越來越泛濫的零日攻擊

在大多數(shù)網(wǎng)絡(luò)安全從業(yè)者意識中，“零日攻擊”往往是讓人非常頭痛的安全威脅。其高威脅性、突發(fā)性、高破壞性、大規(guī)模性的主要特點(diǎn)，讓零日攻擊能在網(wǎng)絡(luò)安全地下黑市歷時(shí)十多年都長盛不衰。近幾年，零日漏洞的披露越來越多，影響面也越來越波及到各行各業(yè)，不僅僅是安全界，甚至也成為企業(yè)里的難題，究其原因，開源代碼的不斷擴(kuò)散，被企業(yè)用于業(yè)務(wù)系統(tǒng)的開發(fā)，縮短項(xiàng)目周期，盡快將業(yè)務(wù)推向市場，是其根源之一。

這些開源組件中的代碼被多種設(shè)備，多個(gè)系統(tǒng)復(fù)用，組件中一旦發(fā)現(xiàn)零日漏洞，產(chǎn)生的風(fēng)險(xiǎn)往往是成倍增長的。去年到今年，接二連三的Struts S2零日漏洞就證明了這一點(diǎn)。

2016年4月15日，國內(nèi)安全專家發(fā)現(xiàn)并公布了在Struts2上的一個(gè)嚴(yán)重遠(yuǎn)程代碼執(zhí)行漏洞S2-032，黑客可以利用該漏洞輕易攻陷網(wǎng)站服務(wù)器，獲取網(wǎng)站注冊用戶的帳號密碼和個(gè)人資料，通過瀏覽器在遠(yuǎn)程服務(wù)器上執(zhí)行任意系統(tǒng)命令，受影響站點(diǎn)可能引發(fā)數(shù)據(jù)泄露、網(wǎng)頁篡改、植入后門、成為肉雞等一系列重大安全事件。該漏洞最直接影響到的就是金融行業(yè)、運(yùn)營商、各大門戶和電商。而這些企業(yè)機(jī)構(gòu)掌握的核心的數(shù)據(jù)資產(chǎn)，因此影響極為嚴(yán)重。

傳統(tǒng)安全手段力不從心

面對此類新型的互聯(lián)網(wǎng)安全威脅，尤其是零日攻擊，傳統(tǒng)的安全防護(hù)技術(shù)往往顯得力不從心。過去針對此類漏洞，通常采用的防護(hù)手段是以打補(bǔ)丁和更新軟件版本為主。如果通過Web應(yīng)用防火墻產(chǎn)品進(jìn)行防護(hù)，需要廠家根據(jù)漏洞利用的攻擊特征，更新其策略規(guī)則或者特征庫之后，才能進(jìn)行防御，但顯然已經(jīng)是“滯后于攻擊”的防護(hù)結(jié)果了。

而且，漏洞被發(fā)現(xiàn)和公布時(shí)，通常已經(jīng)有漏洞利用工具先行流傳和傳播于互聯(lián)網(wǎng)，行業(yè)和企業(yè)用戶的Web應(yīng)用勢必受到影響。這種事后的被動式防御手段，在新的威脅面前處處被掣肘。如果企業(yè)大面積使用這些開源組件作為軟件基礎(chǔ)平臺，則大規(guī)模的查漏洞、打補(bǔ)丁的工作，會令用戶備受困擾。

動態(tài)安全 - 先于攻擊的主動防御之道

瑞數(shù)信息的動態(tài)安全技術(shù)可以非常好地解決零日漏洞攻擊問題。通過針對網(wǎng)頁的動態(tài)變幻技術(shù)實(shí)現(xiàn)實(shí)時(shí)和在線的防護(hù)，讓攻擊程序無法進(jìn)行漏洞利用的嘗試，從而在補(bǔ)丁沒有更新、傳統(tǒng)防護(hù)手段未到位的時(shí)候，保護(hù)客戶的應(yīng)用不受影響。

“瑞數(shù)機(jī)器人防火墻的引擎，并不是在零日漏洞被披露后的快速特征庫、規(guī)則庫的更新，其實(shí)現(xiàn)機(jī)理并非傳統(tǒng)靠零日漏洞的攻擊特征來識別和阻擋攻擊，而是通過識別攻擊是否為腳本、程序、工具，以及結(jié)合動態(tài)令牌及動態(tài)驗(yàn)證技術(shù)進(jìn)行的識別和阻擋。因此，假設(shè)在零日漏洞被披露之前，漏洞利用的方法和工具被惡意地使用在企業(yè)中，瑞數(shù)機(jī)器人防火墻即可先于零日攻擊進(jìn)行有效阻攔。”

馬蔚彥還提到：“實(shí)際上，零日漏洞的披露往往伴隨著漏洞檢測的手法，這些手法的披露是把雙刃劍，在檢測是否有零日漏洞的同時(shí)，也是大量利用漏洞的時(shí)機(jī)。換句話說，手法本身對攻守兩方幾乎是對等的，對于企業(yè)的安全來講比的就是誰‘快’。顯然，打補(bǔ)丁、設(shè)規(guī)則是一定滯后于攻擊手段的，補(bǔ)丁空窗期的一次漏洞利用的攻擊，輕則植入木馬，重則信息外泄”。

關(guān)鍵技術(shù)主要體現(xiàn)在“變幻”和“動態(tài)”兩大亮點(diǎn)上。

所謂變幻是指對敏感內(nèi)容進(jìn)行變幻，包括客戶端輸入和提交的數(shù)據(jù)內(nèi)容，也包括URL、Cookie、服務(wù)器返回頁面中可能成為攻擊入口的Html參數(shù)信息。

而動態(tài)是指封裝及混淆算法的動態(tài)，運(yùn)用在每一個(gè)頁面每次返回客戶端時(shí)動態(tài)封裝中;令牌隨機(jī)動態(tài)生成，在瀏覽器應(yīng)用及環(huán)境驗(yàn)證方法也有動態(tài)變化。

動態(tài)安全的價(jià)值：為企業(yè)安全提供新的主動防護(hù)思路

在零日漏洞面前，在傳統(tǒng)安全技術(shù)之上的監(jiān)控、響應(yīng)、預(yù)警盡管是加強(qiáng)主動防御的重要手段，但依然不能根本性地扭轉(zhuǎn)防守方的被動局面，瑞數(shù)信息創(chuàng)新動態(tài)安全技術(shù)可以阻擋多源低頻攻擊，還能感知和透視到來自客戶端瀏覽器的惡意行為，在漏洞利用時(shí)進(jìn)行的識別和防護(hù)，是針對web零日漏洞在技術(shù)機(jī)理上真正的主動防御。

像上文提到了Struts2 漏洞，瑞數(shù)信息在日前就與之交鋒，交出了令客戶滿意的答卷。一家大型企業(yè)客戶通過瑞數(shù)機(jī)器人防火墻的動態(tài)安全技術(shù)，在兩會保障期間監(jiān)控日志發(fā)現(xiàn)并阻擋了一年前的S2-032漏洞攻擊。當(dāng)時(shí)正值S2-45漏洞剛剛正式發(fā)布，企業(yè)采用Web應(yīng)用防火墻升級特征庫的手段，抵御了S2-45漏洞。但是黑客并不死心，轉(zhuǎn)而用一年前的S2-032漏洞，恰巧Web應(yīng)用防火墻并未升級改漏洞的防護(hù)規(guī)則，造成攻擊穿透了WAF防護(hù)。幸而瑞數(shù)機(jī)器人防火墻在線，即便穿透WAF，依然被阻擋。 后來分析發(fā)現(xiàn)，事實(shí)上，早在S2-45漏洞公布前兩天，網(wǎng)站就曾經(jīng)有過一批利用多種S2漏洞的攻擊手段在進(jìn)行活動。瑞數(shù)信息通過動態(tài)安全技術(shù)，不僅抵御了來自S2-045、S2-032的漏洞攻擊，還成功攔截了數(shù)千次在漏洞公布前的S2攻擊(繞過了該網(wǎng)站所有WAF)，極大地提升了系統(tǒng)的安全防御水平。

事實(shí)上，瑞數(shù)信息的動態(tài)安全技術(shù)不僅比傳統(tǒng)打補(bǔ)丁的方法更及時(shí)、更有效，而且對其他類似零日漏洞利用的攻擊，尤其是利用各種漏洞進(jìn)行業(yè)務(wù)違規(guī)操作也非常有效，例如網(wǎng)頁越權(quán)訪問、中間人攻擊、惡意注冊、惡意訪問等行為都得到了扼制。

此外，不僅僅是零日漏洞，針對已知漏洞的探測和掃描行為這些工具化、自動化的機(jī)器人行為，經(jīng)過瑞數(shù)機(jī)器人防火墻的防護(hù)，令漏洞掃描無法發(fā)現(xiàn)web應(yīng)用的漏洞，在企業(yè)客戶面臨經(jīng)常性的、甚至常常是緊急的打補(bǔ)丁的繁雜運(yùn)維工作時(shí)，或者打補(bǔ)丁影響業(yè)務(wù)系統(tǒng)的艱難處境面前，這種漏洞隱藏的方式和零日漏洞的主動防御手段無疑會深受企業(yè)的歡迎。

目前在國內(nèi)眾多電信運(yùn)營商、銀行、政府以及大型企業(yè)中，動態(tài)安全技術(shù)得到非常好的實(shí)踐檢驗(yàn)，效果顯著，受到客戶的青睞的好評。