攻防對抗能力持續升級。
據張凡介紹,作為中國動態安全技術的創新者和Bots自動化攻擊防護領域的專業廠商,瑞數信息提供涵蓋Web、App和API的全渠道應用安全、業務安全、數據安全、云安全等在內的專業網絡安全產品及服務。
瑞數信息的核心技術在于獨特的動態安全技術,轉換了傳統安全防護的視角,不再依靠攻擊特征庫、異常特征庫的匹配來識別Bots自動化攻擊,而是通過“隱藏漏洞、變換自身、驗證真偽”等方式提高黑客的攻擊成本,從而實現更加主動和有效的主動防護。
據悉,瑞數信息的動態安全架構由四大核心技術構成:
• 動態封裝,對網頁底層代碼做動態封裝,隱藏攻擊入口,提升攻擊難度;
• 動態驗證,運行環境驗證,有效甄別“人”還是“自動化”攻擊,打擊自動化攻擊的有效工具;
• 動態混淆,對客戶端敏感數據進行混淆,保護數據傳輸安全,保護終端請求內容及交易內容;
• 動態令牌,一次性動態令牌,確保執行正確的業務邏輯,保障業務安全運行。
基于瑞數信息獨特的動態驗證、封裝、混淆、令牌四大動態安全技術,企業可實現多種動態干擾功能:web代碼混淆、JS混淆、前端反調試、Cookie混淆、中間人檢測等,大幅提升攻擊難度與成本,有效進行人機識別。
針對困擾企業的0day漏洞,瑞數動態安全技術可利用工具請求的固有屬性出發,一旦識別到是工具行為,就可以直接對0day攻擊進行阻斷,實現對業務的動態保護。
除了0day漏洞,瑞數信息動態安全技術以多維度“分級分層”的對抗策略,能夠有效應對各類自動化攻擊,如:漏洞掃描、撞庫、爬蟲、應用DDOS、高級定制工具、多源低頻等等,直擊黑產最底層,讓自動化工具無法使用。
隨著攻防對抗的升級,基于規則和特征的傳統安全設備防護效率將越來越低。同時,僅憑企業有限的安全人力,也難以維持常態化的安全防護。基于瑞數信息的動態安全技術,無需依賴規則和特征庫,就能夠讓自動化黑客工具失效,扭轉攻防不對稱的局面,真正做到從“人防”到“技防”。
張凡指出,動態安全與傳統安全所代表的并非是不同品牌的安全產品,而是完全不同的技術、不同的防護原理,因此企業構建真正意義上的異構立體防護體系,實際上是要把動態安全防護與傳統安全防護有機結合起來。
目前,瑞數信息“動態安全”主動式防護技術,已經保護了上萬億企業客戶資產和5億多賬戶。綜合瑞數信息在多家客戶進行的測試結果,瑞數信息可以為企業客戶阻擋99%的自動化攻擊,將安全運營效率提升超過80%,節省約21%的帶寬和54%的系統資源。
結語
安全攻防是一場此消彼長、永不落幕的戰爭。在Bots自動化攻擊泛濫、0day漏洞攻擊不斷升級的今天,企業需徹底轉換傳統被動式的防護思路,將防護重心由“人防”向“技防”轉變。基于瑞數信息的動態安全技術,石油石化企業能夠有效抵御各類自動化攻擊,實現防護能力升級、運維成本降級,建立起智能型主動安全防御體系。
京公網安備 11010502049343號