動態(tài)安全:自動化工具不斷升級下的解決之道

責(zé)任編輯:zhaoxiaoqin

2018-08-07 11:02:26

“動態(tài)安全”防護(hù)新方案可以通過創(chuàng)新的動態(tài)技術(shù),高效應(yīng)對各種模擬真人操作的自動化工具攻擊,無需依賴特征、規(guī)則,無需更改應(yīng)用,讓安全領(lǐng)先一步

2018年7月27日,由信息安全新媒體安在、安言咨詢、ISG競賽組委會聯(lián)合主辦的“網(wǎng)絡(luò)安全科技創(chuàng)新研討會(保險(xiǎn)專場)”火熱舉行。

本次活動吸引了太平洋保險(xiǎn)、長生人壽保險(xiǎn)、東京海上日動火災(zāi)保險(xiǎn)、甜橙金融、安達(dá)保險(xiǎn)、中信保、平安科技、太平共享金融、上海盛付電子支付、寶尊電商等多家保險(xiǎn)、金融類企業(yè)的的安全負(fù)責(zé)人和技術(shù)骨干參與。瑞數(shù)信息作為創(chuàng)新安全廠商,實(shí)地分享動態(tài)安全防御方案,與客戶在深度交流碰撞中共同探索網(wǎng)絡(luò)安全新發(fā)展。

瑞數(shù)信息技術(shù)總監(jiān)吳劍剛以“一場沒有硝煙的戰(zhàn)爭——自動化攻擊與動態(tài)防御演示”為題進(jìn)行演講。

瑞數(shù)信息技術(shù)總監(jiān)吳劍剛


與會人員共聽瑞數(shù)動態(tài)防御新方案

演講中,根據(jù)自動化工具的升級路線,瑞數(shù)信息將其分為五個層次,工具識別與防護(hù)難度層層遞進(jìn):

第一層

簡單的腳本和工具,包括hydra、python、sqlmap等。這是最簡單也是最常見的攻擊手段,攻擊者甚至不需要太多安全技術(shù)就可以在網(wǎng)上找到腳本、工具,發(fā)起攻擊的門檻非常低。

l 舉個例子

利用python腳本進(jìn)行撞庫時,通??梢栽O(shè)置IP地址代理和請求頻率,快速、批量地嘗試用戶名、密碼登陸;登陸成功后,即可以看到所有的用戶數(shù)據(jù)。前段時間A站信息泄漏就是遭受這類撞庫攻擊的嚴(yán)重后果。

l 瑞數(shù)的解決之道

簡單的腳本攻擊甚至根本無法通過瑞數(shù)動態(tài)防御的第一步——動態(tài)封裝,即將網(wǎng)頁敏感內(nèi)容封裝成亂碼,使得攻擊者無法讀懂代碼。找不到登陸入口,也就無法發(fā)起針對性攻擊。

第二層

具備JS解析能力的工具,如AppScan、AWVS、SlimerJS、PhantomJS等。

l 舉個例子

利用此類漏洞掃描工具對某網(wǎng)站進(jìn)行掃描后,目錄結(jié)構(gòu)被全部爬出,發(fā)現(xiàn)12個高危漏洞,共發(fā)出18068個請求。

l 瑞數(shù)的解決之道

經(jīng)過動態(tài)技術(shù)對URL的動態(tài)封裝,對保護(hù)后的同一頁面再次進(jìn)行掃描,目錄結(jié)構(gòu)卻完全沒有被爬出,也沒有發(fā)現(xiàn)任何高危漏洞,共發(fā)出4284個請求。前后對比十分強(qiáng)烈。

第三層

腳本驅(qū)動瀏覽器,如WebDriver、Appium、Browser Plugin等。這類攻擊通過瀏覽器插件等工具驅(qū)動瀏覽器,可以全模擬瀏覽器操作,幾乎能夠繞過包括驗(yàn)證碼在內(nèi)的所有傳統(tǒng)安全防護(hù)。

 l舉個例子

利用WebDriver,可以批量進(jìn)行自動化查詢和轉(zhuǎn)賬,該動作不斷自動循環(huán),數(shù)據(jù)安全、業(yè)務(wù)安全難以保證。

l 瑞數(shù)的解決之道

經(jīng)過瑞數(shù)防護(hù),仍然利用WebDriver,打開的頁面卻一片空白,攻擊者無法獲取任何信息。瑞數(shù)“動態(tài)技術(shù)”會對所有客戶端進(jìn)行動態(tài)校驗(yàn),進(jìn)行人機(jī)識別;就像安檢儀的功能一樣,我們會基于一定的環(huán)境驗(yàn)證、行為驗(yàn)證來取得指紋,做行為軌跡追蹤。

第四層

全錄屏操作,如按鍵精靈、AutoIt、Sikuli Script等。這類工具在驅(qū)動瀏覽器之外,還可以產(chǎn)生鍵盤、鼠標(biāo)行為,模擬真人操作。

l 舉個例子

利用按鍵精靈,同樣可以進(jìn)行自動化查詢和轉(zhuǎn)賬,但與使用WebDriver不同的是,攻擊者可以產(chǎn)生許多鼠標(biāo)、鍵盤行為。對于安全防護(hù)來說,僅僅依據(jù)指紋識別和軌跡追蹤是無法識別這樣的行為是由工具還是真人發(fā)起的。

l 瑞數(shù)的解決之道

面對模擬真人的自動化工具,除了上文提到的動態(tài)封裝、動態(tài)驗(yàn)證技術(shù),瑞數(shù)還會給每個合法頁面一個動態(tài)令牌,使其具有自動業(yè)務(wù)邏輯感知能力,保證所有請求業(yè)務(wù)的一致性。與傳統(tǒng)安全防護(hù)技術(shù)不同,“動態(tài)安全”技術(shù)并非基于特征識別,只要是利用自動化工具進(jìn)行的攻擊,都可以被迅速識別并攔截。

第五層

真人操作。其實(shí)到這個階段,防護(hù)起來就非常困難了,但瑞數(shù)信息仍然可以阻擋類似攻擊。

l 舉個例子

移動設(shè)備群控,即通過一個軟件控制多臺手機(jī)來批量進(jìn)行惡意操作。攻擊者采用多源低頻的攻擊方式,不斷更換IP地址以隱藏自己,在這種情況下,封IP、限制頻率的傳統(tǒng)手段已經(jīng)完全失效。

l 瑞數(shù)的解決之道

首先,如何發(fā)現(xiàn)群控設(shè)備?簡單地說,瑞數(shù)可以通過查看設(shè)備是否連接同一個Wi-FiSSID、是否始終充電、是否固定擺放等,來進(jìn)行關(guān)聯(lián)分析,透視多源低頻的攻擊狀態(tài)。同時,在前端海量采集數(shù)據(jù)后,我們可以高效分析威脅數(shù)據(jù),提供精準(zhǔn)的攻擊者畫像,準(zhǔn)確定位攻擊。

綜合而言,瑞數(shù)“動態(tài)安全”防護(hù)新方案可以通過創(chuàng)新的動態(tài)技術(shù),高效應(yīng)對各種模擬真人操作的自動化工具攻擊,無需依賴特征、規(guī)則,無需更改應(yīng)用,讓安全領(lǐng)先一步!

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號