零补丁、零规则 主动抵御未知零日攻击

2017-05-05 09:36:00 作者:ym 分类 : 比特网

  越来越泛滥的零日攻击

  在大多数网络安全从业者意识中,“零日攻击”往往是让人非常头痛的安全威胁。其高威胁性、突发性、高破坏性、大规模性的主要特点,让零日攻击能在网络安全地下黑市历时十多年都长盛不衰。近几年,零日漏洞的披露越来越多,影响面也越来越波及到各行各业,不仅仅是安全界,甚至也成为企业里的难题,究其原因,开源代码的不断扩散,被企业用于业务系统的开发,缩短项目周期,尽快将业务推向市场,是其根源之一。

  这些开源组件中的代码被多种设备,多个系统复用,组件中一旦发现零日漏洞,产生的风险往往是成倍增长的。去年到今年,接二连三的Struts S2零日漏洞就证明了这一点。

  2016年4月15日,国内安全专家发现并公布了在Struts2上的一个严重远程代码执行漏洞S2-032,黑客可以利用该漏洞轻易攻陷网站服务器,获取网站注册用户的帐号密码和个人资料,通过浏览器在远程服务器上执行任意系统命令,受影响站点可能引发数据泄露、网页篡改、植入后门、成为肉鸡等一系列重大安全事件。该漏洞最直接影响到的就是金融行业、运营商、各大门户和电商。而这些企业机构掌握的核心的数据资产,因此影响极为严重。

  传统安全手段力不从心

  面对此类新型的互联网安全威胁,尤其是零日攻击,传统的安全防护技术往往显得力不从心。过去针对此类漏洞,通常采用的防护手段是以打补丁和更新软件版本为主。如果通过Web应用防火墙产品进行防护,需要厂家根据漏洞利用的攻击特征,更新其策略规则或者特征库之后,才能进行防御,但显然已经是“滞后于攻击”的防护结果了。

  而且,漏洞被发现和公布时,通常已经有漏洞利用工具先行流传和传播于互联网,行业和企业用户的Web应用势必受到影响。这种事后的被动式防御手段,在新的威胁面前处处被掣肘。如果企业大面积使用这些开源组件作为软件基础平台,则大规模的查漏洞、打补丁的工作,会令用户备受困扰。

  动态安全 - 先于攻击的主动防御之道

  瑞数信息的动态安全技术可以非常好地解决零日漏洞攻击问题。通过针对网页的动态变幻技术实现实时和在线的防护,让攻击程序无法进行漏洞利用的尝试,从而在补丁没有更新、传统防护手段未到位的时候,保护客户的应用不受影响。

  “瑞数机器人防火墙的引擎,并不是在零日漏洞被披露后的快速特征库、规则库的更新,其实现机理并非传统靠零日漏洞的攻击特征来识别和阻挡攻击,而是通过识别攻击是否为脚本、程序、工具,以及结合动态令牌及动态验证技术进行的识别和阻挡。因此,假设在零日漏洞被披露之前,漏洞利用的方法和工具被恶意地使用在企业中,瑞数机器人防火墙即可先于零日攻击进行有效阻拦。”

  马蔚彦还提到:“实际上,零日漏洞的披露往往伴随着漏洞检测的手法,这些手法的披露是把双刃剑,在检测是否有零日漏洞的同时,也是大量利用漏洞的时机。换句话说,手法本身对攻守两方几乎是对等的,对于企业的安全来讲比的就是谁‘快’。显然,打补丁、设规则是一定滞后于攻击手段的,补丁空窗期的一次漏洞利用的攻击,轻则植入木马,重则信息外泄”。

  关键技术主要体现在“变幻”和“动态”两大亮点上。

  所谓变幻是指对敏感内容进行变幻,包括客户端输入和提交的数据内容,也包括URL、Cookie、服务器返回页面中可能成为攻击入口的Html参数信息。

  而动态是指封装及混淆算法的动态,运用在每一个页面每次返回客户端时动态封装中;令牌随机动态生成,在浏览器应用及环境验证方法也有动态变化。

  动态安全的价值:为企业安全提供新的主动防护思路

  在零日漏洞面前,在传统安全技术之上的监控、响应、预警尽管是加强主动防御的重要手段,但依然不能根本性地扭转防守方的被动局面,瑞数信息创新动态安全技术可以阻挡多源低频攻击,还能感知和透视到来自客户端浏览器的恶意行为,在漏洞利用时进行的识别和防护,是针对web零日漏洞在技术机理上真正的主动防御。

  像上文提到了Struts2 漏洞,瑞数信息在日前就与之交锋,交出了令客户满意的答卷。一家大型企业客户通过瑞数机器人防火墙的动态安全技术,在两会保障期间监控日志发现并阻挡了一年前的S2-032漏洞攻击。当时正值S2-45漏洞刚刚正式发布,企业采用Web应用防火墙升级特征库的手段,抵御了S2-45漏洞。但是黑客并不死心,转而用一年前的S2-032漏洞,恰巧Web应用防火墙并未升级改漏洞的防护规则,造成攻击穿透了WAF防护。幸而瑞数机器人防火墙在线,即便穿透WAF,依然被阻挡。 后来分析发现,事实上,早在S2-45漏洞公布前两天,网站就曾经有过一批利用多种S2漏洞的攻击手段在进行活动。瑞数信息通过动态安全技术,不仅抵御了来自S2-045、S2-032的漏洞攻击,还成功拦截了数千次在漏洞公布前的S2攻击(绕过了该网站所有WAF),极大地提升了系统的安全防御水平。

  事实上,瑞数信息的动态安全技术不仅比传统打补丁的方法更及时、更有效,而且对其他类似零日漏洞利用的攻击,尤其是利用各种漏洞进行业务违规操作也非常有效,例如网页越权访问、中间人攻击、恶意注册、恶意访问等行为都得到了扼制。

  此外,不仅仅是零日漏洞,针对已知漏洞的探测和扫描行为这些工具化、自动化的机器人行为,经过瑞数机器人防火墙的防护,令漏洞扫描无法发现web应用的漏洞,在企业客户面临经常性的、甚至常常是紧急的打补丁的繁杂运维工作时,或者打补丁影响业务系统的艰难处境面前,这种漏洞隐藏的方式和零日漏洞的主动防御手段无疑会深受企业的欢迎。

  目前在国内众多电信运营商、银行、政府以及大型企业中,动态安全技术得到非常好的实践检验,效果显著,受到客户的青睐的好评。

最近更新
科普

科普图集
带着朋友和机器人上月亮散步

带着朋友和机器人上月亮散步>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。