作為油氣行業(yè)數(shù)字化技術(shù)的年度盛筵,本次大會(huì)匯聚了來(lái)自中國(guó)石油天然氣集團(tuán)有限公司數(shù)字和信息化管理部、中國(guó)石油化工集團(tuán)有限公司信息和數(shù)字化管理部、中國(guó)海洋石油集團(tuán)有限公司科技信息部、國(guó)家石油天然氣管網(wǎng)集團(tuán)有限公司科技數(shù)字本部、國(guó)家能源投資集團(tuán)有限責(zé)任公司信息化管理部、中國(guó)中化集團(tuán)有限公司信息技術(shù)中心、陜西延長(zhǎng)石油(集團(tuán))有限責(zé)任公司科技與信息化管理部、中國(guó)石油學(xué)會(huì)等領(lǐng)域的頂級(jí)專家和行業(yè)代表,超過(guò)4000位嘉賓齊聚一堂,圍繞石油石化企業(yè)數(shù)字化轉(zhuǎn)型、智能化發(fā)展需求,結(jié)合信息技術(shù)發(fā)展趨勢(shì)和“十四五”信息化戰(zhàn)略規(guī)劃,共同探討新一代數(shù)字化技術(shù)與石油石化行業(yè)融合創(chuàng)新的解決方案,分享數(shù)字化應(yīng)用的先進(jìn)經(jīng)驗(yàn)。
在會(huì)上,瑞數(shù)信息技術(shù)高級(jí)安全顧問(wèn)張凡發(fā)表了題為“從人防到技防 從已知到未知”的演講,介紹了油氣行業(yè)面臨的web安全新挑戰(zhàn),并展示如何通過(guò)瑞數(shù)信息“動(dòng)態(tài)安全技術(shù)”,助力油氣企業(yè)構(gòu)建真正的主動(dòng)防護(hù)體系。
一、網(wǎng)絡(luò)攻擊手段升級(jí) 油氣行業(yè)面臨三大挑戰(zhàn)
隨著全球數(shù)字化、智能化程度的日益提高,石油石化等能源類企業(yè)的網(wǎng)絡(luò)安全問(wèn)題已到了無(wú)法回避的關(guān)頭。據(jù)德勤發(fā)布的報(bào)告稱,能源行業(yè)已成為全球第二大易受網(wǎng)絡(luò)犯罪攻擊的行業(yè),且其中近半數(shù)企業(yè)在2016年年內(nèi)至少普遍遭遇過(guò)一次重大網(wǎng)絡(luò)事故。
由于石油石化企業(yè)關(guān)系到國(guó)計(jì)民生,一旦被黑客攻破重要基礎(chǔ)設(shè)施,將導(dǎo)致意想不到的嚴(yán)重后果,甚至?xí)绊憞?guó)家安全。近年來(lái),很多石油石化企業(yè)已經(jīng)開始增強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范意識(shí),將網(wǎng)絡(luò)安全提高到集團(tuán)戰(zhàn)略高度。
但對(duì)于石油石化企業(yè)內(nèi)部的安全運(yùn)營(yíng)人員而言,面對(duì)日益升級(jí)的網(wǎng)絡(luò)攻擊,依然會(huì)有一種“攻易守難、亡羊補(bǔ)牢、疲于奔命”的感受。在瑞數(shù)信息技術(shù)高級(jí)安全顧問(wèn)張凡看來(lái),主要來(lái)自三個(gè)方面的挑戰(zhàn):
一是,網(wǎng)絡(luò)攻擊手段日益升級(jí),攻擊效率大幅提升。目前,網(wǎng)絡(luò)攻擊中有90%為自動(dòng)化攻擊,自動(dòng)化的黑客工具不僅攻擊成本低,且攻擊效率遠(yuǎn)超過(guò)手動(dòng)攻擊,堪稱“網(wǎng)絡(luò)攻擊的工業(yè)化革命”。在自動(dòng)化工具快速傳播的情況下,零日漏洞攻擊成為常態(tài),幾乎所有漏洞利用會(huì)在1天內(nèi)就被廣泛傳播利用,企業(yè)很難進(jìn)行及時(shí)有效的防御。
二是,高級(jí)定制化工具泛濫,傳統(tǒng)防護(hù)手段失效。此前,哥斯拉、冰蝎等高級(jí)定制化工具的出現(xiàn),震驚了整個(gè)安全圈。這些Webshell采用動(dòng)態(tài)加密方式,碾壓市面上所有基于簽名和規(guī)則匹配的傳統(tǒng)WAF。同時(shí),高級(jí)定制化工具還會(huì)集成多種0day/Nday漏洞利用工具,全家桶式打擊,掃描、利用一步完成。
而在傳統(tǒng)防護(hù)思路中,封IP是最主要的防護(hù)手段之一。當(dāng)封IP地址達(dá)到上限時(shí),企業(yè)會(huì)出現(xiàn)業(yè)務(wù)無(wú)法正常運(yùn)行的情況。不僅如此,自動(dòng)化攻擊還會(huì)通過(guò)多源低頻的方式,繞過(guò)封IP、限頻等傳統(tǒng)防護(hù)手段,讓傳統(tǒng)防護(hù)工具徹底失效。
三是,安全運(yùn)維成本與日俱增,安全人員緊缺。面對(duì)網(wǎng)絡(luò)攻擊在數(shù)量和效率上的成倍增長(zhǎng),企業(yè)安全運(yùn)維成本也在相應(yīng)增長(zhǎng),而企業(yè)安全人員僅憑有限的人力和傳統(tǒng)安全防護(hù)工具,很難維持常態(tài)化的安全防護(hù)。
二、從人防到技防 瑞數(shù)信息“動(dòng)態(tài)安全”構(gòu)建主動(dòng)防護(hù)體系
日益猖獗的新型網(wǎng)絡(luò)攻擊,使得沿用傳統(tǒng)WAF防護(hù)的企業(yè)普遍響應(yīng)滯后。那么,企業(yè)應(yīng)該如何應(yīng)對(duì)新的網(wǎng)絡(luò)安全挑戰(zhàn)?
對(duì)此,瑞數(shù)信息技術(shù)高級(jí)安全顧問(wèn)張凡認(rèn)為,網(wǎng)絡(luò)攻防雙方的對(duì)抗是永不停歇的,新的技術(shù)、規(guī)則、漏洞會(huì)層出不窮,如果一直采用圍繞對(duì)手的傳統(tǒng)視角,通過(guò)“挖掘漏洞、匹配特征、設(shè)置規(guī)則”進(jìn)行防護(hù),永遠(yuǎn)會(huì)被黑客牽著鼻子走。
“攻防雙方對(duì)抗的本質(zhì),其實(shí)是成本的對(duì)抗,用自己最低的成本,增加黑客最高的成本”,張凡表示,企業(yè)在安全防護(hù)中應(yīng)采用創(chuàng)新視角,徹底改變“游戲規(guī)則”,即圍繞自身,通過(guò)“隱藏漏洞、變換自身、驗(yàn)證真?zhèn)?rdquo;等方式提高黑客的攻擊成本,倒逼黑客放棄攻擊,從而降低企業(yè)管理負(fù)擔(dān),加快防護(hù)響應(yīng)速度。
正是基于這種創(chuàng)新的主動(dòng)防護(hù)理念,瑞數(shù)信息徹底轉(zhuǎn)換了傳統(tǒng)防護(hù)的思路,推出了一項(xiàng)顛覆性技術(shù) - 動(dòng)態(tài)安全技術(shù),即不再依靠攻擊特征庫(kù)、異常特征庫(kù)的匹配來(lái)進(jìn)行攻擊的識(shí)別,同時(shí)也無(wú)需依賴攻擊頻度和工具類別來(lái)識(shí)別,實(shí)現(xiàn)更加主動(dòng)和有效的主動(dòng)防護(hù)。
據(jù)悉,瑞數(shù)信息的動(dòng)態(tài)安全架構(gòu)由四大核心技術(shù)構(gòu)成:
動(dòng)態(tài)封裝,對(duì)網(wǎng)頁(yè)底層代碼做動(dòng)態(tài)封裝,隱藏攻擊入口,升攻擊難度;
動(dòng)態(tài)驗(yàn)證,運(yùn)行環(huán)境驗(yàn)證,有效甄別“人”還是“自動(dòng)化”攻擊,打擊自動(dòng)化攻擊的有效工具;
動(dòng)態(tài)混淆,對(duì)客戶端敏感數(shù)據(jù)進(jìn)行混淆,保護(hù)數(shù)據(jù)傳輸安全,保護(hù)終端請(qǐng)求內(nèi)容及交易內(nèi)容;
動(dòng)態(tài)令牌,一次性動(dòng)態(tài)令牌,確保執(zhí)行正確的業(yè)務(wù)邏輯,保障業(yè)務(wù)安全運(yùn)行。
例如,瑞數(shù)信息的動(dòng)態(tài)封裝技術(shù),采取將網(wǎng)頁(yè)原始代碼動(dòng)態(tài)變形的技術(shù),增加目標(biāo)系統(tǒng)行為的“不可預(yù)測(cè)性”,使黑客無(wú)法找到入侵網(wǎng)頁(yè)的入口與漏洞。由于攻擊者無(wú)法預(yù)知目標(biāo)系統(tǒng)行為,必須通過(guò)大量人工分析找尋被保護(hù)目標(biāo)系統(tǒng)可能的突破口,但即使找到突破口,最多也只能使用一次,因此大幅提升攻擊難度與成本,從而迫使攻擊者放棄攻擊,將攻擊抑制在源頭。
在企業(yè)頗為頭疼的零日漏洞防護(hù)方面,通過(guò)瑞數(shù)信息獨(dú)有的動(dòng)態(tài)驗(yàn)證、封裝、混淆、令牌四大動(dòng)態(tài)安全技術(shù),從0day漏洞利用工具請(qǐng)求的固有屬性出發(fā),只要識(shí)別到是工具行為,就可以直接對(duì)0day攻擊進(jìn)行阻斷,從而實(shí)現(xiàn)對(duì)業(yè)務(wù)的動(dòng)態(tài)保護(hù)。
除了零日漏洞,瑞數(shù)信息動(dòng)態(tài)安全技術(shù)能夠有效應(yīng)對(duì)各類自動(dòng)化攻擊,如:漏洞掃描、撞庫(kù)、爬蟲、應(yīng)用DDOS、高級(jí)定制工具、多源低頻等等,直擊黑產(chǎn)最底層,讓自動(dòng)化工具無(wú)法使用。
隨著對(duì)抗的升級(jí),基于規(guī)則和特征的傳統(tǒng)安全設(shè)備防護(hù)效率將越來(lái)越低。對(duì)于人工攻擊,不妨換個(gè)思路,從干擾攻擊行為的角度出發(fā)進(jìn)行防護(hù)。作為動(dòng)態(tài)安全技術(shù)的代表廠商,瑞數(shù)信息擁有多種動(dòng)態(tài)干擾功能:web代碼混淆、JS混淆、前端反調(diào)試、Cookie混淆、中間人檢測(cè)等,能夠不基于任何特征、規(guī)則的方式進(jìn)行有效防護(hù)。
總體而言,瑞數(shù)信息徹底轉(zhuǎn)換了傳統(tǒng)防護(hù)的思路,通過(guò)獨(dú)特的動(dòng)態(tài)安全技術(shù),以多維度“分級(jí)分層”的對(duì)抗策略,讓攻擊者無(wú)法輕易發(fā)現(xiàn)攻擊入口,大幅提升攻擊難度與成本。同時(shí),通過(guò)對(duì)終端環(huán)境和設(shè)備指紋的多維度畫像,可以有效識(shí)別各類惡意訪問(wèn)行為,并能實(shí)時(shí)追蹤通過(guò)大量跳板隱藏攻擊來(lái)源的惡意終端。
據(jù)張凡介紹,作為國(guó)內(nèi)前沿的互聯(lián)網(wǎng)應(yīng)用安全防護(hù)企業(yè),瑞數(shù)信息首創(chuàng)的“動(dòng)態(tài)安全”主動(dòng)防護(hù)技術(shù),已保護(hù)了上萬(wàn)億企業(yè)客戶資產(chǎn)和5億多賬戶,為企業(yè)客戶阻擋了99%的自動(dòng)化攻擊,將安全運(yùn)營(yíng)效率提升了81%,節(jié)省了54%的系統(tǒng)資源。
自成立以來(lái),瑞數(shù)信息獲得了政府相關(guān)主管機(jī)構(gòu)、大型企業(yè)、媒體及社會(huì)團(tuán)體的廣泛認(rèn)可,無(wú)論是中國(guó)的三大運(yùn)營(yíng)商、排名前五位的大型銀行、最頂級(jí)的十大電商以及中國(guó)前三大在線支付公司中都可以找到瑞數(shù)信息的客戶身影。經(jīng)過(guò)多年在國(guó)內(nèi)各行業(yè)標(biāo)桿用戶中的持續(xù)應(yīng)用和推廣,瑞數(shù)信息的動(dòng)態(tài)安全技術(shù)正逐漸成為網(wǎng)站/APP/H5等應(yīng)用安全建設(shè)的標(biāo)配。
對(duì)于石油石化企業(yè)而言,基于瑞數(shù)信息的動(dòng)態(tài)安全技術(shù),能夠有效抵御各類自動(dòng)化攻擊,實(shí)現(xiàn)防護(hù)能力升級(jí)、運(yùn)維成本降級(jí)、防御更主動(dòng)、對(duì)抗更智慧、追蹤溯源的更精準(zhǔn),真正做到從“人防”到“技防”,構(gòu)建真正意義上的主動(dòng)防護(hù)體系。
京公網(wǎng)安備 11010502049343號(hào)