【51CTO.com原創(chuàng)稿件】9月28日，中國(guó)高校數(shù)據(jù)泄密違法處罰第一案誕生——國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心通報(bào)：淮南職業(yè)技術(shù)學(xué)院系統(tǒng)存在高危漏洞，系統(tǒng)存儲(chǔ)的4353余名學(xué)生身份信息已經(jīng)造成泄露。據(jù)悉，該校招生信息管理系統(tǒng)存在越權(quán)漏洞、后臺(tái)登錄密碼弱口令、重要數(shù)據(jù)無備份、無加密等多處疏漏，被犯罪分子通過拖庫(kù)、刷庫(kù)等不法攻擊行為竊取機(jī)密數(shù)據(jù)。

　　這是中國(guó)高校第一案，但絕對(duì)不會(huì)是最后一案。安全分析機(jī)構(gòu)Risk Based Security(RBS)發(fā)布的年中報(bào)告也佐證了這一點(diǎn)：截至2017年6月，全球發(fā)生了2227起數(shù)據(jù)泄露事件，黑客從中竊取了60億條記錄，這幾乎是2016年被竊取的醫(yī)療和金融數(shù)據(jù)總和。

　　當(dāng)我們不停呼吁業(yè)界提高數(shù)據(jù)安全意識(shí)和防御水平的同時(shí)，其實(shí)應(yīng)該也能夠感受到來自黑客世界“黑云壓城城欲摧”的壓力。換一個(gè)角度思考，黑客為什么能夠如此“高效率”地成功“拖庫(kù)”?自動(dòng)化程序攻擊絕對(duì)立了一大功。

[[207058]]

　　先看看黑客是如何得手的!

　　“拖庫(kù)”的方法和手段多種多樣，其中通過Web應(yīng)用盜取后臺(tái)數(shù)據(jù)庫(kù)中的數(shù)據(jù)，甚至數(shù)據(jù)庫(kù)整體被“拖庫(kù)”的危害更為嚴(yán)重，也更加難以被識(shí)別和阻攔。黑客是如何通過Web應(yīng)用進(jìn)行“拖庫(kù)”的呢?

　　大致手段離不開兩類途徑：一是黑客發(fā)現(xiàn)web應(yīng)用的漏洞后，利用漏洞，通過程序和工具進(jìn)行拖庫(kù);二是黑客沒有發(fā)現(xiàn)漏洞，但是通過頁(yè)面提供數(shù)據(jù)查詢、展示、下載等相關(guān)服務(wù)內(nèi)容的Web應(yīng)用，直接通過爬蟲程序進(jìn)行批量數(shù)據(jù)爬取和拖庫(kù)。

　　簡(jiǎn)而言之，“拖庫(kù)”的途徑和特點(diǎn)是：利用“工具”。這些工具包括：漏洞掃描器、漏洞利用工具、爬蟲工具等。那么最好的防御方法就是識(shí)別出這些工具，堅(jiān)決將這些工具拒之門外。傳統(tǒng)的安全防御手段往往識(shí)別不出這些自動(dòng)化攻擊程序的“擬人”行為，因此要想從根源實(shí)現(xiàn)“防撞庫(kù)”，就必須采取新的思路和新的方法。

　　動(dòng)態(tài)安全技術(shù)火眼金睛，一個(gè)“工具”都不放過!

　　瑞數(shù)信息的防拖庫(kù)動(dòng)態(tài)安全解決方案的核心是采用“動(dòng)態(tài)安全技術(shù)”，結(jié)合客戶端行為分析，識(shí)別“工具”行為還是正常“人”的操作行為，可發(fā)現(xiàn)惡意爬蟲、漏洞利用工具及掃描器的行為，并可實(shí)施攔截。

　　該技術(shù)可以在實(shí)施“拖庫(kù)”的多個(gè)可能的環(huán)節(jié)進(jìn)行層層防護(hù)：

　　第一層防御：在攻擊者對(duì)web進(jìn)行漏洞掃描時(shí)，防護(hù)系統(tǒng)即可發(fā)現(xiàn)是掃描器“工具”行為，在攻擊者尋找網(wǎng)站攻擊入口時(shí)攔截。

　　第二層防御：如果漏洞已經(jīng)被發(fā)現(xiàn)，并正在被利用，利用漏洞的“拖庫(kù)”操作一定也是“工具”，動(dòng)態(tài)技術(shù)可以在“拖庫(kù)”行為發(fā)生時(shí)攔截。

　　第三層防御：如果黑客不是通過漏洞利用，而是“爬蟲”行為的不間斷拖庫(kù)操作，同樣也是采用“工具”，動(dòng)態(tài)技術(shù)可以在“爬蟲”進(jìn)行數(shù)據(jù)爬取時(shí)攔截。

　　為什么瑞數(shù)信息的動(dòng)態(tài)安全技術(shù)可以如此精準(zhǔn)地識(shí)別出自動(dòng)化程序攻擊的所有進(jìn)程呢?這主要是因?yàn)閯?dòng)態(tài)安全技術(shù)精確切準(zhǔn)了自動(dòng)化程序攻擊的脈。正所謂“萬變不離其宗”，只要是程序和工具行為，就一定存在著工具特征，而動(dòng)態(tài)安全技術(shù)所依賴的并不是“訪問頻率的快慢”，“IP來源的集中與否”這些單一元素及傳統(tǒng)的工具判斷手段，來判斷頁(yè)面訪問行為是否為工具，而是不管這個(gè)工具是什么名字，在業(yè)務(wù)邏輯的哪個(gè)環(huán)節(jié)，模擬了哪類瀏覽器、是否不斷更換工具和改變IP，它都可以知曉是程序性質(zhì)的行為，同時(shí)結(jié)合行為分析進(jìn)行更精準(zhǔn)的識(shí)別和阻攔。

　　更值得一提的是，瑞數(shù)行為分析系統(tǒng)采用全程式感知模式，其感知半徑不僅僅局限于在服務(wù)器端進(jìn)行業(yè)務(wù)流程的觀測(cè)和分析，還覆蓋了諸如PC、移動(dòng)設(shè)備和物聯(lián)網(wǎng)節(jié)點(diǎn)等用戶終端側(cè)面。通過在終端設(shè)備上采集不同平臺(tái)的瀏覽器指紋、插件等環(huán)境參數(shù)，以及用戶的鍵盤、鼠標(biāo)動(dòng)作、屏幕觸摸等行為特征，綜合分析訪問端的訪問方式、工具和意圖，從廣度上極大地拓展了整個(gè)系統(tǒng)對(duì)行為分析的能力。

　　隨著企業(yè)客戶數(shù)字化轉(zhuǎn)型的深入，安全風(fēng)險(xiǎn)抵御能力將成為其不可忽略的重要基石。在黑色產(chǎn)業(yè)鏈“寸草不留”的瘋狂攻擊下，企業(yè)客戶必須學(xué)會(huì)用新的思路新的工具去規(guī)避可能存在的風(fēng)險(xiǎn)，而瑞數(shù)動(dòng)態(tài)安全解決方案就為轉(zhuǎn)型中的企業(yè)提供了一個(gè)值得信賴的選擇。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】