越來(lái)越泛濫的零日攻擊
在大多數網(wǎng)絡(luò )安全從業(yè)者意識中,“零日攻擊”往往是讓人非常頭痛的安全威脅。其高威脅性、突發(fā)性、高破壞性、大規模性的主要特點(diǎn),讓零日攻擊能在網(wǎng)絡(luò )安全地下黑市歷時(shí)十多年都長(cháng)盛不衰。近幾年,零日漏洞的披露越來(lái)越多,影響面也越來(lái)越波及到各行各業(yè),不僅僅是安全界,甚至也成為企業(yè)里的難題,究其原因,開(kāi)源代碼的不斷擴散,被企業(yè)用于業(yè)務(wù)系統的開(kāi)發(fā),縮短項目周期,盡快將業(yè)務(wù)推向市場(chǎng),是其根源之一。
這些開(kāi)源組件中的代碼被多種設備,多個(gè)系統復用,組件中一旦發(fā)現零日漏洞,產(chǎn)生的風(fēng)險往往是成倍增長(cháng)的。去年到今年,接二連三的Struts S2零日漏洞就證明了這一點(diǎn)。
2016年4月15日,國內安全專(zhuān)家發(fā)現并公布了在Struts2上的一個(gè)嚴重遠程代碼執行漏洞S2-032,黑客可以利用該漏洞輕易攻陷網(wǎng)站服務(wù)器,獲取網(wǎng)站注冊用戶(hù)的帳號密碼和個(gè)人資料,通過(guò)瀏覽器在遠程服務(wù)器上執行任意系統命令,受影響站點(diǎn)可能引發(fā)數據泄露、網(wǎng)頁(yè)篡改、植入后門(mén)、成為肉雞等一系列重大安全事件。該漏洞最直接影響到的就是金融行業(yè)、運營(yíng)商、各大門(mén)戶(hù)和電商。而這些企業(yè)機構掌握的核心的數據資產(chǎn),因此影響極為嚴重。
傳統安全手段力不從心
面對此類(lèi)新型的互聯(lián)網(wǎng)安全威脅,尤其是零日攻擊,傳統的安全防護技術(shù)往往顯得力不從心。過(guò)去針對此類(lèi)漏洞,通常采用的防護手段是以打補丁和更新軟件版本為主。如果通過(guò)Web應用防火墻產(chǎn)品進(jìn)行防護,需要廠(chǎng)家根據漏洞利用的攻擊特征,更新其策略規則或者特征庫之后,才能進(jìn)行防御,但顯然已經(jīng)是“滯后于攻擊”的防護結果了。
而且,漏洞被發(fā)現和公布時(shí),通常已經(jīng)有漏洞利用工具先行流傳和傳播于互聯(lián)網(wǎng),行業(yè)和企業(yè)用戶(hù)的Web應用勢必受到影響。這種事后的被動(dòng)式防御手段,在新的威脅面前處處被掣肘。如果企業(yè)大面積使用這些開(kāi)源組件作為軟件基礎平臺,則大規模的查漏洞、打補丁的工作,會(huì )令用戶(hù)備受困擾。
動(dòng)態(tài)安全 - 先于攻擊的主動(dòng)防御之道
瑞數信息的動(dòng)態(tài)安全技術(shù)可以非常好地解決零日漏洞攻擊問(wèn)題。通過(guò)針對網(wǎng)頁(yè)的動(dòng)態(tài)變幻技術(shù)實(shí)現實(shí)時(shí)和在線(xiàn)的防護,讓攻擊程序無(wú)法進(jìn)行漏洞利用的嘗試,從而在補丁沒(méi)有更新、傳統防護手段未到位的時(shí)候,保護客戶(hù)的應用不受影響。
“瑞數機器人防火墻的引擎,并不是在零日漏洞被披露后的快速特征庫、規則庫的更新,其實(shí)現機理并非傳統靠零日漏洞的攻擊特征來(lái)識別和阻擋攻擊,而是通過(guò)識別攻擊是否為腳本、程序、工具,以及結合動(dòng)態(tài)令牌及動(dòng)態(tài)驗證技術(shù)進(jìn)行的識別和阻擋。因此,假設在零日漏洞被披露之前,漏洞利用的方法和工具被惡意地使用在企業(yè)中,瑞數機器人防火墻即可先于零日攻擊進(jìn)行有效阻攔。”
馬蔚彥還提到:“實(shí)際上,零日漏洞的披露往往伴隨著(zhù)漏洞檢測的手法,這些手法的披露是把雙刃劍,在檢測是否有零日漏洞的同時(shí),也是大量利用漏洞的時(shí)機。換句話(huà)說(shuō),手法本身對攻守兩方幾乎是對等的,對于企業(yè)的安全來(lái)講比的就是誰(shuí)‘快’。顯然,打補丁、設規則是一定滯后于攻擊手段的,補丁空窗期的一次漏洞利用的攻擊,輕則植入木馬,重則信息外泄”。
關(guān)鍵技術(shù)主要體現在“變幻”和“動(dòng)態(tài)”兩大亮點(diǎn)上。
所謂變幻是指對敏感內容進(jìn)行變幻,包括客戶(hù)端輸入和提交的數據內容,也包括URL、Cookie、服務(wù)器返回頁(yè)面中可能成為攻擊入口的Html參數信息。
而動(dòng)態(tài)是指封裝及混淆算法的動(dòng)態(tài),運用在每一個(gè)頁(yè)面每次返回客戶(hù)端時(shí)動(dòng)態(tài)封裝中;令牌隨機動(dòng)態(tài)生成,在瀏覽器應用及環(huán)境驗證方法也有動(dòng)態(tài)變化。
動(dòng)態(tài)安全的價(jià)值:為企業(yè)安全提供新的主動(dòng)防護思路
在零日漏洞面前,在傳統安全技術(shù)之上的監控、響應、預警盡管是加強主動(dòng)防御的重要手段,但依然不能根本性地扭轉防守方的被動(dòng)局面,瑞數信息創(chuàng )新動(dòng)態(tài)安全技術(shù)可以阻擋多源低頻攻擊,還能感知和透視到來(lái)自客戶(hù)端瀏覽器的惡意行為,在漏洞利用時(shí)進(jìn)行的識別和防護,是針對web零日漏洞在技術(shù)機理上真正的主動(dòng)防御。
像上文提到了Struts2 漏洞,瑞數信息在日前就與之交鋒,交出了令客戶(hù)滿(mǎn)意的答卷。一家大型企業(yè)客戶(hù)通過(guò)瑞數機器人防火墻的動(dòng)態(tài)安全技術(shù),在兩會(huì )保障期間監控日志發(fā)現并阻擋了一年前的S2-032漏洞攻擊。當時(shí)正值S2-45漏洞剛剛正式發(fā)布,企業(yè)采用Web應用防火墻升級特征庫的手段,抵御了S2-45漏洞。但是黑客并不死心,轉而用一年前的S2-032漏洞,恰巧Web應用防火墻并未升級改漏洞的防護規則,造成攻擊穿透了WAF防護。幸而瑞數機器人防火墻在線(xiàn),即便穿透WAF,依然被阻擋。 后來(lái)分析發(fā)現,事實(shí)上,早在S2-45漏洞公布前兩天,網(wǎng)站就曾經(jīng)有過(guò)一批利用多種S2漏洞的攻擊手段在進(jìn)行活動(dòng)。瑞數信息通過(guò)動(dòng)態(tài)安全技術(shù),不僅抵御了來(lái)自S2-045、S2-032的漏洞攻擊,還成功攔截了數千次在漏洞公布前的S2攻擊(繞過(guò)了該網(wǎng)站所有WAF),極大地提升了系統的安全防御水平。
事實(shí)上,瑞數信息的動(dòng)態(tài)安全技術(shù)不僅比傳統打補丁的方法更及時(shí)、更有效,而且對其他類(lèi)似零日漏洞利用的攻擊,尤其是利用各種漏洞進(jìn)行業(yè)務(wù)違規操作也非常有效,例如網(wǎng)頁(yè)越權訪(fǎng)問(wèn)、中間人攻擊、惡意注冊、惡意訪(fǎng)問(wèn)等行為都得到了扼制。
此外,不僅僅是零日漏洞,針對已知漏洞的探測和掃描行為這些工具化、自動(dòng)化的機器人行為,經(jīng)過(guò)瑞數機器人防火墻的防護,令漏洞掃描無(wú)法發(fā)現web應用的漏洞,在企業(yè)客戶(hù)面臨經(jīng)常性的、甚至常常是緊急的打補丁的繁雜運維工作時(shí),或者打補丁影響業(yè)務(wù)系統的艱難處境面前,這種漏洞隱藏的方式和零日漏洞的主動(dòng)防御手段無(wú)疑會(huì )深受企業(yè)的歡迎。
目前在國內眾多電信運營(yíng)商、銀行、政府以及大型企業(yè)中,動(dòng)態(tài)安全技術(shù)得到非常好的實(shí)踐檢驗,效果顯著(zhù),受到客戶(hù)的青睞的好評。
