瑞数信息:关于构建纵深防御体系,我们在做什么?
星期一, 十二月 2, 2019
前言
“纵深防御”实际上并不是一个网络安全领域的专属名词,早在二十世纪初,前苏联元帅米·尼·图哈切夫斯基就在对第一次世界大战以及国内战争经验的基础上,提出了一种名为“大纵深作战理论”的思想。由于网络安全的本质就是黑客与开发者之间的攻防战,所以信息安全领域中的“纵深防御”概念确与战争学上的思想有着共通之处,其核心都是多点布防、以点带面、多面成体,以形成一个多层次的、立体的全方位防御体系来挫伤敌人、保障自身的整体安全。
为什么要建立全方位纵深防御体系?
IT架构的巨大变化
5G时代的到来,催生新的应用出现。云、大数据、物联网、移动端、人工智能等各类技术飞速发展,加快着IT架构的巨大变化和企业数字化的转型升级。据 IDC预测,到2022年,全球智能手机保有量将从现在的37.8亿达到45.1亿,连接的IOT设备将达到407亿,特别是各类应用的数量将会剧增100倍,从现在的500万急剧膨胀到5亿个。未来,所有关联于网络之中的系统、设备、用户、数据都将面临更多更复杂的已知或未知安全威胁,不断挑战企业对攻击的快速识别、快速响应能力。
网络攻击的迅猛态势
传统的攻击类型正在蜕变,在“互联网+”模式下,黑灰产已经不局限于纯手工攻击模式,大量借助自动化工具、模拟真人、多源低频的“加强版”攻击手段层出不穷,新兴攻击几乎覆盖了各渠道、各行业的各个场景,包括但不限于恶意注册、扫号撞库、爬虫、薅羊毛以及盗号等等。业务和数据价值驱动下的黑产生态,已经对企业安全防御形成近乎压倒性优势,让企业安全防护在业务资源的争夺、人机对抗、真实与虚拟的攻防辨识中,应接不暇。
防护技术的不断升级
网络安全就像一场永无休止的攻防战,攻击态势和防御手段此消彼长、交替升级。显然,传统“查漏补缺”的单一防护已经无法适应当下的安全防护形势,各类针对安全威胁和攻击的防护手段也在持续演进。然而,安全防护并不能靠数量取胜,简单地堆砌大量防护手段难以对抗层出不穷的新型自动化业务攻击。各类防护手段是否符合防护需求,彼此之间是否存在相互妨碍、相互影响或重叠的现象,是否能够联动响应,自动防护策略升级,形成1+1>2的聚力效应,都是企业构建全方位纵深防御体系中必然需要关注的内容。
瑞数信息全方位纵深防御体系
作为自动化攻防领域的引领者,瑞数信息依托动态安全、人工智能、可编程对抗、自动化威胁情报等新技术,将应用安全防御范畴由Web端进一步拓展到移动端、云端、API、IoT领域,同时纵深加大业务威胁感知和数据透视,深度赋能多场景的业务与应用安全,为企业的风险管理、安全防护打造出一套多维度、多手段、多能力的全方位纵深防御体系。
01 多维度的纵深防御
主动式安全防御
Bots防御 – 瑞数动态应用保护系统(机器人防火墙Botgate)
自动化威胁防御能力是瑞数信息的看家本领。作为瑞数信息推出的第一款产品,Botgate以动态安全技术为核心,创新地提出动态防御、主动防御概念,颠覆了传统安全基于攻击特征与行为规则的被动式防御技术,高效甄别伪装和假冒正常行为的各类已知和未知自动化攻击。
Web应用安全 – 瑞数动态Web应用防火墙(灵动Safeplus)
在延续传统Web端安全产品的基本能力(覆盖OWASP Top10)之上,Safeplus加入了动态安全与AI智能分析的防Bots功能,可以有效防御被自动化工具恶意扫描、漏洞利用,由僵尸网络发起的应用层 DDoS 攻击,以及诸如零日漏洞的未知攻击。
移动App应用防护 – App动态安全防护系统(App BotDefender)
在移动App端,瑞数信息遵循云管端的思路,为各类原生APP、H5及混合应用及微信等多应用入口提供统一的安全防护,是业内唯一实现移动应用及业务端到端一体化安全防护的整体解决方案。
应用API防护 – API动态安全防护系统(API BotDefender)
由API感知、发现、监控和保护四大模块组成ADMP安全模型,通过对来源环境及用户行为进行感知,自动发现API,并对所有异常API请求行为进行监控与告警;同时借助动态响应机制,对异常API请求进行拦阻、限速或欺骗等响应动作。
IoT应用防护 – IoT动态安全防护系统(IoT BotDefender)
以AI人工智能技术辅助动态安全,实时阻挡各类IoT恶意代码攻击及零日漏洞攻击,为IoT各类应用提供全程动态防护,实现轻量级安全维护。
智能感知与分析
业务威胁感知系统(Biz Insight)
该系统将传统业务风控体系延伸到客户端,实现风控前置。内置OWASP21种Web应用自动化威胁模型,结合 AI 引擎的指纹库,威胁情报的智能分析和自动化输出能力,以及“可编程对抗”技术,实现持续对抗自动化攻击和由此带来的业务欺诈行为。
全息数据透视系统(Data Insight)
作为一个针对多源异构海量数据的分析平台,打破了业务运维、安全之间的数据隔阂,可以对任何格式的机器数据进行收集、整理、归档存储,实现面向应用的全流量记录和分析,提供所想即所得的数据分析、搜索、报表和可视化能力。
02 多手段的纵深防御
动态技术
包括动态封装、令牌、验证、混淆、挑战等技术,是瑞数信息纵深防御体系的核心技术。通过对网页底层代码的动态变幻和实时人机识别技术,隐藏可能的攻击入口,增加服务器行为的不可预测性;同时,保证应用逻辑的正确运行,高效甄别伪装和假冒正常行为的已知和未知自动化攻击,直接从来源端阻断自动化攻击。
AI技术
融入涵盖机器学习、智能人机识别、智能威胁检测、全息设备指纹、智能响应等的AI技术,对客户端到服务器端所有的请求日志进行全访问记录,持续监控并分析流量行为,实现精准攻击定位和追踪溯源,并对潜在和更加隐蔽的攻击行为进行更深层次的分析和挖掘。
可编程对抗技术
为企业使用者和用户构建了一个开放式的简单编程环境,提供上百个字段用于规则编写,让具备一定编程基础的客户能够根据企业自身的情况,实现自我防护需求定制和灵活、便捷的攻防对抗。
自动化威胁情报
通过大数据分析能力,结合业务威胁的特征,对流量进行实时监控。全方位感知透视自动化攻击的来源、工具、目的和行为,并对攻击者进行画像,建立IP信誉库、指纹信誉库和账号信誉库,实现安全无死角。
03 多能力的纵深防御
事前:隐藏漏洞
尽管目前存在着大量已知漏洞,但实际上真正被黑客利用的只有大约6%。随着自动化工具的强势发展和应用,漏洞扫描和漏洞利用工具的升级也不会慢下脚步,这一比例必然大幅提高,“防漏扫”将仍是Web应用安全领域老生常谈却经久不衰的话题。来到业务安全领域,漏洞的存在仍然会给黑灰产可乘之机,而业务相关的漏洞修复,推动起来甚至比Web漏洞更加困难。
瑞数信息的全方位纵深防御以动态安全核心技术为基础,延续着瑞数一直以来在识别机器人(Bots)等自动化工具方面的突出能力,从本质上剥离对规则的依赖,通过阻拦工具行为将防护提前至扫描工具和程序的执行。在隐藏漏洞的同时,隐藏网页目录结构,也在网站未打补丁或补丁空窗期,降低攻击者发现、利用的概率,为网站的维护人员争取响应时间。
事中:动态响应
传统风控通常采用事后分析的风控规则,或是以来第三方输入的信誉库,识别响应滞后。而且,由于传统风控通常需要对业务日志进行人工分析以建立风控模型和规则,而业务的频繁变更势必导致风控规则的频繁变更,增加运维成本的同时,风控拦截逻辑与业务逻辑的耦合又会导致风控规则异常复杂,响应能力及效果愈加受阻。
因此瑞数信息的全方位纵深防御着重提供强大的动态响应和风控前置能力。利用可编程对抗技术,通过客户端采集到的超过300个信息字段进行规则编程,可以针对设备特征、输入事件 、访问行为等场景进行攻防对抗微秒级实施响应,并且可以提供软拦截能力,灵活配置各种动态响应策略,如拦截、重定向、延时、发起挑战等,让系统无懈可击。
事后:追踪溯源
安全事件频发,如何有效地进行追溯分析和取证,是从既发事件中总结教训的关键。借助AI智能和大数据分析能力,结合业务安全威胁的特征,瑞数信息全方位纵深防御体系可以对流量数据进行实时监控和全访问记录,全方位感知透视攻击的来源、工具、目的和行为,使得隐蔽攻击无处遁形,精准追踪溯源。
同时,依据采集的数据可以勾画攻击者人物画像,建立IP信誉库、指纹信誉库和账号信誉库,并作为威胁情报返回给纵深防御体系中的其他部分,从而建立安全联防,覆盖企业应用及业务安全的生命周期全过程。
总结
总之,纵深防御体系已不仅是传统意义上的防护位置的纵深,和网络协议层次的纵深,而是在当前国内的网络安全攻防呈现出组织化、体系化、实战化的情况下,多维度、多手段、多能力地构建一种能够互相协调、互相供给、不断循环的动态一体化防护与保障体系。
瑞数信息以动态防护、AI智能、可编程对抗和业务威胁感知四大核心技术为基础,通过将应用与业务间的多维度安全手段联动起来,消除了用户信息安全体系建设中的“安全孤岛”问题,形成了针对应用和业务威胁的事先预防、事中响应、事后分析三者联动的安全风险闭环,进而构建了一体化的、动态的全方位纵深防御体系,在当前复杂多变的网络和应用环境下,为企业应用与业务提供了长期、有效、灵活的信息安全防护!