瑞數(shù)信息:關(guān)于構(gòu)建縱深防御體系,我們在做什么?
責(zé)任編輯:zhaoxiaoqin | 2019-12-06 19:57:14 原創(chuàng)文章 企業(yè)網(wǎng)D1Net
“縱深防御”實(shí)際上并不是一個(gè)網(wǎng)絡(luò)安全領(lǐng)域的專屬名詞,早在二十世紀(jì)初,前蘇聯(lián)元帥米·尼·圖哈切夫斯基就在對第一次世界大戰(zhàn)以及國內(nèi)戰(zhàn)爭經(jīng)驗(yàn)的基礎(chǔ)上,提出了一種名為“大縱深作戰(zhàn)理論”的思想。由于網(wǎng)絡(luò)安全的本質(zhì)就是黑客與開發(fā)者之間的攻防戰(zhàn),所以信息安全領(lǐng)域中的“縱深防御”概念確與戰(zhàn)爭學(xué)上的思想有著共通之處,其核心都是多點(diǎn)布防、以點(diǎn)帶面、多面成體,以形成一個(gè)多層次的、立體的全方位防御體系來挫傷敵人、保障自身的整體安全。
為什么要建立全方位縱深防御體系?
IT架構(gòu)的巨大變化
5G時(shí)代的到來,催生新的應(yīng)用出現(xiàn)。云、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動端、人工智能等各類技術(shù)飛速發(fā)展,加快著IT架構(gòu)的巨大變化和企業(yè)數(shù)字化的轉(zhuǎn)型升級。據(jù) IDC預(yù)測,到2022年,全球智能手機(jī)保有量將從現(xiàn)在的37.8億達(dá)到45.1億,連接的IOT設(shè)備將達(dá)到407億,特別是各類應(yīng)用的數(shù)量將會劇增100倍,從現(xiàn)在的500萬急劇膨脹到5億個(gè)。未來,所有關(guān)聯(lián)于網(wǎng)絡(luò)之中的系統(tǒng)、設(shè)備、用戶、數(shù)據(jù)都將面臨更多更復(fù)雜的已知或未知安全威脅,不斷挑戰(zhàn)企業(yè)對攻擊的快速識別、快速響應(yīng)能力。
網(wǎng)絡(luò)攻擊的迅猛態(tài)勢
傳統(tǒng)的攻擊類型正在蛻變,在“互聯(lián)網(wǎng)+”模式下,黑灰產(chǎn)已經(jīng)不局限于純手工攻擊模式,大量借助自動化工具、模擬真人、多源低頻的“加強(qiáng)版”攻擊手段層出不窮,新興攻擊幾乎覆蓋了各渠道、各行業(yè)的各個(gè)場景,包括但不限于惡意注冊、掃號撞庫、爬蟲、薅羊毛以及盜號等等。業(yè)務(wù)和數(shù)據(jù)價(jià)值驅(qū)動下的黑產(chǎn)生態(tài),已經(jīng)對企業(yè)安全防御形成近乎壓倒性優(yōu)勢,讓企業(yè)安全防護(hù)在業(yè)務(wù)資源的爭奪、人機(jī)對抗、真實(shí)與虛擬的攻防辨識中,應(yīng)接不暇。
防護(hù)技術(shù)的不斷升級
網(wǎng)絡(luò)安全就像一場永無休止的攻防戰(zhàn),攻擊態(tài)勢和防御手段此消彼長、交替升級。顯然,傳統(tǒng)“查漏補(bǔ)缺”的單一防護(hù)已經(jīng)無法適應(yīng)當(dāng)下的安全防護(hù)形勢,各類針對安全威脅和攻擊的防護(hù)手段也在持續(xù)演進(jìn)。然而,安全防護(hù)并不能靠數(shù)量取勝,簡單地堆砌大量防護(hù)手段難以對抗層出不窮的新型自動化業(yè)務(wù)攻擊。各類防護(hù)手段是否符合防護(hù)需求,彼此之間是否存在相互妨礙、相互影響或重疊的現(xiàn)象,是否能夠聯(lián)動響應(yīng),自動防護(hù)策略升級,形成1+1>2的聚力效應(yīng),都是企業(yè)構(gòu)建全方位縱深防御體系中必然需要關(guān)注的內(nèi)容。
瑞數(shù)信息全方位縱深防御體系
作為自動化攻防領(lǐng)域的引領(lǐng)者,瑞數(shù)信息依托動態(tài)安全、人工智能、可編程對抗、自動化威脅情報(bào)等新技術(shù),將應(yīng)用安全防御范疇由Web端進(jìn)一步拓展到移動端、云端、API、IoT領(lǐng)域,同時(shí)縱深加大業(yè)務(wù)威脅感知和數(shù)據(jù)透視,深度賦能多場景的業(yè)務(wù)與應(yīng)用安全,為企業(yè)的風(fēng)險(xiǎn)管理、安全防護(hù)打造出一套多維度、多手段、多能力的全方位縱深防御體系。
01 多維度的縱深防御
主動式安全防御
Bots防御 - 瑞數(shù)動態(tài)應(yīng)用保護(hù)系統(tǒng)(機(jī)器人防火墻Botgate)
自動化威脅防御能力是瑞數(shù)信息的看家本領(lǐng)。作為瑞數(shù)信息推出的第一款產(chǎn)品,Botgate以動態(tài)安全技術(shù)為核心,創(chuàng)新地提出動態(tài)防御、主動防御概念,顛覆了傳統(tǒng)安全基于攻擊特征與行為規(guī)則的被動式防御技術(shù),高效甄別偽裝和假冒正常行為的各類已知和未知自動化攻擊。
Web應(yīng)用安全 - 瑞數(shù)動態(tài)Web應(yīng)用防火墻(靈動Safeplus)
在延續(xù)傳統(tǒng)Web端安全產(chǎn)品的基本能力(覆蓋OWASP Top10)之上,Safeplus加入了動態(tài)安全與AI智能分析的防Bots功能,可以有效防御被自動化工具惡意掃描、漏洞利用,由僵尸網(wǎng)絡(luò)發(fā)起的應(yīng)用層 DDoS 攻擊,以及諸如零日漏洞的未知攻擊。
移動App應(yīng)用防護(hù) - App動態(tài)安全防護(hù)系統(tǒng)(App BotDefender)
在移動App端,瑞數(shù)信息遵循云管端的思路,為各類原生APP、H5及混合應(yīng)用及微信等多應(yīng)用入口提供統(tǒng)一的安全防護(hù),是業(yè)內(nèi)唯一實(shí)現(xiàn)移動應(yīng)用及業(yè)務(wù)端到端一體化安全防護(hù)的整體解決方案。
應(yīng)用API防護(hù) - API動態(tài)安全防護(hù)系統(tǒng)(API BotDefender)
由API感知、發(fā)現(xiàn)、監(jiān)控和保護(hù)四大模塊組成ADMP安全模型,通過對來源環(huán)境及用戶行為進(jìn)行感知,自動發(fā)現(xiàn)API,并對所有異常API請求行為進(jìn)行監(jiān)控與告警;同時(shí)借助動態(tài)響應(yīng)機(jī)制,對異常API請求進(jìn)行攔阻、限速或欺騙等響應(yīng)動作。
IoT應(yīng)用防護(hù) - IoT動態(tài)安全防護(hù)系統(tǒng)(IoT BotDefender)
以AI人工智能技術(shù)輔助動態(tài)安全,實(shí)時(shí)阻擋各類IoT惡意代碼攻擊及零日漏洞攻擊,為IoT各類應(yīng)用提供全程動態(tài)防護(hù),實(shí)現(xiàn)輕量級安全維護(hù)。
智能感知與分析
業(yè)務(wù)威脅感知系統(tǒng)(Biz Insight)
該系統(tǒng)將傳統(tǒng)業(yè)務(wù)風(fēng)控體系延伸到客戶端,實(shí)現(xiàn)風(fēng)控前置。內(nèi)置OWASP21種Web應(yīng)用自動化威脅模型,結(jié)合 AI 引擎的指紋庫,威脅情報(bào)的智能分析和自動化輸出能力,以及“可編程對抗”技術(shù),實(shí)現(xiàn)持續(xù)對抗自動化攻擊和由此帶來的業(yè)務(wù)欺詐行為。
全息數(shù)據(jù)透視系統(tǒng)(Data Insight)
作為一個(gè)針對多源異構(gòu)海量數(shù)據(jù)的分析平臺,打破了業(yè)務(wù)運(yùn)維、安全之間的數(shù)據(jù)隔閡,可以對任何格式的機(jī)器數(shù)據(jù)進(jìn)行收集、整理、歸檔存儲,實(shí)現(xiàn)面向應(yīng)用的全流量記錄和分析,提供所想即所得的數(shù)據(jù)分析、搜索、報(bào)表和可視化能力。
02 多手段的縱深防御
動態(tài)技術(shù)
包括動態(tài)封裝、令牌、驗(yàn)證、混淆、挑戰(zhàn)等技術(shù),是瑞數(shù)信息縱深防御體系的核心技術(shù)。通過對網(wǎng)頁底層代碼的動態(tài)變幻和實(shí)時(shí)人機(jī)識別技術(shù),隱藏可能的攻擊入口,增加服務(wù)器行為的不可預(yù)測性;同時(shí),保證應(yīng)用邏輯的正確運(yùn)行,高效甄別偽裝和假冒正常行為的已知和未知自動化攻擊,直接從來源端阻斷自動化攻擊。
AI技術(shù)
融入涵蓋機(jī)器學(xué)習(xí)、智能人機(jī)識別、智能威脅檢測、全息設(shè)備指紋、智能響應(yīng)等的AI技術(shù),對客戶端到服務(wù)器端所有的請求日志進(jìn)行全訪問記錄,持續(xù)監(jiān)控并分析流量行為,實(shí)現(xiàn)精準(zhǔn)攻擊定位和追蹤溯源,并對潛在和更加隱蔽的攻擊行為進(jìn)行更深層次的分析和挖掘。
可編程對抗技術(shù)
為企業(yè)使用者和用戶構(gòu)建了一個(gè)開放式的簡單編程環(huán)境,提供上百個(gè)字段用于規(guī)則編寫,讓具備一定編程基礎(chǔ)的客戶能夠根據(jù)企業(yè)自身的情況,實(shí)現(xiàn)自我防護(hù)需求定制和靈活、便捷的攻防對抗。
自動化威脅情報(bào)
通過大數(shù)據(jù)分析能力,結(jié)合業(yè)務(wù)威脅的特征,對流量進(jìn)行實(shí)時(shí)監(jiān)控。全方位感知透視自動化攻擊的來源、工具、目的和行為,并對攻擊者進(jìn)行畫像,建立IP信譽(yù)庫、指紋信譽(yù)庫和賬號信譽(yù)庫,實(shí)現(xiàn)安全無死角。
03 多能力的縱深防御
事前:隱藏漏洞
盡管目前存在著大量已知漏洞,但實(shí)際上真正被黑客利用的只有大約6%。隨著自動化工具的強(qiáng)勢發(fā)展和應(yīng)用,漏洞掃描和漏洞利用工具的升級也不會慢下腳步,這一比例必然大幅提高,“防漏掃”將仍是Web應(yīng)用安全領(lǐng)域老生常談卻經(jīng)久不衰的話題。來到業(yè)務(wù)安全領(lǐng)域,漏洞的存在仍然會給黑灰產(chǎn)可乘之機(jī),而業(yè)務(wù)相關(guān)的漏洞修復(fù),推動起來甚至比Web漏洞更加困難。
瑞數(shù)信息的全方位縱深防御以動態(tài)安全核心技術(shù)為基礎(chǔ),延續(xù)著瑞數(shù)一直以來在識別機(jī)器人(Bots)等自動化工具方面的突出能力,從本質(zhì)上剝離對規(guī)則的依賴,通過阻攔工具行為將防護(hù)提前至掃描工具和程序的執(zhí)行。在隱藏漏洞的同時(shí),隱藏網(wǎng)頁目錄結(jié)構(gòu),也在網(wǎng)站未打補(bǔ)丁或補(bǔ)丁空窗期,降低攻擊者發(fā)現(xiàn)、利用的概率,為網(wǎng)站的維護(hù)人員爭取響應(yīng)時(shí)間。
事中:動態(tài)響應(yīng)
傳統(tǒng)風(fēng)控通常采用事后分析的風(fēng)控規(guī)則,或是以來第三方輸入的信譽(yù)庫,識別響應(yīng)滯后。而且,由于傳統(tǒng)風(fēng)控通常需要對業(yè)務(wù)日志進(jìn)行人工分析以建立風(fēng)控模型和規(guī)則,而業(yè)務(wù)的頻繁變更勢必導(dǎo)致風(fēng)控規(guī)則的頻繁變更,增加運(yùn)維成本的同時(shí),風(fēng)控?cái)r截邏輯與業(yè)務(wù)邏輯的耦合又會導(dǎo)致風(fēng)控規(guī)則異常復(fù)雜,響應(yīng)能力及效果愈加受阻。
因此瑞數(shù)信息的全方位縱深防御著重提供強(qiáng)大的動態(tài)響應(yīng)和風(fēng)控前置能力。利用可編程對抗技術(shù),通過客戶端采集到的超過300個(gè)信息字段進(jìn)行規(guī)則編程,可以針對設(shè)備特征、輸入事件 、訪問行為等場景進(jìn)行攻防對抗微秒級實(shí)施響應(yīng),并且可以提供軟攔截能力,靈活配置各種動態(tài)響應(yīng)策略,如攔截、重定向、延時(shí)、發(fā)起挑戰(zhàn)等,讓系統(tǒng)無懈可擊。
事后:追蹤溯源
安全事件頻發(fā),如何有效地進(jìn)行追溯分析和取證,是從既發(fā)事件中總結(jié)教訓(xùn)的關(guān)鍵。借助AI智能和大數(shù)據(jù)分析能力,結(jié)合業(yè)務(wù)安全威脅的特征,瑞數(shù)信息全方位縱深防御體系可以對流量數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控和全訪問記錄,全方位感知透視攻擊的來源、工具、目的和行為,使得隱蔽攻擊無處遁形,精準(zhǔn)追蹤溯源。
同時(shí),依據(jù)采集的數(shù)據(jù)可以勾畫攻擊者人物畫像,建立IP信譽(yù)庫、指紋信譽(yù)庫和賬號信譽(yù)庫,并作為威脅情報(bào)返回給縱深防御體系中的其他部分,從而建立安全聯(lián)防,覆蓋企業(yè)應(yīng)用及業(yè)務(wù)安全的生命周期全過程。
總結(jié)
總之,縱深防御體系已不僅是傳統(tǒng)意義上的防護(hù)位置的縱深,和網(wǎng)絡(luò)協(xié)議層次的縱深,而是在當(dāng)前國內(nèi)的網(wǎng)絡(luò)安全攻防呈現(xiàn)出組織化、體系化、實(shí)戰(zhàn)化的情況下,多維度、多手段、多能力地構(gòu)建一種能夠互相協(xié)調(diào)、互相供給、不斷循環(huán)的動態(tài)一體化防護(hù)與保障體系。
瑞數(shù)信息以動態(tài)防護(hù)、AI智能、可編程對抗和業(yè)務(wù)威脅感知四大核心技術(shù)為基礎(chǔ),通過將應(yīng)用與業(yè)務(wù)間的多維度安全手段聯(lián)動起來,消除了用戶信息安全體系建設(shè)中的“安全孤島”問題,形成了針對應(yīng)用和業(yè)務(wù)威脅的事先預(yù)防、事中響應(yīng)、事后分析三者聯(lián)動的安全風(fēng)險(xiǎn)閉環(huán),進(jìn)而構(gòu)建了一體化的、動態(tài)的全方位縱深防御體系,在當(dāng)前復(fù)雜多變的網(wǎng)絡(luò)和應(yīng)用環(huán)境下,為企業(yè)應(yīng)用與業(yè)務(wù)提供了長期、有效、靈活的信息安全防護(hù)!