首页 > 信息安全 > 正文

新基建背后的隐忧——自动化攻击下的企业安全之道

2020-05-13 10:33:06  来源:企业网D1Net

摘要:2020年由于新冠疫情影响全球经济受到重创,国家为刺激经济复苏,确定了以5G基站建设、城际高速铁路和城市轨道交通、大数据中心、
关键词: 新基建 安全
  2020年由于新冠疫情影响全球经济受到重创,国家为刺激经济复苏,确定了以5G基站建设、城际高速铁路和城市轨道交通、大数据中心、人工智能、工业互联网等领域的数字化和智能化方向的科技投资,加速产业升级。新技术在各行业渗透的同时对信息安全带来了巨大挑战。
 
  瑞数信息近日发布的《2020 Bots自动化威胁报告》(以下简称《报告》)中显示,Bots机器人攻击在逐年增加,其流量占到正常流量的一半以上。攻击者利用Bots自动化工具占用了大量社会资源,包括抢票、秒杀、薅羊毛、挂号等。而国内的Bots攻击形势更为严峻,尤其在一些资源抢占类和信息公示类系统中,Bots发起的访问请求占比甚至超过 80%。同时相对传统安全攻防,企业普遍缺乏对于Bots攻击的认知和防护,这进一步加剧了Bots攻击带来的危害。
 
  “我们收集了包含政府、金融、电信、电商、教育、能源等八大行业的200多家客户的真实威胁数据制作了这份报告。”瑞数信息CTO马蔚彦告诉记者,“数据已成为企业的重要生产要素,自动化攻击的增长趋势不容忽视。传统的反自动化攻击手段如特征识别技术对于简单的机器人攻击的防范能力有一定效果,但面对愈加智能的自动化攻击则收效渐微。”
 
  《报告》指出,从Bots攻击流量最主要的关注点和对业务影响的角度,Bots攻击主要来自5大类: 一、漏洞探测利用,二、模拟正常业务操作逻辑抢占业务资源,三、爬虫获取高价值数据,四、暴力破解或者撞库获取账号信息,五、面向应用和业务的拒绝服务攻击。
 
  这导致很多企业损失惨重:2019年拼多多平台优惠券被薅羊毛,损失近千万;抖音平台千万账号被撞库攻击,黑客通过其他平台交叉撞库获取更多平台账户,非法获利百万……瑞数信息在防范这种自动化攻击方面采取了更为有效的技术——动态防御。马蔚彦指出:“动态防御技术的特点是不依赖于传统的特征识别,通过动态封装、动态验证、动态混淆、动态令牌这四种核心动态技术来识别并抑制机器人的攻击。他不是被动的防御,而是主动地让网站、IT系统成为不断变化的动态系统,迷惑、扰乱攻击者。”
 
  动态技术也将是未来的发展方向。“机器人攻击是用机器来模拟人的行为,因此我们通过让被攻击目标主动变换,不按照一个既定的程序进行,每一次信息请求就变换一次,这样来提高攻击的难度,有效抑制自动化的攻击。除了以上说的的四种动态技术,还将加入动态挑战和动态响应来完善动态技术。”
 
  利用这种技术对银行业的收效更为明显。中小金融机构的安全面临两大困境:首先是新产品采用第三方解决方案。比如移动APP这种产品采用第三方技术,在安全方面的可靠度很难把控,中小金融机构维护起来也更加困难。其次,中小金融机构的安全保护能力有限,整个运营人手就缺乏,应对攻击的手段也不全面,在面对高级别攻击时就更加被动。
 
  “因此,在提升安全防护时首先要从自身着手,增强安全意识的管理。其次,恶补短板,按照等保等级做到安全合规,补齐短板。最后就是采用新型的防护机制,通过一些智能威胁识别的机制,提升整体防护能力。整体来说就是先打好基础,然后再来做这种安全的加固、延伸。”马蔚彦为企业的安全管理提出了一个行之有效的思路。
 
  面对抢占流量日益猖獗的爬虫,瑞数信息也积累了行之有效的治理方案。瑞数信息首席安全顾问周浩介绍:“爬虫是一种对抗性很强又很难管理的自动化攻击。一方面要区分出正常人类的流量,另一方面又不能简单粗暴地封锁干掉所有的爬虫,还要让一部分有助于信息推广的爬虫可以访问,甚至有些系统是允许爬虫来访问的,只有爬虫访问影响到业务正常运行时才进行处理。在这样的要求下我们采用定制性的管理策略。通过瑞数信息自主研发的动态技术对所有的访问行为进行监测,可以清楚地知道当前请求的状态,哪些是正常人的行为,哪些是爬虫,一旦需要对爬虫进行处理里,系统就会启用相应的保护策略,对异常请求进行拦截,保证正常业务不受影响。处理的方式也是多种多样的,例如直接拦截,或者引流到特定的服务器等等。”
 
  “此外,我们还会根据现有的爬虫进行情报收集,例如客户端特征、行为特性、高质量IP代理信息等等,通过收集这些爬虫自己送上门的情报,来进一步丰富我们的情报库,提升爬虫识别的技术储备。”
 
  攻与防在安全领域是永恒的对立与统一。攻击技术的不断进步也驱动着防守的不断进化。瑞数信息另辟蹊径以攻代防,以变应变的策略有效提高了攻击者的难度,我们相信在加入智能机器识别、智能威胁检测、以及全息设备指纹等新技术后,瑞数信息将把企业的安全防护水平提到一个新的台阶,帮助企业降低风险,成为保护新基建的坚固盾牌。

第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:zhangwenwen

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。