- 數據下載、明碼標價(jià),黑市交易已然風(fēng)生云起
- 攻擊泄漏、倒賣(mài)獲利,完整的黑色產(chǎn)業(yè)鏈已形成
- 罪魁禍首-又是Struts 2安全漏洞所致
據瑞數信息的安全專(zhuān)家追溯多起數據泄漏的源頭,發(fā)現很多數據泄漏事件是緣于2013年的Struts 2安全漏洞。
Struts 2可謂大名鼎鼎,黑客可以利用該漏洞輕易攻陷網(wǎng)站服務(wù)器,獲取網(wǎng)站注冊用戶(hù)的帳號密碼和個(gè)人資料,從而引發(fā)站點(diǎn)的數據泄露、網(wǎng)頁(yè)篡改、植入后門(mén)、成為肉雞等安全事件。該漏洞目前令國內大量知名網(wǎng)站,包括各大門(mén)戶(hù)、電商、銀行等官網(wǎng)都出現了不同程度的信息泄露和影響。
而對于此類(lèi)漏洞的防護手段目前采用的是以打補丁和更新軟件版本為主,然而,事實(shí)再次證明這種事后的被動(dòng)式防御手段在新的威脅面前顯現出力不從心。
火上澆油-利用撞庫瘋狂掠奪信息
黑客利用Struts 2漏洞獲得大量注冊用戶(hù)名和密碼數據后豈能善罷甘休,更為瘋狂的是,黑客還將利用這些用戶(hù)名和密碼數據再次通過(guò)自動(dòng)化程序對商家的網(wǎng)站實(shí)施撞庫攻擊、賬號盜用,從而進(jìn)一步導致用戶(hù)信息及資金蒙受巨額損失。
傳統的防御手段僅僅是通過(guò)打補丁堵上漏洞,或者建議客戶(hù)盡快更新密碼,進(jìn)行安全升級。然而,事實(shí)上我們無(wú)法期待所有用戶(hù)都能夠對賬號及時(shí)進(jìn)行安全升級,因此仍然有大量尚未更新密碼的客戶(hù)信息存留在黑市中。而這些鮮活的信息就恰恰為黑客再次撞庫帶來(lái)了機會(huì ),也為商家和用戶(hù)造成了巨大的風(fēng)險。
僅僅更換密碼就安全了嗎?
今天,我們看到的更多建議是請每一位消費者盡快更改登陸密碼。從消費者自我保護的角度來(lái)講修改密碼的確是必須采取的行動(dòng)。但是大規模泄露事件一般是因為網(wǎng)站漏洞,使用復雜密碼、頻繁更換密碼只是增加了黑客破解密碼的難度;不同網(wǎng)站使用不同密碼,也只是能防止黑客“撞庫”。因此作為商家,在及時(shí)提醒消費者的同時(shí)又該怎樣更主動(dòng)地為消費者提供保護?而非僅僅是發(fā)生事件后的應急通知呢?
保護在線(xiàn)業(yè)務(wù),是時(shí)候該換一種安全思路了!
作為商家,其在線(xiàn)平臺不僅要在業(yè)務(wù)層面保護自己的各種行銷(xiāo)資源,同時(shí)更有義務(wù)保護好用戶(hù)的數據不被竊取,因此更要積極打破原有基于簽名、驗證、打補丁的傳統防護方式,化被動(dòng)為主動(dòng)防御。
在尋求更加主動(dòng)有效的防護技術(shù)中,瑞數信息的安全專(zhuān)家建議目前可通過(guò)針對網(wǎng)頁(yè)的動(dòng)態(tài)安全技術(shù)實(shí)現實(shí)時(shí)和在線(xiàn)的防護,可以讓攻擊程序無(wú)法進(jìn)行漏洞利用的嘗試,從而在補丁沒(méi)有更新,傳統防護手段未到位時(shí),進(jìn)行有效防護。
- 改變現有手段特征匹配式的防護思路,以動(dòng)態(tài)變幻的技術(shù)視角,實(shí)現實(shí)時(shí)主動(dòng)防御效果,對抗利用工具的自動(dòng)化攻擊行為,包含漏洞探測和利用、零日攻擊及合法業(yè)務(wù)邏輯濫用等惡意攻擊行為。
- 通過(guò)創(chuàng )新的動(dòng)態(tài)安全技術(shù)抵抗多源低頻攻擊,彌補現有防護手段的缺失,補足傳統應用安全防護手段能力不及之處。
- 利用動(dòng)態(tài)安全技術(shù)中的終端安全威脅感知能力,提供對于安全威脅態(tài)勢以及攻擊者畫(huà)像更為細粒度的特征數據。
- 無(wú)需修改應用代碼,不必進(jìn)行特征庫、策略庫的升級維護工作,降低運維成本,有效阻止網(wǎng)上大量的自動(dòng)化攻擊,有效節省帶寬、服務(wù)器等資源。
更廣闊的應用場(chǎng)景
動(dòng)態(tài)安全技術(shù)不僅在對抗Struts2的漏洞利用中,提供了比打補丁更為及時(shí)、有效的方法,該技術(shù)對于零日漏洞利用的攻擊,利用漏洞進(jìn)行的業(yè)務(wù)違規操作以及合法邏輯濫用的行為,都有很有效的防護效果。該技術(shù)目前已經(jīng)廣泛運用在政府、企業(yè)以及商業(yè)活動(dòng)的應用場(chǎng)景中。
- 政府及企業(yè)數據保護 :“互聯(lián)網(wǎng)+”時(shí)代,有效防止拖庫、撞庫、惡意爬蟲(chóng)等行為,保護政府及國家關(guān)鍵性網(wǎng)上業(yè)務(wù)和數據的安全。
- 企業(yè)對外業(yè)務(wù)風(fēng)險防范:阻擋通過(guò)自動(dòng)化工具進(jìn)行惡意搶購、虛假交易、違規套現等行為,給企業(yè)的商業(yè)業(yè)務(wù)造成很大風(fēng)險。
- 企業(yè)內部應用風(fēng)險防范:有效防止企業(yè)內部敏感數據泄漏、合法業(yè)務(wù)濫用的安全風(fēng)險。
安全問(wèn)題迫在眉睫!瑞數顛覆性的動(dòng)態(tài)安全技術(shù)可以有效防護未知威脅及自動(dòng)化攻擊,實(shí)現零補丁、零規則,助力企業(yè)跑贏(yíng)零日,將Struts2及未來(lái)的零日攻擊阻擋于大門(mén)之外!
