越來越泛濫的零日攻擊
在大多數(shù)網(wǎng)絡(luò)安全從業(yè)者意識中,“零日攻擊”往往是讓人非常頭痛的安全威脅。其高威脅性、突發(fā)性、高破壞性、大規(guī)模性的主要特點,讓零日攻擊能在網(wǎng)絡(luò)安全地下黑市歷時十多年都長盛不衰。近幾年,零日漏洞的披露越來越多,影響面也越來越波及到各行各業(yè),不僅僅是安全界,甚至也成為企業(yè)里的難題,究其原因,開源代碼的不斷擴散,被企業(yè)用于業(yè)務(wù)系統(tǒng)的開發(fā),縮短項目周期,盡快將業(yè)務(wù)推向市場,是其根源之一。
這些開源組件中的代碼被多種設(shè)備,多個系統(tǒng)復(fù)用,組件中一旦發(fā)現(xiàn)零日漏洞,產(chǎn)生的風(fēng)險往往是成倍增長的。去年到今年,接二連三的Struts S2零日漏洞就證明了這一點。
2016年4月15日,國內(nèi)安全專家發(fā)現(xiàn)并公布了在Struts2上的一個嚴(yán)重遠程代碼執(zhí)行漏洞S2-032,黑客可以利用該漏洞輕易攻陷網(wǎng)站服務(wù)器,獲取網(wǎng)站注冊用戶的帳號密碼和個人資料,通過瀏覽器在遠程服務(wù)器上執(zhí)行任意系統(tǒng)命令,受影響站點可能引發(fā)數(shù)據(jù)泄露、網(wǎng)頁篡改、植入后門、成為肉雞等一系列重大安全事件。該漏洞最直接影響到的就是金融行業(yè)、運營商、各大門戶和電商。而這些企業(yè)機構(gòu)掌握的核心的數(shù)據(jù)資產(chǎn),因此影響極為嚴(yán)重。
傳統(tǒng)安全手段力不從心
面對此類新型的互聯(lián)網(wǎng)安全威脅,尤其是零日攻擊,傳統(tǒng)的安全防護技術(shù)往往顯得力不從心。過去針對此類漏洞,通常采用的防護手段是以打補丁和更新軟件版本為主。如果通過Web應(yīng)用防火墻產(chǎn)品進行防護,需要廠家根據(jù)漏洞利用的攻擊特征,更新其策略規(guī)則或者特征庫之后,才能進行防御,但顯然已經(jīng)是“滯后于攻擊”的防護結(jié)果了。
而且,漏洞被發(fā)現(xiàn)和公布時,通常已經(jīng)有漏洞利用工具先行流傳和傳播于互聯(lián)網(wǎng),行業(yè)和企業(yè)用戶的Web應(yīng)用勢必受到影響。這種事后的被動式防御手段,在新的威脅面前處處被掣肘。如果企業(yè)大面積使用這些開源組件作為軟件基礎(chǔ)平臺,則大規(guī)模的查漏洞、打補丁的工作,會令用戶備受困擾。
動態(tài)安全 - 先于攻擊的主動防御之道
瑞數(shù)信息的動態(tài)安全技術(shù)可以非常好地解決零日漏洞攻擊問題。通過針對網(wǎng)頁的動態(tài)變幻技術(shù)實現(xiàn)實時和在線的防護,讓攻擊程序無法進行漏洞利用的嘗試,從而在補丁沒有更新、傳統(tǒng)防護手段未到位的時候,保護客戶的應(yīng)用不受影響。
“瑞數(shù)機器人防火墻的引擎,并不是在零日漏洞被披露后的快速特征庫、規(guī)則庫的更新,其實現(xiàn)機理并非傳統(tǒng)靠零日漏洞的攻擊特征來識別和阻擋攻擊,而是通過識別攻擊是否為腳本、程序、工具,以及結(jié)合動態(tài)令牌及動態(tài)驗證技術(shù)進行的識別和阻擋。因此,假設(shè)在零日漏洞被披露之前,漏洞利用的方法和工具被惡意地使用在企業(yè)中,瑞數(shù)機器人防火墻即可先于零日攻擊進行有效阻攔。”
馬蔚彥還提到:“實際上,零日漏洞的披露往往伴隨著漏洞檢測的手法,這些手法的披露是把雙刃劍,在檢測是否有零日漏洞的同時,也是大量利用漏洞的時機。換句話說,手法本身對攻守兩方幾乎是對等的,對于企業(yè)的安全來講比的就是誰‘快’。顯然,打補丁、設(shè)規(guī)則是一定滯后于攻擊手段的,補丁空窗期的一次漏洞利用的攻擊,輕則植入木馬,重則信息外泄”。
關(guān)鍵技術(shù)主要體現(xiàn)在“變幻”和“動態(tài)”兩大亮點上。
所謂變幻是指對敏感內(nèi)容進行變幻,包括客戶端輸入和提交的數(shù)據(jù)內(nèi)容,也包括URL、Cookie、服務(wù)器返回頁面中可能成為攻擊入口的Html參數(shù)信息。
而動態(tài)是指封裝及混淆算法的動態(tài),運用在每一個頁面每次返回客戶端時動態(tài)封裝中;令牌隨機動態(tài)生成,在瀏覽器應(yīng)用及環(huán)境驗證方法也有動態(tài)變化。
動態(tài)安全的價值:為企業(yè)安全提供新的主動防護思路
在零日漏洞面前,在傳統(tǒng)安全技術(shù)之上的監(jiān)控、響應(yīng)、預(yù)警盡管是加強主動防御的重要手段,但依然不能根本性地扭轉(zhuǎn)防守方的被動局面,瑞數(shù)信息創(chuàng)新動態(tài)安全技術(shù)可以阻擋多源低頻攻擊,還能感知和透視到來自客戶端瀏覽器的惡意行為,在漏洞利用時進行的識別和防護,是針對web零日漏洞在技術(shù)機理上真正的主動防御。
像上文提到了Struts2 漏洞,瑞數(shù)信息在日前就與之交鋒,交出了令客戶滿意的答卷。一家大型企業(yè)客戶通過瑞數(shù)機器人防火墻的動態(tài)安全技術(shù),在兩會保障期間監(jiān)控日志發(fā)現(xiàn)并阻擋了一年前的S2-032漏洞攻擊。當(dāng)時正值S2-45漏洞剛剛正式發(fā)布,企業(yè)采用Web應(yīng)用防火墻升級特征庫的手段,抵御了S2-45漏洞。但是黑客并不死心,轉(zhuǎn)而用一年前的S2-032漏洞,恰巧Web應(yīng)用防火墻并未升級改漏洞的防護規(guī)則,造成攻擊穿透了WAF防護。幸而瑞數(shù)機器人防火墻在線,即便穿透WAF,依然被阻擋。 后來分析發(fā)現(xiàn),事實上,早在S2-45漏洞公布前兩天,網(wǎng)站就曾經(jīng)有過一批利用多種S2漏洞的攻擊手段在進行活動。瑞數(shù)信息通過動態(tài)安全技術(shù),不僅抵御了來自S2-045、S2-032的漏洞攻擊,還成功攔截了數(shù)千次在漏洞公布前的S2攻擊(繞過了該網(wǎng)站所有WAF),極大地提升了系統(tǒng)的安全防御水平。
事實上,瑞數(shù)信息的動態(tài)安全技術(shù)不僅比傳統(tǒng)打補丁的方法更及時、更有效,而且對其他類似零日漏洞利用的攻擊,尤其是利用各種漏洞進行業(yè)務(wù)違規(guī)操作也非常有效,例如網(wǎng)頁越權(quán)訪問、中間人攻擊、惡意注冊、惡意訪問等行為都得到了扼制。
此外,不僅僅是零日漏洞,針對已知漏洞的探測和掃描行為這些工具化、自動化的機器人行為,經(jīng)過瑞數(shù)機器人防火墻的防護,令漏洞掃描無法發(fā)現(xiàn)web應(yīng)用的漏洞,在企業(yè)客戶面臨經(jīng)常性的、甚至常常是緊急的打補丁的繁雜運維工作時,或者打補丁影響業(yè)務(wù)系統(tǒng)的艱難處境面前,這種漏洞隱藏的方式和零日漏洞的主動防御手段無疑會深受企業(yè)的歡迎。
目前在國內(nèi)眾多電信運營商、銀行、政府以及大型企業(yè)中,動態(tài)安全技術(shù)得到非常好的實踐檢驗,效果顯著,受到客戶的青睞的好評。
