近日,中國石油石化企業(yè)信息技術(shù)交流大會(huì)暨油氣產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型高峰論壇在京召開。本屆大會(huì)由中國石油學(xué)會(huì)、中國石油、中國石化、中國海油、國家管網(wǎng)、國家能源、中國中化、中國航油、延長石油、中國地質(zhì)調(diào)查局等單位共同主辦。
作為我國石油石化行業(yè)的盛會(huì),此大會(huì)已連續(xù)舉辦了十余屆,為推動(dòng)石油石化企業(yè)數(shù)字化轉(zhuǎn)型、智能化發(fā)展發(fā)揮了重要積極作用。在會(huì)上,瑞數(shù)信息高級安全顧問張凡發(fā)表了題為《自動(dòng)化威脅的趨勢與應(yīng)對》的主題演講,為石油石化企業(yè)應(yīng)對自動(dòng)化威脅帶來了創(chuàng)新安全技術(shù)方案。
瑞數(shù)信息高級安全顧問 張凡
數(shù)字化時(shí)代 企業(yè)面臨5大Bots自動(dòng)化威脅
數(shù)字化時(shí)代,Bots自動(dòng)化攻擊已經(jīng)演變?yōu)榫W(wǎng)絡(luò)安全領(lǐng)域的頑疾,不斷升級的Bots自動(dòng)化威脅持續(xù)牽動(dòng)著行業(yè)的神經(jīng)。
瑞數(shù)信息高級安全顧問張凡表示,瑞數(shù)信息作為Bots自動(dòng)化攻擊防護(hù)領(lǐng)域的專業(yè)廠商,多年來持續(xù)輸出Bots自動(dòng)化威脅報(bào)告,現(xiàn)階段觀察到5大Bots自動(dòng)化威脅趨勢:
●趨勢1:Bots攻擊趨于常態(tài)化
在“十四五”規(guī)劃以及數(shù)字化浪潮的驅(qū)動(dòng)下,伴隨著大數(shù)據(jù)、5G、云計(jì)算、人工智能等技術(shù)發(fā)展,各行各業(yè)都開始“互聯(lián)網(wǎng) +”的服務(wù)。同時(shí)在疫情的持續(xù)影響下,遠(yuǎn)程辦公、在線教育、在線醫(yī)療、直播帶貨、社區(qū)團(tuán)購等產(chǎn)業(yè)快速崛起,Bots的攻擊態(tài)勢也趨于常態(tài)化。
據(jù)瑞數(shù)信息《2022 Bots自動(dòng)化威脅報(bào)告》顯示,綜合各行各業(yè)的網(wǎng)絡(luò)請求流量來看,Bots產(chǎn)生的流量明顯高于正常訪問流量,2021年Bots訪問占比持續(xù)上升至59.71%。在能源行業(yè),惡意機(jī)器人的比例高達(dá)31.62%,這個(gè)比例還在進(jìn)一步提升。
●趨勢2:零日漏洞攻擊持續(xù)深化
0day漏洞利用數(shù)量和攻擊流量持續(xù)增長,漏洞攻擊和影響面逐步擴(kuò)大,0day漏洞攻擊越來越常態(tài)化。
根據(jù)CVE和CNNVD披露的數(shù)據(jù)顯示,2021年新增漏洞超過20000個(gè),相比2020年漏洞數(shù)量進(jìn)一步增加。除數(shù)量之外,開源和第三方組件的0day漏洞影響面擴(kuò)大,軟件供應(yīng)鏈安全問題嚴(yán)峻。特別是在2021年底爆發(fā)的Log4j核彈級漏洞,給整個(gè)JVM生態(tài)圈帶來致命打擊,影響至今。
在零日漏洞攻擊持續(xù)深化的背后,是黑客組織進(jìn)一步加大投入在各種自動(dòng)化工具上,使攻擊武器庫更加龐大,發(fā)現(xiàn)和利用漏洞一體化,網(wǎng)絡(luò)犯罪更加高效。
●趨勢3:API 攻擊持續(xù)走高
API已成為企業(yè)數(shù)字業(yè)務(wù)生態(tài)系統(tǒng)的支柱,但同時(shí)也給了攻擊者可乘之機(jī)。有數(shù)據(jù)顯示,每個(gè)企業(yè)平均管理超過350種不同的API,其中69%的企業(yè)會(huì)將這些API開放給公眾和他們的合作伙伴。隨著API調(diào)用數(shù)量的增多和自動(dòng)化工具的興起,涉及的數(shù)據(jù)泄漏和欺詐風(fēng)險(xiǎn)正對企業(yè)的業(yè)務(wù)安全構(gòu)成新的挑戰(zhàn)。
●趨勢4:數(shù)據(jù)爬蟲依然泛濫
惡意數(shù)據(jù)爬蟲是自動(dòng)化攻擊請求中占比最大的一類,無論是傳統(tǒng)行業(yè)、互聯(lián)網(wǎng)行業(yè),還是政企、醫(yī)療、能源、教育等,都遭受持續(xù)不斷的爬蟲訪問。2022年瑞數(shù)信息監(jiān)測到的惡意爬蟲攻擊達(dá)到1000億以上,各個(gè)行業(yè)的信息服務(wù)業(yè)務(wù)是爬蟲光顧的重災(zāi)區(qū)。在公開數(shù)據(jù)方面,惡意爬蟲主要關(guān)注企業(yè)信息、公示信息、敏感數(shù)據(jù)等。
●趨勢5:AI武器更聰明
AI驅(qū)動(dòng)的進(jìn)攻性網(wǎng)絡(luò)威脅的發(fā)展正在重新定義企業(yè)安全,特別是ChatGPT的出現(xiàn),使得網(wǎng)絡(luò)安全從現(xiàn)階段的人與人對抗、人機(jī)對抗,向基于AI攻防對抗的演化趨勢愈加明顯。目前,人類的應(yīng)對措施已經(jīng)落后于Bots攻擊。
瑞數(shù)動(dòng)態(tài)安全 助力石油石化企業(yè)應(yīng)對Bots自動(dòng)化威脅
能源是國民經(jīng)濟(jì)發(fā)展的重要支撐,其中石油石化安全直接影響國家安全、可持續(xù)發(fā)展以及社會(huì)穩(wěn)定,保護(hù)石油石化企業(yè)的信息安全至關(guān)重要。面對Bots自動(dòng)化工具已成為攻擊常態(tài)手法的挑戰(zhàn),石油石化企業(yè)該如何應(yīng)對?
對此,瑞數(shù)信息高級安全顧問張凡表示,在Bots自動(dòng)化威脅發(fā)展的新趨勢下,石油石化企業(yè)可從四大安全防護(hù)重點(diǎn)出發(fā),并采用創(chuàng)新性的安全技術(shù)來應(yīng)對新挑戰(zhàn)。
第一,隨著Bots自動(dòng)化攻擊趨于常態(tài)化,Bots自動(dòng)化威脅防護(hù)體系應(yīng)成為企業(yè)標(biāo)配。
第二,API調(diào)用數(shù)量的增多和自動(dòng)化工具的興起,其涉及的數(shù)據(jù)泄漏等安全問題對業(yè)務(wù)安全構(gòu)成新的挑戰(zhàn),API合規(guī)和安全應(yīng)成為企業(yè)安全防護(hù)重中之重。
第三,如今企業(yè)業(yè)務(wù)應(yīng)用形態(tài)從早期的Web到如今的APP、H5、小程序、API,呈現(xiàn)多樣化趨勢,因此支持WAF、Bots管理、API防護(hù)等多種安全能力的整合性防御機(jī)制勢在必行。
第四,面對越來越復(fù)雜的自動(dòng)化攻擊,過去以人力為主的被動(dòng)防御已徹底失效,企業(yè)應(yīng)借助AI、自動(dòng)化響應(yīng)機(jī)制等新手段,筑高智能型主動(dòng)安全防御門檻,實(shí)現(xiàn)攻防對抗能力持續(xù)升級。
據(jù)張凡介紹,作為中國動(dòng)態(tài)安全技術(shù)的創(chuàng)新者和Bots自動(dòng)化攻擊防護(hù)領(lǐng)域的專業(yè)廠商,瑞數(shù)信息提供涵蓋Web、App和API的全渠道應(yīng)用安全、業(yè)務(wù)安全、數(shù)據(jù)安全、云安全等在內(nèi)的專業(yè)網(wǎng)絡(luò)安全產(chǎn)品及服務(wù)。
瑞數(shù)信息的核心技術(shù)在于獨(dú)特的動(dòng)態(tài)安全技術(shù),轉(zhuǎn)換了傳統(tǒng)安全防護(hù)的視角,不再依靠攻擊特征庫、異常特征庫的匹配來識(shí)別Bots自動(dòng)化攻擊,而是通過“隱藏漏洞、變換自身、驗(yàn)證真?zhèn)?rdquo;等方式提高黑客的攻擊成本,從而實(shí)現(xiàn)更加主動(dòng)和有效的主動(dòng)防護(hù)。
據(jù)悉,瑞數(shù)信息的動(dòng)態(tài)安全架構(gòu)由四大核心技術(shù)構(gòu)成:
●動(dòng)態(tài)封裝,對網(wǎng)頁底層代碼做動(dòng)態(tài)封裝,隱藏攻擊入口,提升攻擊難度;
●動(dòng)態(tài)驗(yàn)證,運(yùn)行環(huán)境驗(yàn)證,有效甄別“人”還是“自動(dòng)化”攻擊,打擊自動(dòng)化攻擊的有效工具;
●動(dòng)態(tài)混淆,對客戶端敏感數(shù)據(jù)進(jìn)行混淆,保護(hù)數(shù)據(jù)傳輸安全,保護(hù)終端請求內(nèi)容及交易內(nèi)容;
●動(dòng)態(tài)令牌,一次性動(dòng)態(tài)令牌,確保執(zhí)行正確的業(yè)務(wù)邏輯,保障業(yè)務(wù)安全運(yùn)行。
基于瑞數(shù)信息獨(dú)特的動(dòng)態(tài)驗(yàn)證、封裝、混淆、令牌四大動(dòng)態(tài)安全技術(shù),企業(yè)可實(shí)現(xiàn)多種動(dòng)態(tài)干擾功能:web代碼混淆、JS混淆、前端反調(diào)試、Cookie混淆、中間人檢測等,大幅提升攻擊難度與成本,有效進(jìn)行人機(jī)識(shí)別。
針對困擾企業(yè)的0day漏洞,瑞數(shù)動(dòng)態(tài)安全技術(shù)可利用工具請求的固有屬性出發(fā),一旦識(shí)別到是工具行為,就可以直接對0day攻擊進(jìn)行阻斷,實(shí)現(xiàn)對業(yè)務(wù)的動(dòng)態(tài)保護(hù)。
除了0day漏洞,瑞數(shù)信息動(dòng)態(tài)安全技術(shù)以多維度“分級分層”的對抗策略,能夠有效應(yīng)對各類自動(dòng)化攻擊,如:漏洞掃描、撞庫、爬蟲、應(yīng)用DDOS、高級定制工具、多源低頻等等,直擊黑產(chǎn)最底層,讓自動(dòng)化工具無法使用。
隨著攻防對抗的升級,基于規(guī)則和特征的傳統(tǒng)安全設(shè)備防護(hù)效率將越來越低。同時(shí),僅憑企業(yè)有限的安全人力,也難以維持常態(tài)化的安全防護(hù)?;谌饠?shù)信息的動(dòng)態(tài)安全技術(shù),無需依賴規(guī)則和特征庫,就能夠讓自動(dòng)化黑客工具失效,扭轉(zhuǎn)攻防不對稱的局面,真正做到從“人防”到“技防”。
張凡指出,動(dòng)態(tài)安全與傳統(tǒng)安全所代表的并非是不同品牌的安全產(chǎn)品,而是完全不同的技術(shù)、不同的防護(hù)原理,因此企業(yè)構(gòu)建真正意義上的異構(gòu)立體防護(hù)體系,實(shí)際上是要把動(dòng)態(tài)安全防護(hù)與傳統(tǒng)安全防護(hù)有機(jī)結(jié)合起來。
目前,瑞數(shù)信息“動(dòng)態(tài)安全”主動(dòng)式防護(hù)技術(shù),已經(jīng)保護(hù)了上萬億企業(yè)客戶資產(chǎn)和5億多賬戶。綜合瑞數(shù)信息在多家客戶進(jìn)行的測試結(jié)果,瑞數(shù)信息可以為企業(yè)客戶阻擋99%的自動(dòng)化攻擊,將安全運(yùn)營效率提升超過80%,節(jié)省約21%的帶寬和54%的系統(tǒng)資源。
結(jié)語
安全攻防是一場此消彼長、永不落幕的戰(zhàn)爭。在Bots自動(dòng)化攻擊泛濫、0day漏洞攻擊不斷升級的今天,企業(yè)需徹底轉(zhuǎn)換傳統(tǒng)被動(dòng)式的防護(hù)思路,將防護(hù)重心由“人防”向“技防”轉(zhuǎn)變?;谌饠?shù)信息的動(dòng)態(tài)安全技術(shù),石油石化企業(yè)能夠有效抵御各類自動(dòng)化攻擊,實(shí)現(xiàn)防護(hù)能力升級、運(yùn)維成本降級,建立起智能型主動(dòng)安全防御體系。
申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!