专访瑞数信息吴剑刚:River Security,用变化应对未知
2019-10-10 11:43:22 Author: www.freebuf.com(查看原文) 阅读量:164 收藏

在一扇扇“没有关严实的门里“,戴着黑帽子的人和戴着白帽子的人在暗中较量。

在中国,威胁比想象得更严峻。

作为世界第二大经济体,我国有百余家企业位列全球五百强,这诱使黑客一次次地厮杀,瓜分利益的蛋糕。同时,移动互联的大面积覆盖催生了各行各业的进入,信息再次指数级增长,从4G到5G,这个体量还将继续膨胀。而当价值信息聚集的时候,威胁也在凝视。

1月份,拼多多一夜被薅数千万;3月份,犯罪分子利用Al自动化攻击,一个电话骗走173万;过去一年,网络欺诈造成损失达4000多亿。无数信息在网络的光纤上实时流动,而网络威胁的潘多拉盒子已经打开。

攻击,一触即发。

“冷兵器时代”的盾,如何挡得住炮火全开的自动化枪械?

“对比西方国家,中国有非常多的活动,各行各业,甚至运营商都会有各种促销、秒杀活动。这催生了中国丰富、复杂、个性化的业务威胁场景。”

吴剑刚谈到,利益所在处就是黑产聚集处,正因为市场竞争所带来的丰富活动,中国的黑产攻击方法和手段也无所不用其极,高度自动化攻击成为常态。2014年前后,自动化工具占据网络访问总流量的绝对高地,高达90%左右。企业机构也被迫疲于应对层出不穷的漏洞、攻击,还有瞄准业务的恶意软件。

图:瑞数信息技术总监吴剑刚

然而,“冷兵器时代”的盾如何挡得住炮火全开的自动化枪械?在依赖访问控制、特征规则的传统防护逐渐力不从心的时候,2012年,瑞数信息首次提出了动态安全的理念,成为国内第一个用变化之道来应对攻击的企业,和2019年提出“主动防御、动态防御”的等保2.0实现了跨时空的击掌。

吴剑刚坦言,带着动态安全从0走到1,并不容易。没有人踏足过的这条路,瑞数信息却用了7年时间一步步走出来。

“最难的还是孕育市场。”

进入市场前,不知道会面对什么攻击,不知道威胁严峻到什么程度,客户对于动态安全防御技术更是“这是啥、有啥用、为啥装”的困惑三连。面对网络空间的未知威胁,瑞数信息依旧坚定地选择了用主动防御的方式来实现对各种未知攻击的防护。

2016年,某企业在里约奥运会期间做了一个App推广活动,其中一个环节是用户注册后,完成指定任务即可领取500M流量;在2016年,500M流量价值并不低,20元左右。毫不意外地,这块“蛋糕”被黑产盯上了。活动刚开始一周,企业App新注册账号就高达800万,经过瑞数信息深入分析,正是黑产通过自动化工具,模拟真人操作,注册大量新账号,意在薅走高额流量。

这时,瑞数信息部署的动态应用保护系统,便成了这家企业与黑产进行对抗的主力军。

通过动态防护技术,前期自动化工具均被及时有效地拦截;黑产被迫重新编写自动化脚本尝试突破。于是,在持续进行的实战攻防对抗之中,瑞数信息飞速演进着防御模型,优化技术,不断实现高效拦截,最终赢得了这场对决。

“没有什么产品生来是完美的,我们只是一直比黑产更快一步,更进步一点。”

动态安全:打破传统 不止于前

瑞数信息的动态安全,便如同其名“RiverSecurity”,如流水般万变。

2017年,瑞数信息发布Botgate动态安全保护系统机,通过动态封装、动态验证、动态混淆、动态令牌等创新技术,对服务器网页底层代码的持续动态变换,增加服务器行为的“不可预测性”,应对自动化攻击。

图片3.png

2018年,面对传统WAF被动受制、防护能力呆板、运营维护成本高等应用弊端,推出了动态Web应用防火墙(灵动River Safeplus)。结合AI智能规则匹配及行为分析技术,形成“动态安全”+“AI智能威胁检测”双引擎协同工作机制,根据威胁态势对各类网站应用及业务交易的全过程进行动态感知、分析与预测。

让安全领先一步,实现安全前置、风控前置,成为了瑞数信息7年来不断前行的动力。

关于动态安全防御技术,在谈话中,吴剑刚做了一个非常生动的形容:

如果将企业网站比喻成一间房子,那么访客之中,既会有正常的访客,也会有挟抢意图不轨的黑客。传统防护技术就是对所有访客进行特征识别,只有对匹配到已知威胁特征的人,才会进行拦截或者告警;因此,许多伪装成正常人的高端黑客便得以乘虚而入。

动态安全则不然,它更像是在房子前面部署了一个安检设备,在访客真正进入房门前便提前进行检查,而且动态安全并不被某些固定的威胁特征所束缚,只要访客携带“武器“,也就是“工具”,就可以对其进行及时识别和拦截,不受伪装的蒙蔽。

因此,动态安全防御的防护范围更广泛,响应更及时;更有趣的是,还能通过全记录,勾画黑客的人物画像,甚至追踪溯源,反找黑客组织,打对手一个措手不及。

吴剑刚还提到,前一段时间,瑞数信息发现某客户被黑产操控了1万多个手机账户,批量薅羊毛。动态安全技术通过AI智能分析,发现同一组设备指纹在不断地更换手机号、更换ip地址进行操作,而这些指纹之间又存在交叉关系,即不同指纹存在调用同一个手机号、ip地址的情况,由此,确定是黑产团伙作案。

传统防护,由于不会记录潜伏黑客在未发动攻击前的“正常行为”,很容易出现一些漏网之鱼。但吴剑刚强调:“谁也不知道哪一个看似正常的行为背后,会带来多大的攻击。“该客户因为部署了动态安全防御系统,所有用户行为都有所记录,最后,通过不断追踪,成功锁定了这组异常指纹的最初ip地址。

等保2.0的时代,合规仅仅是及格线

不久前,国家级实战攻防演习落幕,这场在等保2.0正式到来前(今年12月1日实施)的演习,再一次让所有网络安全人员认识到:合规仅仅是及格线,实战中的安全对抗能力已经成为新的标准

“网络安全的维度在拓展,从PC端到移动端,从网站威胁到API、云计算威胁等层面。而这些新兴的威胁是在传统的企业安全建设中没有考虑到的。”

吴剑刚认为,一方面,行业发展过快,新兴事物的浪潮掀起要远比网络安全架构更新的速度快得多。另一方面,随着等保2.0的出台,保护对象范围在传统系统的基础上扩大到了云计算、移动互联、物联网、大数据等领域,内容上则增加了新的安全要求(风险评估、安全监测、通报预警、态势感知等),对于企业来说,是挑战,更是一张安全能力测验的考卷。

伴随着高达90%的用户从PC端转移到移动端进行访问或操作;

越来越多人依赖网络和移动服务,移动支付、登陆授权都使更多的信息暴露在网络之上;

大批量的黑产自动化工具,成为网络安全的新常态;

网络空间安全威胁不断增强:未知漏洞、大量后门、在野0day漏洞……

在网络威胁的凝视下,企业不得不担忧:网络安全建设的完整性是不是应该为业务连续性让步?对于资源相对不那么充足的中小型企业,如何做好防护?

等保2.0给出了答案:“防护要逐渐从静态防御到动态防御,从被动防御到主动防御”。

而瑞数信息,也选择在这个时机,再一次求变。

2019年,在“动态安全1.0”的基础上,瑞数信息进一步提升“动态安全”与“AI人工智能”两大核心技术的协同效力,在既有的动态验证、封装、混淆、令牌四大动态安全技术上,加入了全新的“动态挑战”技术,还融入了涵盖机器学习、智能人机识别、智能威胁检测、全息设备指纹等的AI技术。

在技术驱动下,瑞数信息面向全应用安全领域推出了五大新产品:

App动态安全防护系统(App BotDefender)

API动态安全防护系统(API BotDefender)

业务威胁感知系统(Biz Insight)

全息数据透视系统(Data Insight)

IoT动态安全防护系统(IoT BotDefender)

覆盖Web、移动App、H5、API及IoT应用,建立了从动态防御到持续对抗,从应用防护到业务透视的全方位应用安全解决方案。

此外,吴剑刚表示,面对攻击,仍然有一些企业在做现场值守,但人防难以常态化,人力成本高,负荷过大,企业势必要从人防过渡到技防,通过人技结合,解决批量的自动攻击和人为的定点攻击。对于中小型企业来说,由于资源相对不那么充足,购买现有的安全产品(成本低、见效快)成为了首选,安全厂商可以给企业更多的防护选择,产品或解决方案,保证安全能力的切实部署。

如今,每天保护10亿个账户,做到500亿次安全访问,阻挡200亿次自动化攻击,瑞数信息将安全防御的重心从网络上升到应用,从传统网络边界,迁移到各种应用API,用技术“大声”说话。

最后

932617-6cb5021fa5c4da2953600a5277796cc0_看图王.jpg

安全没有银弹,攻击和防御在名为网络安全的赛道上奔跑,两者或是交替或是并行,一旦防御能力原地踏步那就意味着落后,将攻击面暴露给了恶意分子。

过去几年,网络战兴起,网络空间安全备受考验,我们开始认识到,世界是一个非常非常小的地方。“你可以坐在任何国家,任何城市,任何建筑和攻击另一个组织,国家或企业,无论它在哪里。”

与此同时,中国自动化威胁越加严重,随着Bots发展,漏洞利用的门槛进一步降低,将近90%的系统都被经常性地恶意探测漏洞和扫描;一些大型银行在1分钟之内可以遭到数百万次的应用层DDoS攻击。这些,都让我们知道,中国这片大地上,有着防不胜防的威胁数量、威胁手段和威胁形式。

“安全,就是需要持续不断地对抗变化,应对未知。”

在老派的网络防护措施无力阻挡网络间谍和黑客之时,我们相信会有更多的安全企业,如同瑞数信息一样,最终选择走上一条创新之路,以变化之道,助力保障用户的信息安全,为守护国家信息安全的大门做出努力。

*本文作者:kirazhou,转载请注明来自FreeBuf.COM


文章来源: https://www.freebuf.com/articles/people/215986.html
如有侵权请联系:admin#unsafe.sh