2016年注定成為中國信息安全發(fā)展史上最具里程碑意義的一年，千呼萬喚的《網(wǎng)絡(luò)安全法》正式出臺(tái)，終于從法律層面向伸向個(gè)人信息的黑手們亮劍了！近年來，層出不窮的信息泄露事件，日益猖獗信息買賣的到了令人發(fā)指的地步。僅在2016年，數(shù)據(jù)量高達(dá)數(shù)千萬條以上的泄密事件就有10多起之多，在不知不覺中，用戶名、密碼、郵箱地址、QQ號(hào)、電話號(hào)碼、身份證等信息就成了黑市交易獲利的商品。

數(shù)據(jù)下載、明碼標(biāo)價(jià)，黑市交易已然風(fēng)生云起

攻擊泄漏、倒賣獲利，完整的黑色產(chǎn)業(yè)鏈已形成

罪魁禍?zhǔn)?ndash;又是Struts 2安全漏洞所致

據(jù)瑞數(shù)信息的安全專家追溯多起數(shù)據(jù)泄漏的源頭，發(fā)現(xiàn)很多數(shù)據(jù)泄漏事件是緣于2013年的Struts 2安全漏洞。

Struts 2可謂大名鼎鼎，黑客可以利用該漏洞輕易攻陷網(wǎng)站服務(wù)器，獲取網(wǎng)站注冊(cè)用戶的帳號(hào)密碼和個(gè)人資料，從而引發(fā)站點(diǎn)的數(shù)據(jù)泄露、網(wǎng)頁篡改、植入后門、成為肉雞等安全事件。該漏洞目前令國內(nèi)大量知名網(wǎng)站，包括各大門戶、電商、銀行等官網(wǎng)都出現(xiàn)了不同程度的信息泄露和影響。

而對(duì)于此類漏洞的防護(hù)手段目前采用的是以打補(bǔ)丁和更新軟件版本為主，然而，事實(shí)再次證明這種事后的被動(dòng)式防御手段在新的威脅面前顯現(xiàn)出力不從心。

火上澆油–利用撞庫瘋狂掠奪信息

黑客利用Struts 2漏洞獲得大量注冊(cè)用戶名和密碼數(shù)據(jù)后豈能善罷甘休，更為瘋狂的是，黑客還將利用這些用戶名和密碼數(shù)據(jù)再次通過自動(dòng)化程序?qū)ι碳业木W(wǎng)站實(shí)施撞庫攻擊、賬號(hào)盜用，從而進(jìn)一步導(dǎo)致用戶信息及資金蒙受巨額損失。

傳統(tǒng)的防御手段僅僅是通過打補(bǔ)丁堵上漏洞，或者建議客戶盡快更新密碼，進(jìn)行安全升級(jí)。然而，事實(shí)上我們無法期待所有用戶都能夠?qū)~號(hào)及時(shí)進(jìn)行安全升級(jí)，因此仍然有大量尚未更新密碼的客戶信息存留在黑市中。而這些鮮活的信息就恰恰為黑客再次撞庫帶來了機(jī)會(huì)，也為商家和用戶造成了巨大的風(fēng)險(xiǎn)。

僅僅更換密碼就安全了嗎?

今天，我們看到的更多建議是請(qǐng)每一位消費(fèi)者盡快更改登陸密碼。從消費(fèi)者自我保護(hù)的角度來講修改密碼的確是必須采取的行動(dòng)。但是大規(guī)模泄露事件一般是因?yàn)榫W(wǎng)站漏洞，使用復(fù)雜密碼、頻繁更換密碼只是增加了黑客破解密碼的難度;不同網(wǎng)站使用不同密碼，也只是能防止黑客“撞庫”。因此作為商家，在及時(shí)提醒消費(fèi)者的同時(shí)又該怎樣更主動(dòng)地為消費(fèi)者提供保護(hù)?而非僅僅是發(fā)生事件后的應(yīng)急通知呢?

保護(hù)在線業(yè)務(wù)，是時(shí)候該換一種安全思路了!

作為商家，其在線平臺(tái)不僅要在業(yè)務(wù)層面保護(hù)自己的各種行銷資源，同時(shí)更有義務(wù)保護(hù)好用戶的數(shù)據(jù)不被竊取，因此更要積極打破原有基于簽名、驗(yàn)證、打補(bǔ)丁的傳統(tǒng)防護(hù)方式，化被動(dòng)為主動(dòng)防御。

在尋求更加主動(dòng)有效的防護(hù)技術(shù)中，瑞數(shù)信息的安全專家建議目前可通過針對(duì)網(wǎng)頁的動(dòng)態(tài)安全技術(shù)實(shí)現(xiàn)實(shí)時(shí)和在線的防護(hù)，可以讓攻擊程序無法進(jìn)行漏洞利用的嘗試，從而在補(bǔ)丁沒有更新，傳統(tǒng)防護(hù)手段未到位時(shí)，進(jìn)行有效防護(hù)。

1、 改變現(xiàn)有手段特征匹配式的防護(hù)思路，以動(dòng)態(tài)變幻的技術(shù)視角，實(shí)現(xiàn)實(shí)時(shí)主動(dòng)防御效果，對(duì)抗利用工具的自動(dòng)化攻擊行為，包含漏洞探測(cè)和利用、零日攻擊及合法業(yè)務(wù)邏輯濫用等惡意攻擊行為。

2、 通過創(chuàng)新的動(dòng)態(tài)安全技術(shù)抵抗多源低頻攻擊，彌補(bǔ)現(xiàn)有防護(hù)手段的缺失，補(bǔ)足傳統(tǒng)應(yīng)用安全防護(hù)手段能力不及之處。

3、 利用動(dòng)態(tài)安全技術(shù)中的終端安全威脅感知能力，提供對(duì)于安全威脅態(tài)勢(shì)以及攻擊者畫像更為細(xì)粒度的特征數(shù)據(jù)。

4、 無需修改應(yīng)用代碼，不必進(jìn)行特征庫、策略庫的升級(jí)維護(hù)工作，降低運(yùn)維成本，有效阻止網(wǎng)上大量的自動(dòng)化攻擊，有效節(jié)省帶寬、服務(wù)器等資源。

更廣闊的應(yīng)用場(chǎng)景

動(dòng)態(tài)安全技術(shù)不僅在對(duì)抗Struts2的漏洞利用中，提供了比打補(bǔ)丁更為及時(shí)、有效的方法，該技術(shù)對(duì)于零日漏洞利用的攻擊，利用漏洞進(jìn)行的業(yè)務(wù)違規(guī)操作以及合法邏輯濫用的行為，都有很有效的防護(hù)效果。該技術(shù)目前已經(jīng)廣泛運(yùn)用在政府、企業(yè)以及商業(yè)活動(dòng)的應(yīng)用場(chǎng)景中。

政府及企業(yè)數(shù)據(jù)保護(hù) - “互聯(lián)網(wǎng)+”時(shí)代，有效防止拖庫、撞庫、惡意爬蟲等行為，保護(hù)政府及國家關(guān)鍵性網(wǎng)上業(yè)務(wù)和數(shù)據(jù)的安全。

企業(yè)對(duì)外業(yè)務(wù)風(fēng)險(xiǎn)防范–阻擋通過自動(dòng)化工具進(jìn)行惡意搶購、虛假交易、違規(guī)套現(xiàn)等行為，給企業(yè)的商業(yè)業(yè)務(wù)造成很大風(fēng)險(xiǎn)。

企業(yè)內(nèi)部應(yīng)用風(fēng)險(xiǎn)防范 -有效防止企業(yè)內(nèi)部敏感數(shù)據(jù)泄漏、合法業(yè)務(wù)濫用的安全風(fēng)險(xiǎn)。

安全問題迫在眉睫!瑞數(shù)顛覆性的動(dòng)態(tài)安全技術(shù)可以有效防護(hù)未知威脅及自動(dòng)化攻擊，實(shí)現(xiàn)零補(bǔ)丁、零規(guī)則，助力企業(yè)跑贏零日，將Struts2及未來的零日攻擊阻擋于大門之外!