防不勝防,爬蟲攻擊后果不堪設想
政務服務廣泛分布在交通、社保、民政、旅游、公共安全等多個領域,數據數量大、機密性強、附加價值高,且大多和國計民生緊密關聯,一旦遭到攻擊,后果不堪設想。然而據統計,目前國內政府網站40%-60%的網絡流量均來自爬蟲,在提供公眾查詢的服務性網站業(yè)務中,這一比例甚至更高。
爬蟲爬得不亦樂乎,但數據泄漏帶來的負面影響卻無法言盡--
1.數據非法利用,政務網站風險加劇
數據被爬取后所引發(fā)的安全風險正愈演愈烈。人資社保、工商稅務、專利信息查詢等政府網站都在為公眾提供正規(guī)的線上數據服務,但是互聯網上卻同時泛濫著大量的非正常數據應用服務,以及線下的非法數據售賣。這不僅會增加企業(yè)及公民信息外泄和被利用、被偽造的風險,也使得互聯網商業(yè)競爭環(huán)境更加混亂,難以控制。
2.網站被克隆,政府公信力喪失
除了利用爬取數據進行牟利,更有甚者,直接挪用政府公眾服務類網站所有網頁及信息,進行網站克隆。克隆網站通常擁有與真實網站高度相似的域名和首頁,用戶一般難以辨認。然而當民眾打開一個明為提供國計民生服務、實為不法平臺的克隆網站,不僅會看到許多不堪入目的廣告,甚至會在不知不覺中被引誘點擊詐騙鏈接。那么,作為受害者的政府網站,又該如何維護公信力呢?
3.公民隱私權被侵犯,政府權威受挑戰(zhàn)
《網絡安全法》明確了個人信息安全的突出地位,政府有責任保護公民的信息安全。作為提供民生服務的政務網站,包含著海量集中的、與公民及企業(yè)相關的真實數據,如果被不法分子盜取并利用,不僅會直接損害當事人隱私權等民事權益,而且會影響公眾今后向政府提供數據的態(tài)度,使得公眾對政府后續(xù)提供的數據的完整性、準確性和權威性產生懷疑。
4.運維困難、投訴不斷,陷入惡性循環(huán)
政府網站被大規(guī)模攻擊后,網頁打開緩慢、無法正常處理業(yè)務等問題會嚴重影響用戶的使用。為此許多政府網站已經投入大量人力和資金,但在不斷更新迭代的自動化攻擊面前,改善并不明顯。“爬蟲攻擊網站--系統宕機--用戶投訴--耗資維護”這一過程似乎已經成為一種惡性循環(huán)。
保障業(yè)務安全,為傳統安全機制所不能
需要再次強調的是,自動化工具攻擊并不是一成不變的,爬蟲等技術也在不斷發(fā)展,手段越來越“高明”。它們不再是簡單的腳本或程序,而是在一定程度上能模擬人的行為或瀏覽器行為。因此依賴簽名與規(guī)則等的傳統安全防御技術,已經無法抵御新興的安全威脅。
那么,面對層出不窮的自動化工具攻擊,政府網站就真的束手無策了嗎?并非如此。瑞數信息的“動態(tài)安全”技術就可以做到傳統安全防御所不能,并圍繞客戶業(yè)務量體裁衣,在以下數據安全應用場景中,為政務網站提供高效的安全保障:
- 防爬蟲 防治爬蟲爬取網站上的數據,保護大數據安全,釋放系統資源。
- 防“內鬼” 防止利用合法身份,通過工具批量竊取內部數據。
- 防數據遍歷 防止利用邏輯漏洞,通過工具批量導出用戶資料。
- 防越權 防止利用權限漏洞,以低權限身份執(zhí)行高權限操作。
- 防拖庫 防止通過業(yè)務邏輯,利用工具批量導出數據庫信息。
以某政務服務網站的實際情況為例:雖然已經部署了傳統安全防御產品,但是系統仍然經常被攻擊,網頁無法打開,持續(xù)增加的投訴量令網站管理者苦不堪言。緊急上線瑞數動態(tài)安全產品后,60小時內,即識別并攔截了近4500萬次異常訪問請求,異常請求占到向該網站發(fā)起的總請求數的78%。深入分析所得安全威脅數據后,技術人員發(fā)現,使用Phantomjs、web_driver等常見的爬蟲攻擊工具進行非正常訪問的情況最為普遍;而大部分爬蟲都采用多源低頻的方式,通過更換大量IP來規(guī)避安全檢測機制,使得溯源難度加大。因此,瑞數在防批量爬蟲時,核心方式就是運用“動態(tài)安全”技術進行人機識別,在所有請求中判斷出哪些是真人訪問,哪些是自動化工具在模擬人類獲取數據。
動態(tài)安全技術,更主動、更輕量、更高效
那瑞數動態(tài)安全技術是如何進行人機識別、做到傳統安全所不能的呢?“隨變而變”、動態(tài)地進行安全防御就是瑞數給出的答案。
瑞數動態(tài)安全以創(chuàng)新的“動態(tài)安全”技術為核心,徹底轉變了傳統的安全防護思路,不再依靠任何特征或規(guī)則,而是通過動態(tài)變幻,增加服務器行為的不可預測性,大幅提高攻擊難度;又通過嚴密檢查運行環(huán)境、瀏覽器指紋、疑似攻擊行為等因素,在正常流量中高效甄別并阻攔由自動化爬蟲工具發(fā)起的訪問需求,保護政府大數據安全。
從部署架構而言,瑞數動態(tài)安全采用反向代理模式部署于受保護的網站之前,可以通過負載均衡設備監(jiān)控系統狀態(tài),保障應用的高可用性;也可以進行橫向擴容,不會形成網絡性能瓶頸。
從防護層面而言,瑞數動態(tài)安全技術貼近業(yè)務,解決的都是實際的業(yè)務安全問題,與傳統安全防護相比,瑞數能夠很快讓用戶感受到安全技術帶來的價值。
概括地說,瑞數動態(tài)技術安全防護具有以下優(yōu)點:
- 主動防御 克服傳統技術天然缺陷,不依賴傳統特征碼、閥值、打補丁和策略規(guī)則,通過四大動態(tài)技術使得自動化攻擊工具失效;
- 輕量管理 無需修改應用服務器代碼,無需配置任何規(guī)則,也無需更新規(guī)則和特征庫;
- 高效回報 不影響服務器的正常運作,釋放系統資源,降低運維成本,投資成本得以具象體現。
主動防御技術正在成為政府和企業(yè)安全防御的新趨勢。2017的IDC報告明確提出,移動目標的動態(tài)防御技術已經成為與機器學習、行為分析、威脅情報技術一樣在主動防御領域的重要技術。只有以動態(tài)安全技術進行主動防御,才能掌握先機,在自動化攻擊面前持續(xù)為政府數據安全保駕護航。
