近日，Imperva正式發(fā)布了兩份報(bào)告——《Imperva 網(wǎng)絡(luò)應(yīng)用攻擊報(bào)告》（簡稱WAAR）和《黑客情報(bào)匯總報(bào)告》，致力于為組織機(jī)構(gòu)提供全面的攻擊分析，幫助他們做好應(yīng)對準(zhǔn)備。WAAR報(bào)告顯示，網(wǎng)絡(luò)應(yīng)用中的業(yè)務(wù)邏輯層正遭受到攻擊。作為Imperva黑客情報(bào)計(jì)劃的一部分，WAAR對2011年6月至11月這6個月期間現(xiàn)實(shí)的惡意網(wǎng)絡(luò)應(yīng)用程序攻擊提供解決對策。而黑客情報(bào)匯總報(bào)告則揭示了一個由黑客組織“匿名者”發(fā)起的攻擊的主要細(xì)節(jié)。

數(shù)以千計(jì)世界領(lǐng)先的企業(yè)、政府組織和服務(wù)提供商都依賴于 Imperva 解決方案來防止數(shù)據(jù)泄漏、符合合規(guī)性要求以及管理數(shù)據(jù)風(fēng)險(xiǎn)。Imperva首席技術(shù)官Amichai Shulman說道：“我們相信，這些分析報(bào)告的發(fā)布將幫助組織機(jī)構(gòu)做好應(yīng)對潛在攻擊的準(zhǔn)備，并讓更大的安全社區(qū)對黑客操作方式有更深入的了解?！?/P>

Imperva 網(wǎng)絡(luò)應(yīng)用攻擊報(bào)告（WAAR）

Imperva對40多種不同的應(yīng)用程序攻擊進(jìn)行了監(jiān)測并分類。WAAR概括了每個攻擊的頻率、類型及來源，以此幫助數(shù)據(jù)安全專業(yè)人員更好地按照優(yōu)先次序修復(fù)漏洞。

 “由于黑客可以通過合法的途徑跟蹤用戶與應(yīng)用程序的交互，因此業(yè)務(wù)邏輯層的攻擊對于黑客具有非常大的吸引力，”Imperva首席技術(shù)官Amichai Shulman說道，“要做到這一點(diǎn)，需理解具體操作順序?qū)?yīng)用程序功能的影響是如何實(shí)現(xiàn)的?！币虼耍诳涂梢岳脩?yīng)用程序截獲私人信息，進(jìn)行扭曲，并外泄給其他更多的用戶 —— 這些行為通常不受安全控制?！?

Imperva 發(fā)布的最新網(wǎng)絡(luò)應(yīng)用攻擊報(bào)告一并指出：

• 自動化應(yīng)用攻擊正在繼續(xù)。在2011年6月至11月的六個月期間，被監(jiān)測的網(wǎng)絡(luò)應(yīng)用程序每月遭受到130,000到385,000次攻擊。高峰時(shí)，整套應(yīng)用程序系統(tǒng)受攻擊的頻率高達(dá)一小時(shí)近38,000次或每秒10次。

• 由于黑客有能力逃避監(jiān)測，他們依賴于業(yè)務(wù)邏輯攻擊： Imperva也研究了兩類業(yè)務(wù)邏輯攻擊： 評論垃圾廣告和電子郵件提取。評論垃圾廣告是指在評論欄里嵌入惡意鏈接來改變搜索引擎結(jié)果，潛在詐騙消費(fèi)者。電子郵件提取是指對電子郵件地址進(jìn)行簡單分類，建立垃圾郵件發(fā)送列表。據(jù)統(tǒng)計(jì)，這些業(yè)務(wù)邏輯攻擊在惡意攻擊流量中占14%。

• 業(yè)務(wù)邏輯攻擊的來源是：

電子郵件提取被非洲國家的主機(jī)所控制。

評論垃圾廣告中的不尋常部分經(jīng)監(jiān)測是來自東歐國家。

• 黑客利用5種常見的應(yīng)用程序漏洞：這五種常見的應(yīng)用程序漏洞是：遠(yuǎn)程文件包含（簡稱RFI）、SQL注入（簡稱SQLi）、本地文件包含（簡稱LFI）、跨站腳本攻擊（簡稱XSS）和目錄遍歷漏洞（簡稱DT）。跨站腳本攻擊和目錄遍歷漏洞是最普遍的傳統(tǒng)攻擊形式。為什么要針對這些漏洞？黑客喜歡阻力最小的路徑，而應(yīng)用程序漏洞則提供了最豐富的目標(biāo)。

這份報(bào)告中描述的很多攻擊都不難被緩解。然而，我們的確發(fā)現(xiàn)網(wǎng)絡(luò)應(yīng)用程序面臨的攻擊變得更加多樣化、技術(shù)上更加復(fù)雜、更難監(jiān)測和阻止。顯然，安全應(yīng)對措施必須繼續(xù)保護(hù)業(yè)務(wù)和其用戶不被傷害、不受到損失。正確的減緩步驟有哪些呢？我們嘗試創(chuàng)造一個完整的列表來幫助數(shù)據(jù)安全團(tuán)隊(duì)提高他們的效率。

Imperva在2011年度報(bào)告中提到的幾點(diǎn)建議仍然有效：

部署安全解決方案，監(jiān)測自動化攻擊。監(jiān)測必須在攻擊過程中盡早實(shí)行。

監(jiān)測和阻止已知的漏洞攻擊。應(yīng)用程序中可利用漏洞的知識庫必須經(jīng)常更新。

獲得惡意來源的情報(bào)并即時(shí)應(yīng)用。列出攻擊主機(jī)的黑名單始終是一個很有效的防范措施。然而，這個名單必須實(shí)時(shí)更新、保持其實(shí)效性。

參與安全論壇，分享攻擊的數(shù)據(jù)庫。自動化攻擊程度和范圍的加劇在網(wǎng)絡(luò)上留有明顯的痕跡，但此痕跡僅能從大量潛在受害者處收集的數(shù)據(jù)中看出。

獲取業(yè)務(wù)邏輯攻擊來源的情報(bào)并即時(shí)應(yīng)用。例如，評論垃圾廣告在被公然揭露后還可以活躍很久。情報(bào)的重點(diǎn)必須在于每一種攻擊的形式，因?yàn)檎缥覀兯吹降?，使用評論垃圾廣告和電子郵件提取的攻擊者展現(xiàn)出不同的屬性。

攻擊流量的地理信息對即時(shí)做出數(shù)據(jù)安全對策有所幫助。例如，經(jīng)分析的業(yè)務(wù)邏輯攻擊擁有獨(dú)特的地理特征。

攻擊者對自動化攻擊依賴性的不斷增強(qiáng)和自動化工具產(chǎn)生的大量惡意流量表明，監(jiān)測這些工具迅速、精確、自動產(chǎn)生的攻擊是至關(guān)重要的。作為一個常用的方針，流量屬性和網(wǎng)絡(luò)客戶端必須不斷被檢查和監(jiān)測。如果與正常流量屬性有所偏差，則應(yīng)該受到專業(yè)軟件和專業(yè)人員的嚴(yán)密監(jiān)測。

監(jiān)測和防御自動化攻擊包括：

• 信譽(yù)機(jī)制的監(jiān)測：獲得并使用被攻擊者雇傭的主機(jī)黑名單。

• 高點(diǎn)擊率：流量整形是自動化攻擊最基本的指示。一旦超過與其相關(guān)的臨界值（例如，每分鐘點(diǎn)擊3次），應(yīng)用程序就應(yīng)該延遲或阻止與網(wǎng)絡(luò)客戶端信息交換。

• 輸入流量的技術(shù)屬性：軟件工具產(chǎn)生的流量通常具有技術(shù)特征（例如特定的HTTP頭），不同于一般瀏覽器所產(chǎn)生的流量。如果這不是預(yù)期的使用場景，阻止該流量。

• 商業(yè)行為的重復(fù)：例如，多次登陸失敗表明密碼受到惡意攻擊。當(dāng)然，你的安全裝置必須能夠識別出這些“差異或者異常的表現(xiàn)”。

• 質(zhì)疑應(yīng)用程序的網(wǎng)絡(luò)客戶端：測試你的應(yīng)用程序是否真的與瀏覽器進(jìn)行交互。例如，“虛假”瀏覽器沒有對Java語言的執(zhí)行能力。該應(yīng)用流需包含發(fā)送Java語言代碼給客戶并核查其是否真的被執(zhí)行。

• 檢測確有真人在操作：通過CAPTCHA（全自動區(qū)分計(jì)算機(jī)和人類的圖靈測試）檢測終端用戶是真人。

黑客情報(bào)匯總報(bào)告

2011年期間，Imperva見證了一次由黑客組織“匿名者”發(fā)起、持續(xù)25天的攻擊。黑客情報(bào)匯總報(bào)告——“匿名者”攻擊報(bào)告對此提供了一個全面的攻擊分析，包括從始至終攻擊活動的詳細(xì)時(shí)間表、黑客破壞方法的審查以及對使用社會媒體征集參與者、協(xié)調(diào)攻擊的見解。

“我們的研究表明匿名者通常模仿盈利性黑客使用的方法，利用常見的方式——SQL注入和DDoS（分布式拒絕服務(wù)攻擊）來進(jìn)行攻擊。我們發(fā)現(xiàn)匿名者雖然發(fā)明了一些定制工具，但與開發(fā)復(fù)雜攻擊不同的是，他們通常使用一些廉價(jià)現(xiàn)成的工具，”Imperva首席技術(shù)官Amichai Shulman說道：“我們的研究進(jìn)一步表明匿名者第一步先嘗試竊取數(shù)據(jù)，如果失敗，會嘗試DDoS攻擊?！?/P>

“匿名者”攻擊報(bào)告指出：

• 該攻擊由三個不同的階段組成：征集和通信、偵查和應(yīng)用層攻擊、最后，是DDos攻擊。

• 社會媒體渠道，尤其是Twitter、Facebook和YouTube是確認(rèn)目標(biāo)、發(fā)動攻擊最主要的方法。在攻擊第一階段征集和通信的過程中，社會媒體也是最常用的方式招募自愿者加入攻擊行列。

• 富有經(jīng)驗(yàn)的黑客只占自愿者的一小部分，他們主要活躍在偵查和應(yīng)用攻擊階段，探測漏洞，進(jìn)行應(yīng)用攻擊，例如通過SQL注入嘗試竊取目標(biāo)數(shù)據(jù)。

• 非專業(yè)人員僅在第三階段產(chǎn)生作用——幫助開展DDoS攻擊——由于嘗試偷竊數(shù)據(jù)的應(yīng)用攻擊失敗。

• 匿名者開發(fā)了一些定制工具——特別是低軌道離子炮（LOIC）和一種能從移動瀏覽器啟動DDoS攻擊的工具。然而，該組織也在偵查和應(yīng)用攻擊階段依靠常見的工具來尋找和開發(fā)網(wǎng)絡(luò)應(yīng)用漏洞。

• 與盈利性黑客不同，匿名者很少依靠常見的黑客技術(shù)，例如僵尸網(wǎng)絡(luò)、惡意軟件、網(wǎng)絡(luò)釣魚或魚叉式網(wǎng)絡(luò)釣魚。