您當前的位置是:  首頁 > 新聞 > 國內(nèi) >
 首頁 > 新聞 > 國內(nèi) >

撞庫之殤-是時候改變下安全思路了

2016-12-29 10:30:59   作者:   來源:CTI論壇   評論:0  點擊:

  即將過去的2016年注定成為中國信息安全發(fā)展史上最具里程碑意義的一年,千呼萬喚的《網(wǎng)絡(luò)安全法》正式出臺,終于從法律層面向伸向個人信息的黑手們亮劍了!近年來,層出不窮的信息泄露事件,日益猖獗信息買賣的到了令人發(fā)指的地步。僅在2016年,數(shù)據(jù)量高達數(shù)千萬條以上的泄密事件就有10多起之多,在不知不覺中,用戶名、密碼、郵箱地址、QQ號、電話號碼、身份證等信息就成了黑市交易獲利的商品。
  • 數(shù)據(jù)下載、明碼標價,黑市交易已然風(fēng)生云起
  • 攻擊泄漏、倒賣獲利,完整的黑色產(chǎn)業(yè)鏈已形成
  • 罪魁禍首-又是Struts 2安全漏洞所致
  據(jù)瑞數(shù)信息的安全專家追溯多起數(shù)據(jù)泄漏的源頭,發(fā)現(xiàn)很多數(shù)據(jù)泄漏事件是緣于2013年的Struts 2安全漏洞。
  Struts 2可謂大名鼎鼎,黑客可以利用該漏洞輕易攻陷網(wǎng)站服務(wù)器,獲取網(wǎng)站注冊用戶的帳號密碼和個人資料,從而引發(fā)站點的數(shù)據(jù)泄露、網(wǎng)頁篡改、植入后門、成為肉雞等安全事件。該漏洞目前令國內(nèi)大量知名網(wǎng)站,包括各大門戶、電商、銀行等官網(wǎng)都出現(xiàn)了不同程度的信息泄露和影響。
  而對于此類漏洞的防護手段目前采用的是以打補丁和更新軟件版本為主,然而,事實再次證明這種事后的被動式防御手段在新的威脅面前顯現(xiàn)出力不從心。
  火上澆油-利用撞庫瘋狂掠奪信息
  黑客利用Struts 2漏洞獲得大量注冊用戶名和密碼數(shù)據(jù)后豈能善罷甘休,更為瘋狂的是,黑客還將利用這些用戶名和密碼數(shù)據(jù)再次通過自動化程序?qū)ι碳业木W(wǎng)站實施撞庫攻擊、賬號盜用,從而進一步導(dǎo)致用戶信息及資金蒙受巨額損失。
  傳統(tǒng)的防御手段僅僅是通過打補丁堵上漏洞,或者建議客戶盡快更新密碼,進行安全升級。然而,事實上我們無法期待所有用戶都能夠?qū)~號及時進行安全升級,因此仍然有大量尚未更新密碼的客戶信息存留在黑市中。而這些鮮活的信息就恰恰為黑客再次撞庫帶來了機會,也為商家和用戶造成了巨大的風(fēng)險。
  僅僅更換密碼就安全了嗎?
  今天,我們看到的更多建議是請每一位消費者盡快更改登陸密碼。從消費者自我保護的角度來講修改密碼的確是必須采取的行動。但是大規(guī)模泄露事件一般是因為網(wǎng)站漏洞,使用復(fù)雜密碼、頻繁更換密碼只是增加了黑客破解密碼的難度;不同網(wǎng)站使用不同密碼,也只是能防止黑客“撞庫”。因此作為商家,在及時提醒消費者的同時又該怎樣更主動地為消費者提供保護?而非僅僅是發(fā)生事件后的應(yīng)急通知呢?
  保護在線業(yè)務(wù),是時候該換一種安全思路了!
  作為商家,其在線平臺不僅要在業(yè)務(wù)層面保護自己的各種行銷資源,同時更有義務(wù)保護好用戶的數(shù)據(jù)不被竊取,因此更要積極打破原有基于簽名、驗證、打補丁的傳統(tǒng)防護方式,化被動為主動防御。
  在尋求更加主動有效的防護技術(shù)中,瑞數(shù)信息的安全專家建議目前可通過針對網(wǎng)頁的動態(tài)安全技術(shù)實現(xiàn)實時和在線的防護,可以讓攻擊程序無法進行漏洞利用的嘗試,從而在補丁沒有更新,傳統(tǒng)防護手段未到位時,進行有效防護。
  1. 改變現(xiàn)有手段特征匹配式的防護思路,以動態(tài)變幻的技術(shù)視角,實現(xiàn)實時主動防御效果,對抗利用工具的自動化攻擊行為,包含漏洞探測和利用、零日攻擊及合法業(yè)務(wù)邏輯濫用等惡意攻擊行為。
  2. 通過創(chuàng)新的動態(tài)安全技術(shù)抵抗多源低頻攻擊,彌補現(xiàn)有防護手段的缺失,補足傳統(tǒng)應(yīng)用安全防護手段能力不及之處。
  3. 利用動態(tài)安全技術(shù)中的終端安全威脅感知能力,提供對于安全威脅態(tài)勢以及攻擊者畫像更為細粒度的特征數(shù)據(jù)。
  4. 無需修改應(yīng)用代碼,不必進行特征庫、策略庫的升級維護工作,降低運維成本,有效阻止網(wǎng)上大量的自動化攻擊,有效節(jié)省帶寬、服務(wù)器等資源。
  更廣闊的應(yīng)用場景
  動態(tài)安全技術(shù)不僅在對抗Struts2的漏洞利用中,提供了比打補丁更為及時、有效的方法,該技術(shù)對于零日漏洞利用的攻擊,利用漏洞進行的業(yè)務(wù)違規(guī)操作以及合法邏輯濫用的行為,都有很有效的防護效果。該技術(shù)目前已經(jīng)廣泛運用在政府、企業(yè)以及商業(yè)活動的應(yīng)用場景中。
  • 政府及企業(yè)數(shù)據(jù)保護 :“互聯(lián)網(wǎng)+”時代,有效防止拖庫、撞庫、惡意爬蟲等行為,保護政府及國家關(guān)鍵性網(wǎng)上業(yè)務(wù)和數(shù)據(jù)的安全。
  • 企業(yè)對外業(yè)務(wù)風(fēng)險防范:阻擋通過自動化工具進行惡意搶購、虛假交易、違規(guī)套現(xiàn)等行為,給企業(yè)的商業(yè)業(yè)務(wù)造成很大風(fēng)險。
  • 企業(yè)內(nèi)部應(yīng)用風(fēng)險防范:有效防止企業(yè)內(nèi)部敏感數(shù)據(jù)泄漏、合法業(yè)務(wù)濫用的安全風(fēng)險。
  安全問題迫在眉睫!瑞數(shù)顛覆性的動態(tài)安全技術(shù)可以有效防護未知威脅及自動化攻擊,實現(xiàn)零補丁、零規(guī)則,助力企業(yè)跑贏零日,將Struts2及未來的零日攻擊阻擋于大門之外!

專題