瑞數(shù)信息技術(shù)總監(jiān)吳劍剛
與會(huì)人員共聽(tīng)瑞數(shù)動(dòng)態(tài)防御新方案
演講中�,根據(jù)自動(dòng)化工具的升級(jí)路線,瑞數(shù)信息將其分為五個(gè)層次���,工具識(shí)別與防護(hù)難度層層遞進(jìn):
第一層
簡(jiǎn)單的腳本和工具��,包括hydra�����、python�����、sqlmap等���。這是最簡(jiǎn)單也是最常見(jiàn)的攻擊手段����,攻擊者甚至不需要太多安全技術(shù)就可以在網(wǎng)上找到腳本���、工具�����,發(fā)起攻擊的門檻非常低�。
l 舉個(gè)例子
利用python腳本進(jìn)行撞庫(kù)時(shí),通?���?梢栽O(shè)置IP地址代理和請(qǐng)求頻率�����,快速����、批量地嘗試用戶名�、密碼登陸;登陸成功后,即可以看到所有的用戶數(shù)據(jù)�����。前段時(shí)間A站信息泄漏就是遭受這類撞庫(kù)攻擊的嚴(yán)重后果���。
l 瑞數(shù)的解決之道
簡(jiǎn)單的腳本攻擊甚至根本無(wú)法通過(guò)瑞數(shù)動(dòng)態(tài)防御的第一步——?jiǎng)討B(tài)封裝,即將網(wǎng)頁(yè)敏感內(nèi)容封裝成亂碼����,使得攻擊者無(wú)法讀懂代碼。找不到登陸入口�����,也就無(wú)法發(fā)起針對(duì)性攻擊。
第二層
具備JS解析能力的工具�����,如AppScan��、AWVS、SlimerJS�����、PhantomJS等���。
l 舉個(gè)例子
利用此類漏洞掃描工具對(duì)某網(wǎng)站進(jìn)行掃描后�����,目錄結(jié)構(gòu)被全部爬出�,發(fā)現(xiàn)12個(gè)高危漏洞�����,共發(fā)出18068個(gè)請(qǐng)求。
l 瑞數(shù)的解決之道
經(jīng)過(guò)動(dòng)態(tài)技術(shù)對(duì)URL的動(dòng)態(tài)封裝�,對(duì)保護(hù)后的同一頁(yè)面再次進(jìn)行掃描,目錄結(jié)構(gòu)卻完全沒(méi)有被爬出�,也沒(méi)有發(fā)現(xiàn)任何高危漏洞,共發(fā)出4284個(gè)請(qǐng)求�。前后對(duì)比十分強(qiáng)烈。
第三層
腳本驅(qū)動(dòng)瀏覽器���,如WebDriver��、Appium�����、Browser Plugin等。這類攻擊通過(guò)瀏覽器插件等工具驅(qū)動(dòng)瀏覽器�,可以全模擬瀏覽器操作�,幾乎能夠繞過(guò)包括驗(yàn)證碼在內(nèi)的所有傳統(tǒng)安全防護(hù)。
?l舉個(gè)例子
利用WebDriver�,可以批量進(jìn)行自動(dòng)化查詢和轉(zhuǎn)賬��,該動(dòng)作不斷自動(dòng)循環(huán)�����,數(shù)據(jù)安全、業(yè)務(wù)安全難以保證�����。
l 瑞數(shù)的解決之道
經(jīng)過(guò)瑞數(shù)防護(hù)���,仍然利用WebDriver����,打開(kāi)的頁(yè)面卻一片空白����,攻擊者無(wú)法獲取任何信息。瑞數(shù)“動(dòng)態(tài)技術(shù)”會(huì)對(duì)所有客戶端進(jìn)行動(dòng)態(tài)校驗(yàn)��,進(jìn)行人機(jī)識(shí)別;就像安檢儀的功能一樣���,我們會(huì)基于一定的環(huán)境驗(yàn)證、行為驗(yàn)證來(lái)取得指紋,做行為軌跡追蹤��。
第四層
全錄屏操作���,如按鍵精靈�����、AutoIt���、Sikuli Script等。這類工具在驅(qū)動(dòng)瀏覽器之外���,還可以產(chǎn)生鍵盤��、鼠標(biāo)行為����,模擬真人操作�����。
l 舉個(gè)例子
利用按鍵精靈����,同樣可以進(jìn)行自動(dòng)化查詢和轉(zhuǎn)賬���,但與使用WebDriver不同的是����,攻擊者可以產(chǎn)生許多鼠標(biāo)����、鍵盤行為��。對(duì)于安全防護(hù)來(lái)說(shuō)��,僅僅依據(jù)指紋識(shí)別和軌跡追蹤是無(wú)法識(shí)別這樣的行為是由工具還是真人發(fā)起的���。
l 瑞數(shù)的解決之道
面對(duì)模擬真人的自動(dòng)化工具���,除了上文提到的動(dòng)態(tài)封裝、動(dòng)態(tài)驗(yàn)證技術(shù)�����,瑞數(shù)還會(huì)給每個(gè)合法頁(yè)面一個(gè)動(dòng)態(tài)令牌,使其具有自動(dòng)業(yè)務(wù)邏輯感知能力���,保證所有請(qǐng)求業(yè)務(wù)的一致性�。與傳統(tǒng)安全防護(hù)技術(shù)不同���,“動(dòng)態(tài)安全”技術(shù)并非基于特征識(shí)別�����,只要是利用自動(dòng)化工具進(jìn)行的攻擊����,都可以被迅速識(shí)別并攔截��。
第五層
真人操作��。其實(shí)到這個(gè)階段��,防護(hù)起來(lái)就非常困難了���,但瑞數(shù)信息仍然可以阻擋類似攻擊����。
l 舉個(gè)例子
移動(dòng)設(shè)備群控,即通過(guò)一個(gè)軟件控制多臺(tái)手機(jī)來(lái)批量進(jìn)行惡意操作�。攻擊者采用多源低頻的攻擊方式,不斷更換IP地址以隱藏自己�,在這種情況下,封IP�、限制頻率的傳統(tǒng)手段已經(jīng)完全失效�����。
l 瑞數(shù)的解決之道
首先��,如何發(fā)現(xiàn)群控設(shè)備?簡(jiǎn)單地說(shuō)��,瑞數(shù)可以通過(guò)查看設(shè)備是否連接同一個(gè)Wi-FiSSID��、是否始終充電�、是否固定擺放等,來(lái)進(jìn)行關(guān)聯(lián)分析����,透視多源低頻的攻擊狀態(tài)。同時(shí)�����,在前端海量采集數(shù)據(jù)后,我們可以高效分析威脅數(shù)據(jù)��,提供精準(zhǔn)的攻擊者畫(huà)像���,準(zhǔn)確定位攻擊���。
綜合而言,瑞數(shù)“動(dòng)態(tài)安全”防護(hù)新方案可以通過(guò)創(chuàng)新的動(dòng)態(tài)技術(shù)�,高效應(yīng)對(duì)各種模擬真人操作的自動(dòng)化工具攻擊,無(wú)需依賴特征���、規(guī)則����,無(wú)需更改應(yīng)用�,讓安全領(lǐng)先一步!
