[[188848]]

為求獲取龐大經濟利益，甚至達成某種特定利益目的，黑客組織對商業(yè)機構或政府網站發(fā)動攻擊事件屢見不鮮。日前，由上海社會科學院信息研究所、中國信息通信研究院安全研究所發(fā)布了一份《網絡空間安全藍皮書：中國網絡空間安全發(fā)展報告(2016)》，藍皮書里面披露的數據讓人觸目驚心： 據監(jiān)測，2015年，我國政府網站被入侵21674次，較2014年增長36.7%;我國地方政府網站成為受攻擊的“重災區(qū)”，植入后門和網站被篡改的情況依然嚴重。

難道在面對黑客日新月異的攻擊面前，我們真的束手無策嗎?非也。瑞數采用創(chuàng)新動態(tài)安全技術架構的機器人防火墻可以通過隨機變幻網頁原始代碼，讓模擬合法操作的自動化攻擊行為徹底失效，可阻擋約99%以上的非法行為。

拒絕惡意“爬蟲”爬取關鍵數據

隨著 “互聯(lián)網+政務”的快速推進，政府網站正面臨著越來越復雜的安全挑戰(zhàn)。一方面，網頁應用漏洞依然層出不窮，傳統(tǒng)防護依靠不停的查補漏洞、更新規(guī)則，無法避免亡羊補牢、疲于奔命的被動局面。另一方面，政務服務和數據不斷向網上遷移，除了傳統(tǒng)的“防篡改”、“防掛馬”外，被廣泛用于數據獲取的“爬蟲”工具，令政府網站面臨著業(yè)務和數據安全的雙重嚴峻挑戰(zhàn)。據統(tǒng)計，目前40% - 60%的網絡流量來自爬蟲，而這一比例在提供公眾查詢的服務性網站業(yè)務中甚至更高。爬蟲爬得不亦樂乎，但被爬的網站卻不堪其擾。據馬蔚彥介紹，遭受“爬蟲”騷擾的網站，一方面業(yè)務服務的可用性受到巨大影響，系統(tǒng)宕機、網絡帶寬資源被占滿的情況時有發(fā)生，影響了政府對公眾的服務能力。

她介紹到，當前數據帶來的價值已經被普遍認同，并受到空前的關注，于是對數據的爭奪所引發(fā)的安全對抗也將會愈加激烈。我們不僅可以看到的招聘簡歷、人資社保、工商稅務、專利信息查詢等政府和企業(yè)的正規(guī)線上數據服務，同時也看到泛濫在互聯(lián)網上的非正常的數據應用服務，以及線下的非法數據售賣。這些數據應用服務很多都是通過運用爬蟲工具去競爭對手網站、政府公眾服務類網站爬取的信息，經過二次分析或者加工對外提供有償性服務。這一方面增加了企業(yè)及公民信息外泄和被利用被偽造的風險，一方面會造成互聯(lián)網商業(yè)競爭環(huán)境的惡化。

馬蔚彥提到，“爬蟲技術不斷發(fā)展，手段越來越高級，傳統(tǒng)反爬蟲技術通過惡意IP來源庫，以及爬蟲訪問頻率的方式，已經難以應付。瑞數的動態(tài)安全技術，改變傳統(tǒng)的安全防護思路，從識別“自動化、工具化”為核心，通過動態(tài)封裝、一次性的動態(tài)令牌、動態(tài)驗證等多個動態(tài)引擎，有效識別和阻止各類新型的爬蟲工具，保護企業(yè)的數據資產，保障正常的業(yè)務和數據服務。”

阻擋機器人搶票的殺手锏

利用機器人程序進行搶票并轉售的現(xiàn)象一直存在于各種在線購物、線上購票、網絡游戲之中。2016年8月2日，歌手李宇春2016野蠻生長巡演深圳站，樂視商城售賣的200張1880元和200張1280元門票秒罄。經查明，活動訂單中存在大量黃牛訂單，為了防止黃牛加價售票從中非法牟利，最后樂視商城不得不取消所有訂單。

馬蔚彥指出：“這些機器人程序是針對某個網站業(yè)務所設計的定制化軟件，自動化地實現(xiàn)網站的購買業(yè)務操作流程，比如，能自動快速填入網頁中的每個欄目的資料，因此能于短短2-3秒內完成訂票工作，造成熱門商品、演唱會門票剛開賣，隨即出現(xiàn)銷售完畢的怪異現(xiàn)象。產生這一結果的根本原因就是機器人程序，以‘機器人’代替‘真人’行為導致的。由于與業(yè)務相關性大，傳統(tǒng)這類問題往往通過應用開發(fā)進行解決，而常規(guī)的做法是通過購票業(yè)務操作提交的頻度、數量等進行限制和判別“非人”行為，但發(fā)現(xiàn)在強力而持續(xù)的‘機器人’行為面前，這些遏制的手段依然不能有效阻止，正常的購買訪問還是會受到影響。

瑞數信息自行研發(fā)的機器人防火墻，采用全新概念設計的動態(tài)安全技術架構，并不依賴限制頻度、數量的機器人判定方式，而是以動態(tài)生成令牌、動態(tài)驗證訪問行為等方式判斷“人”與“機器人”，比如，無需在訂票的頻度或者訂票數量達到某個門限值的時候就能進行判別和阻攔。這種識別是否自動化操作的機制，使得防護功能不依賴某個特定應用，任何模擬業(yè)務邏輯的“非人”訪問行為，均可被識別。

“根據有在線業(yè)務的企業(yè)實際應用后發(fā)現(xiàn)，瑞數機器人防火墻大約可以阻擋95%以上的業(yè)務濫用性機器人攻擊行為，有助于維持交易的公平性及既有應用服務器的穩(wěn)定性。” 瑞數信息首席策略官馬蔚彥女士強調。

零補丁、零規(guī)則 - 跑贏零日漏洞

零日漏洞問題讓安全從業(yè)者頭疼，最初是因零日攻擊被用來針對政府及國家重要基礎設施，常常與APT關聯(lián)起來，并非傳統(tǒng)安全技術，甚至不是單一技術能給予防范的。因涉及關鍵行業(yè)和系統(tǒng)，它的風險和危害極大，然而涉及企業(yè)面并不十分廣泛。而近幾年零日漏洞的披露越來越多，影響面也越來越波及到各行各業(yè)，不僅僅是安全界，甚至也成為企業(yè)里的難題，究其原因，開源代碼的不斷擴散，被企業(yè)用于業(yè)務系統(tǒng)的開發(fā)，縮短項目周期，盡快將業(yè)務推向市場，是其根源之一。

這些開源組件中的代碼被多種設備，多個系統(tǒng)復用，組件中一旦發(fā)現(xiàn)零日漏洞，產生的風險往往是成倍增長的。去年到今年，接二連三的Struts S2零日漏洞就證明了這一點。

而對于此類漏洞的防護手段目前采用的是以打補丁和更新組件版本為主，傳統(tǒng)WAF廠商依據漏洞利用的攻擊特征，更新其策略規(guī)則或者特征庫之后才能有效防御。在這種“滯后于攻擊”的防護現(xiàn)狀中，安全廠商和企業(yè)能夠做到快速預警、及時響應就已經很好了。然而，漏洞被發(fā)現(xiàn)和公布時，通常已有漏洞利用工具已經先行流行和傳播于互聯(lián)網，一些企業(yè)的Web應用勢必受到此類零日攻擊的影響，這種事后的被動式防御手段在新的威脅面前顯然是力不從心，如果企業(yè)大面積使用這些開源組件作為軟件基礎平臺，則大規(guī)模的查漏洞、打補丁的工作，也令用戶備受困擾。

“瑞數機器人防火墻的引擎，并不是在零日漏洞被披露后的快速特征庫、規(guī)則庫的更新，其實現(xiàn)機理并非傳統(tǒng)靠零日漏洞的攻擊特征來識別和阻擋攻擊，而是通過識別攻擊是否為腳本、程序、工具，以及結合動態(tài)令牌及動態(tài)驗證技術進行的識別和阻擋。因此，假設在零日漏洞被披露之前，漏洞利用的方法和工具被惡意地使用在企業(yè)中，瑞數機器人防火墻即可先于零日攻擊進行有效阻攔。”

馬蔚彥還提到：“實際上，零日漏洞的披露往往伴隨著漏洞檢測的手法，這些手法的披露是把雙刃劍，在檢測是否有零日漏洞的同時，也是大量利用漏洞的時機。換句話說，手法本身對攻守兩方幾乎是對等的，對于企業(yè)的安全來講比的就是誰‘快’。顯然，打補丁、設規(guī)則是一定滯后于攻擊手段的，補丁空窗期的一次漏洞利用的攻擊，輕則植入木馬，重則信息外泄”。

在零日漏洞面前，在傳統(tǒng)安全技術之上的監(jiān)控、響應、預警盡管是加強主動防御的重要手段，依然不能根本性地轉本防守方的被動局面，瑞數信息通過創(chuàng)新的動態(tài)安全技術，在漏洞利用時進行的識別和防護，是針對web零日漏洞在技術機理上真正的主動防御。

不僅僅是零日漏洞，針對已知漏洞的探測和掃描行為同樣也是工具化、自動化的機器人行為，經過瑞數機器人防火墻的防護，令漏洞掃描無法發(fā)現(xiàn)web應用的漏洞，在企業(yè)客戶面臨經常性的、甚至常常是緊急的打補丁的繁雜運維工作時，或者打補丁影響業(yè)務系統(tǒng)的艱難處境面前，這種漏洞隱藏的方式和零日漏洞的主動防御手段無疑會深受企業(yè)的歡迎。

構建360o無死角的防護網

當然，企業(yè)若要保護應用網站服務器的安全，絕對不可能僅僅依靠某種單一防護方式，而是要從減少網站漏洞本身做起，并且搭配多種資產安全設備，構建一張360°無死角的防護網。

更重要的是，企業(yè)IT部門管理者應該從黑客思維出發(fā)，重新檢視應用服務網站的漏洞，才能打造出可阻擋惡意軟件與機器人程序入侵的防護機制。

據了解，瑞數機器人防火墻已在國內市場廣泛得到廣泛運用，國內眾多大型企業(yè)都是瑞數信息的忠實用戶。用戶范圍遍及電信、銀行，以及許多以網絡應用服務為主的產業(yè)機構。未來，瑞數信息的動態(tài)安全防御體系能夠幫助越來越多的企業(yè)走出安全威脅的陰影。

“瑞數信息已經意識到應用的普及給資產安全帶來的巨大挑戰(zhàn)。”馬蔚彥表示，現(xiàn)今各種應用服務的網站面臨的資產安全挑戰(zhàn)遠勝于過去，除了將之歸咎于黑客攻擊手法不斷進步之外，更與應用服務的深入發(fā)展有關。她介紹到，國內不少新興的數據應用服務都是通過運用各種機器人程序，模擬合法操作竊取并匯總不同網站的用戶數據，進行二次分析、商品推薦及數據售賣服務，導致用戶網站負荷在無形中增