瑞数动态安全 - 零补丁、零规则 主动抵御未知零日攻击

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云防火墙,500元 1000GB
简介:

越来越泛滥的零日攻击

在大多数网络安全从业者意识中,“零日攻击”往往是让人非常头痛的安全威胁。其高威胁性、突发性、高破坏性、大规模性的主要特点,让零日攻击能在网络安全地下黑市历时十多年都长盛不衰。近几年,零日漏洞的披露越来越多,影响面也越来越波及到各行各业,不仅仅是安全界,甚至也成为企业里的难题,究其原因,开源代码的不断扩散,被企业用于业务系统的开发,缩短项目周期,尽快将业务推向市场,是其根源之一。

这些开源组件中的代码被多种设备,多个系统复用,组件中一旦发现零日漏洞,产生的风险往往是成倍增长的。去年到今年,接二连三的Struts S2零日漏洞就证明了这一点。

2016年4月15日,国内安全专家发现并公布了在Struts2上的一个严重远程代码执行漏洞S2-032,黑客可以利用该漏洞轻易攻陷网站服务器,获取网站注册用户的帐号密码和个人资料,通过浏览器在远程服务器上执行任意系统命令,受影响站点可能引发数据泄露、网页篡改、植入后门、成为肉鸡等一系列重大安全事件。该漏洞最直接影响到的就是金融行业、运营商、各大门户和电商。而这些企业机构掌握的核心的数据资产,因此影响极为严重。

传统安全手段力不从心

面对此类新型的互联网安全威胁,尤其是零日攻击,传统的安全防护技术往往显得力不从心。过去针对此类漏洞,通常采用的防护手段是以打补丁和更新软件版本为主。如果通过Web应用防火墙产品进行防护,需要厂家根据漏洞利用的攻击特征,更新其策略规则或者特征库之后,才能进行防御,但显然已经是“滞后于攻击”的防护结果了。

而且,漏洞被发现和公布时,通常已经有漏洞利用工具先行流传和传播于互联网,行业和企业用户的Web应用势必受到影响。这种事后的被动式防御手段,在新的威胁面前处处被掣肘。如果企业大面积使用这些开源组件作为软件基础平台,则大规模的查漏洞、打补丁的工作,会令用户备受困扰。

动态安全 - 先于攻击的主动防御之道

瑞数信息的动态安全技术可以非常好地解决零日漏洞攻击问题。通过针对网页的动态变幻技术实现实时和在线的防护,让攻击程序无法进行漏洞利用的尝试,从而在补丁没有更新、传统防护手段未到位的时候,保护客户的应用不受影响。

“瑞数机器人防火墙的引擎,并不是在零日漏洞被披露后的快速特征库、规则库的更新,其实现机理并非传统靠零日漏洞的攻击特征来识别和阻挡攻击,而是通过识别攻击是否为脚本、程序、工具,以及结合动态令牌及动态验证技术进行的识别和阻挡。因此,假设在零日漏洞被披露之前,漏洞利用的方法和工具被恶意地使用在企业中,瑞数机器人防火墙即可先于零日攻击进行有效阻拦。”

马蔚彦还提到:“实际上,零日漏洞的披露往往伴随着漏洞检测的手法,这些手法的披露是把双刃剑,在检测是否有零日漏洞的同时,也是大量利用漏洞的时机。换句话说,手法本身对攻守两方几乎是对等的,对于企业的安全来讲比的就是谁‘快’。显然,打补丁、设规则是一定滞后于攻击手段的,补丁空窗期的一次漏洞利用的攻击,轻则植入木马,重则信息外泄”。

关键技术主要体现在“变幻”和“动态”两大亮点上。

所谓变幻是指对敏感内容进行变幻,包括客户端输入和提交的数据内容,也包括URL、Cookie、服务器返回页面中可能成为攻击入口的Html参数信息。

而动态是指封装及混淆算法的动态,运用在每一个页面每次返回客户端时动态封装中;令牌随机动态生成,在浏览器应用及环境验证方法也有动态变化。

动态安全的价值:为企业安全提供新的主动防护思路

在零日漏洞面前,在传统安全技术之上的监控、响应、预警尽管是加强主动防御的重要手段,但依然不能根本性地扭转防守方的被动局面,瑞数信息创新动态安全技术可以阻挡多源低频攻击,还能感知和透视到来自客户端浏览器的恶意行为,在漏洞利用时进行的识别和防护,是针对web零日漏洞在技术机理上真正的主动防御。

像上文提到了Struts2 漏洞,瑞数信息在日前就与之交锋,交出了令客户满意的答卷。一家大型企业客户通过瑞数机器人防火墙的动态安全技术,在两会保障期间监控日志发现并阻挡了一年前的S2-032漏洞攻击。当时正值S2-45漏洞刚刚正式发布,企业采用Web应用防火墙升级特征库的手段,抵御了S2-45漏洞。但是黑客并不死心,转而用一年前的S2-032漏洞,恰巧Web应用防火墙并未升级改漏洞的防护规则,造成攻击穿透了WAF防护。幸而瑞数机器人防火墙在线,即便穿透WAF,依然被阻挡。后来分析发现,事实上,早在S2-45漏洞公布前两天,网站就曾经有过一批利用多种S2漏洞的攻击手段在进行活动。瑞数信息通过动态安全技术,不仅抵御了来自S2-045、S2-032的漏洞攻击,还成功拦截了数千次在漏洞公布前的S2攻击(绕过了该网站所有WAF),极大地提升了系统的安全防御水平。

事实上,瑞数信息的动态安全技术不仅比传统打补丁的方法更及时、更有效,而且对其他类似零日漏洞利用的攻击,尤其是利用各种漏洞进行业务违规操作也非常有效,例如网页越权访问、中间人攻击、恶意注册、恶意访问等行为都得到了扼制。

此外,不仅仅是零日漏洞,针对已知漏洞的探测和扫描行为这些工具化、自动化的机器人行为,经过瑞数机器人防火墙的防护,令漏洞扫描无法发现web应用的漏洞,在企业客户面临经常性的、甚至常常是紧急的打补丁的繁杂运维工作时,或者打补丁影响业务系统的艰难处境面前,这种漏洞隐藏的方式和零日漏洞的主动防御手段无疑会深受企业的欢迎。

目前在国内众多电信运营商、银行、政府以及大型企业中,动态安全技术得到非常好的实践检验,效果显著,受到客户的青睐的好评。

目录
相关文章
|
云安全 域名解析 安全
警惕主动外联!云防火墙检测拦截勒索、Muhstik僵尸网络等 Log4j2漏洞利用
近期,阿里云安全观测到,在 Apache Log4j2 漏洞攻击全程中,无论是在漏洞利用阶段,还是后续要进行验证和进一步的控制利用,大多涉及多次受害服务器的主动外联,云防火墙已陆续发现并拦截60余万次涉及勒索、挖矿家族的漏洞利用行为。
992 0
警惕主动外联!云防火墙检测拦截勒索、Muhstik僵尸网络等 Log4j2漏洞利用
|
4月前
|
安全 算法 网络安全
数字堡垒的裂缝与修补 —— 网络安全漏洞与防御策略
【8月更文挑战第16天】 在数字化时代的浪潮中,网络安全成为保护信息资产不可或缺的盾牌。本文将揭示网络空间中潜藏的风险,探讨加密技术如何成为数据安全的锁链,并强调培养安全意识的重要性。我们将一同穿梭在代码的迷宫中,寻找那些被忽视的角落,修补可能让整个系统崩溃的微小裂缝,确保个人与企业能在信息战的前线屹立不倒。
44 2
|
3月前
|
安全 物联网 网络安全
网络安全的盾牌:漏洞防御与信息保护策略
【9月更文挑战第25天】在数字时代的浪潮中,网络安全和信息安全的重要性日益凸显。本文旨在探讨网络安全漏洞的成因、加密技术的应用以及提升安全意识的必要性。通过深入浅出的分析,揭示网络攻防的复杂性和对策的多样性,强调个人和企业应如何构建坚固的防线以保护数据不受威胁。
|
4月前
|
存储 安全 网络安全
勒索软件攻击及组织防护策略
【8月更文挑战第23天】
95 0
|
7月前
|
监控 安全 区块链
MEV攻击科普:揭秘、危害与防护策略
MEV攻击是加密货币中的现象,攻击者利用信息不对称和交易特权获取超额利润。这种攻击影响用户体验,破坏市场公平,威胁系统稳定并浪费资源。常见形式包括抢先交易、三明治攻击等。避免MEV攻击需采取隐私保护、交易延时、动态 Gas 费调整等策略,同时加强社区协作和使用抗MEV协议。提高用户意识和创新解决方案是应对MEV的关键。
2431 2
|
7月前
|
机器学习/深度学习 监控 安全
【网安】DDoS攻击:方法、影响与防御策略
【网安】DDoS攻击:方法、影响与防御策略
999 0
|
SQL 存储 安全
web安全攻击方法流量分析
web安全攻击方法流量分析
661 1
web安全攻击方法流量分析
|
负载均衡 安全 网络协议
网站遭受DDOS攻击如何解决防止被攻击的方案分析
网站、APP,以及服务器每天都会遭受到DDOS流量攻击,据SINE安全统计,目前互联网2019年上半年的流量攻击趋势明显增加,每天接触到的流量攻击事件达到两千多次,与去年的攻击数据相比较有所微上升。国内大部分的网站,APP应用都使用的是阿里云,以及腾讯云,百度云的服务器,通过上述三家公开的一些流量攻击报告,从流量攻击事件,挖矿病毒,僵尸肉鸡,网站篡改攻击事件中,来总结一下今年上半年的DDOS流量攻击的趋势。
275 0
网站遭受DDOS攻击如何解决防止被攻击的方案分析
|
Web App开发 前端开发 安全
IE发现新的零日攻击漏洞 用户可采取缓解措施
11月4日消息,微软发布警告称,黑客正在对IE一个新的零日攻击漏洞进行新一轮的有针对性恶意软件攻击。这个安全漏洞能够让黑客实施远程执行任意代码攻击和路过式下载攻击。 微软在安全公告中称,这个安全漏洞是由于IE浏览器中的一个非法的标记参考引起的。
750 0
|
云安全 监控 安全
瑞星2009:3大拦截2大防御功能主动遏制木马病毒
  12月16日,“瑞星全功能安全软件2009”正式发布,它基于瑞星“云安全”技术开发,实现了彻底的互联网化,是一款超越了传统“杀毒软件”的划时代安全产品。该产品集“拦截、防御、查杀、保护”多重防护功能于一身,并将杀毒软件与防火墙的无缝集成为一个产品,实现两者间互相配合、整体联动,同时极大地降低了电脑资源占用。
1166 0