挑战很大:
平台太多、涉及到的环节太多、安全基础太差、风险更高、基础架构不同导致现有的技术手段大多数会失效。
机遇也很大:
因为风险大,所以被保护资产的价值也更大,从过去保护虚拟资产,到了物联网和工业网时代,保护的已经是实体安全了(例如智能门锁、智能汽车、智能电厂等)。物联网时代出事,可能会是要命的。
自动化和人工智能是当下最火热的词条。两者是把双刃剑,与3C互联网设备结合就会给人们工作生活带来各种便利;跟攻击结合就变成一场灾难,现在的攻击已经形成了多米诺骨牌效应,一触即发。黑客只需要在一个机器人攻击程序上面输入想攻击的网址,设置好参数、测试方法、测试规则,验证问题,然后点击提交。机器人攻击程序就可以扫描了,等扫描出漏洞后,会有漏洞库自动进行匹配,然后发动攻击,黑客所做的就是守株待兔,开动触发键。
单打独斗不是黑客的行事作风。更多的情况下,黑色产业链上下会有组织,有纪律地各司其职分工协作,他们利用智能化自动化的攻击程序,或是暴力破解账号,窃取机密数据,或是通过批量注册小号,自动工具刷取套利。总而言之,只有你想不到,没有他们做不到。
自动化攻击侵略性更强
这不是笔者在危言耸听。事实上,随着针对Web的高级持续性拒绝服务(APDoS)攻击的崛起,以及复杂机器人程序攻击的容量和覆盖范围的增加,安全攻击变得更具侵略性。特别在运营商、政府、金融、电商、支付等领域,由自动化工具发起的高效大规模攻击(例如:恶意爬虫、撞库、虚假注册、交易篡改、零日攻击等)大幅增加了企业和政府机构在业务、应用和数据层面的安全风险。
Radware安全解决方案副总裁Carl Herberger就曾提醒公众,“奋战在信息安全领域第一线的已不仅仅是人类。由于防御措施总是败给越来越多的自动化复杂攻击和新的攻击技术,人们已经无法部署检测技术并进行实时响应。我们即将面临人工网络防御措施的没落和网络机器人程序防御措施的兴起。”
机器人攻击的出现,最先面临压力的就是传统安全防护厂商,显而易见,传统的防御手段在自动化攻击面前显得捉襟见肘难以施展。企业用户也需要更先进的检测产品和安全解决方案,来抵御新的安全威胁。
换一个思路破局
很多安全厂商已经开始积极行动起来,有的安全厂商认为,应该“以夷制夷”,同样用自动化的防御来抵御机器人攻击,正所谓用机器人去对付机器人。
自动化安全防御的确是未来一大趋势,它效率更高,更节约成本,能赋予安全防护提供更高等级的保护。但就目前自动化的发展现状而言,自动化的智能程度、自我机器学习的水平以及与技术运维团队的匹配等等问题都制约了其发展。甚至有的企业客户担心部署自动化安全防御解决方案之后,那么一旦这套防御系统出现漏洞被黑客利用,那岂不是等于敞开大门任人宰割?。
那么还有更符合现状的安全新思路可以解决机器人攻击的难题吗?
动态安全让机器人攻击彻底失效
瑞数信息在国内首个推出的机器人防火墙,通过一次性的动态令牌以及动态验证等动态安全技术,高效识别“自动化、工具化”这一特性,从而实现对此类威胁的主动防范。动态安全技术完全不同于传统安全技术仅仅依靠攻击特征库、异常特征库的匹配来进行攻击的识别,同时也无需依赖攻击频度和工具类别来识别,因此更加主动和有效。
通过将网页原始代码动态变形的技术,增加目标系統行为的“不可预测性”,使黑客无法找到入侵网页的入口与漏洞。由于攻击者无法预知目标系统行为,必须通过大量人工分析找寻目标系统可能的弱点,但即使找到弱点,最多也只能使用一次,因此大幅提升攻击难度与成本,从而迫使攻击者放弃攻击,将攻击抑制在源头。
动态安全技术将“动态”元素介入访问者和应用系统之间,从而有效阻止攻击者或利用自动化工具对目标发动攻击:
通过对真实浏览器型态的动态验证,有效甄别伪装成浏览器的自动化攻击工具;
利用采集浏览器指纹,可有效追踪不断变换来源地址的恶意来源终端;
通过监测浏览器中的异常操作行为模式,可实时拦阻自动化工具插件、模拟合法操作及逆向破解等恶意攻击行为。
在机器人攻击成为攻击主流趋势越来越明显的今天,希望企业能够摆脱传统安全思维,拿起新的安全武器,实现更高水准的安全防御,将黑色产业链的攻击拒之门外。