重保实战 | WAAP一体化防护,助机关单位打赢关键战
攻击流量隐藏在巨大的日常访问流量中,伺机对重要业务、民生数据、页面内容发起破坏,一旦发生安全事故,对国家形象和社会舆论能产生巨大影响。
尤其在重大节会等攻击高发的时间点,保障业务和数据安全不容有失,是党政机关的重中之重。
01
客户名片
某机关单位作为与人民群众联系紧密的职能部门,先后推出面向全国公众的官网门户、公众号、小程序、手机APP等服务平台,包括多个业务系统,提供政务公开、线上申报等公共服务。
该单位一直以带头践行“数字政府”建设为己任,线上业务多元化发展,积极拥抱技术创新,并且极为重视网络安全建设。
02
客户痛点
在去年下半年重要会议期间,防护形势空前严峻。基于过往的合作基础,该单位找到我们沟通安全重保需求,希望借助我们团队及边缘云防护,解决以下防护难点,将其安全体系提升至最高级别。
1
该单位下辖多个直属机构,安全建设相对独立,靠该单位自身团队难以在重要时期全面调整安全策略,希望通过强化云端防线,为网站群快速提升安全水位。
2
该单位拥有较多API接口,且资产列表不全,有招致新型威胁的风险。
3
会议期间站点业务量大、更新频率高,业务系统安全情势更容易变化。
4
对安全事故“零容忍”,要求最高等级的安全服务,会议期间不间断值守,定时汇报,提升处置效率,完善应急响应。
03
我们方案
针对该单位的诉求,我们在会议召开半个月前,就启动重保项目,沟通确定重保方案,并集结专属保障团队,梳理工作流程。
防护体系上,我们针对其希望通过云端防护提升防御等级,并解决API安全隐患的诉求,为该单位直属系统内各域名全面开启了基于云的WAAP一体化安全托管。
准备期
1
梳理API资产,清除安全隐患
对该单位各域名下的API资产进行了全面探测,发现失联API 200+,部分接口存在缺乏鉴权措施、参数规范不严谨等潜在风险,因此为其开启API专项防护。
2
升级策略,上调防御强度
基于WAAP一体化托管方案,对该单位直属系统内网站、系统的Web安全策略进行全面检查和升级,达到最高防护等级。
3
专属接口,共享情报
对接我们协同情报平台,同步全网威胁情报、热点漏洞情报,帮助安全运营先发制人。
重保期
1
WAAP纵深防线,云端自动防护
WAAP一体化安全防护体系,包含应对基础设施层DDoS攻击防护、Web应用防火墙,以及应对业务和数据安全的爬虫管理和API防护,形成覆盖物理环境、网络环境、内容及数据安全维度的纵深防御,实时拦截流量攻击、扫描、入侵行为。
2
不间断值守保障
专属远程及驻场保障人员7×24H全程跟踪安全事件及漏洞情况,对疑似攻击告警进行研判和处置,小时级汇报安全数据情况,每日总结日报;安全专家每日巡检,及时调优防护策略。
总结期
输出专业的安全服务报告,复盘准备工作及防护期间的安全情况,并提供改进方向。
04
方案成效
本次重保期间,我们在云端日均为该单位识别风险事件1000+,拦截API攻击200万+,拦截恶意接口查询平均每秒30次,继续以“零事故”成绩守护该单位线上业务安全稳定,获得了高度认可。
业界权威报告!《SD-WAN 2.0技术与产业发展白皮书》正式发布!
近日,我们参与编制的《SD-WAN技术与产业发展白皮书》(以下简称“《白皮书》”)由中国通信标准化协会算网融合产业及标准推进委员会、中国信通院重磅发布。
作为SD-WAN发展研究的最新权威成果,全面呈现SD-WAN 2.0发展面貌,旨在为产业各方提供深度观察和应用实践的重要参考。提供了理论、技术及实践支持,表明我们在SD-WAN领域正凭借领先的技术实力与影响力,为行业的标准化建设贡献价值。
01 SD-WAN进入2.0 全面融合云网边端算安全
随着云计算、边缘计算等技术加速部署,云网融合/算网融合需求在各行业上云进程中日益凸显。加上疫情后移动办公规模爆发式增长,对企业网络端到端的安全管理提出了更高要求,局限于Overlay网络互联的初级SD-WAN已经无法适配新形势下的需求,融合内生安全、多云互联、算力随享、一体服务等多种特征的SD-WAN 2.0应运而生。
02 SASE为骨 我们SD-WAN领跑2.0时代
作为全球领先的云分发及零信任安全公司,我们重点参与了在SASE、智能运维等SD-WAN 2.0重点技术能力,以及在电信、零售等重点行业实践的内容编写。
这表明我们在SD-WAN及SASE、智能运维领域已具备充分的技术实力与口碑,并得到了权威机构的一致认可。
SD-WAN 2.0的关键技术能力中,SASE(即安全访问边缘,Secure Access Service Edge)作为将广域网和网络安全方案统一集成到云交付的服务框架,正是实现2.0阶段SD-WAN与安全深度融合的重要途径。
我们将SASE能力融入SD-WAN,依托于全球智能高速网络,我们SD-WAN将组网和安全功能整合,使用零信任架构将云数据中心及移动用户集成到安全网络中,全套安全服务持续保护访问流量,可实现全链路立体安全防护。
在云网融合方面,我们与运营商强强合作搭建的全球骨干网,支持与全球主流云服务商的灵活连接,拥有POP点300+,覆盖全球160+大中城市,支持多地域之间的高质量连接组网。在我们自研私有协议等传输优化技术的加持下,连接组网传输速度平均可提升100%-300%。
在智能运维方面,我们SD-WAN通过对全网实时采集的多维度海量日志进行大数据分析,已实现对全网业务运行状态的可视化实时监控、故障提前预警、网络威胁自动识别等能力,有效帮助企业运维人员简化工作,提高效率。
在SD-WAN 2.0阶段下,我们SD-WAN已稳定服务于电信、零售、金融、医疗、制造等多行业,发展出成熟的垂直行业解决方案,并率先通过了可信SD-WAN解决方案(服务型)认证。
接下来,我们还将与产业上下游加强协同创新,持续推进SD-WAN 2.0标准建设进程,促进SD-WAN产业规范、有序发展,帮助企业充分利用云网融合的技术红利,加速数字化转型。
攻防对战 | 面对0day威胁,真就“无解”吗?
在网络攻防对抗中,看不见的危险,才是最致命的危险。
比如只掌握在少数人手里的0day漏洞,就是最有效的网站攻击手段之一。
攻击者利用操作系统、中间件、应用、安全设备等软硬件的0day漏洞,能够无视现有基于规则的防护技术,长驱直入获取服务器权限。有数据显示,80%的成功入侵都与0day漏洞有直接或间接关系。
理论上,每个应用组件都难免存在漏洞。而Web应用及其相关组件由于其开放性,互联网用户都可以进行访问或攻击,因此更为攻击者所“青睐”,成为0day威胁的重灾区。近半年爆出的Apache Log4j2漏洞、Spring框架远程代码执行漏洞等“大杀器”,都来自于Web中间件。
如同一种新型烈性传染病,在病原体不明、没有疫苗也没有特效药的“窗口期”,最令人束手无策、闻风丧胆。0day攻击,打的就是时间差和信息差——趁虚而入,唯快不破。
那么0day威胁除了等待官方修复漏洞,真就“无解”吗?
当然不是。抓住发起漏洞攻击的关键环节,布下纵深防御“守株待兔”,层层阻击,也可以对0day 攻击实现实时主动防御。
01 釜底抽薪,隐藏网站结构
通过我们全站隔离平台,隐藏网站源代码,网站框架、活动脚本、API等全部内容均不可见,使攻击者难以直达漏洞组件进行利用,迫使攻击者要先通过自动化扫描工具探查网站系统中是否存在可利用的漏洞。
02 回归本质,阻截漏洞探测
在全站结构不可见的情况下,攻击者需要通过自动化扫描工具,摸清网站的设备和系统使用情况,如端口状态、系统版本信息等,方能判定是否存在可利用的漏洞。也就是说,漏洞利用方式千千万,但第一步都要从扫描探测开始。
我们基于攻击行为的发生途径,以BotGuard爬虫管理技术,AI建模智能识别bots自动化扫描行为,实现在无规则升级的情况下对0day漏洞探测行为进行精准阻断,主动将攻击扼杀在摇篮里。
03 应急响应,小时级升级安全规则
0day漏洞之所以高危,就是因为没有“对症”的安全规则。因此,Web应用防火墙(WAF)能否抢在攻击到来之前上线有效的防护规则,就是重要的胜负手。
我们实验室针对0day漏洞构建了全网7*24小时漏洞情报监测+主动挖洞机制,确保第一时间发现漏洞。全天候驻守的攻防专家依据漏洞特征,以小时级的时效上线防护规则,毫秒级全网下发,自动防御,无需人工更新规则库。
我们云WAF还支持智能规则托管,自动分析企业误报情况,一旦发现防护规则与企业业务不匹配的情况,及时由攻防专家介入调整,最大程度上实现业务和安全防护之间的平衡。
04 终极防线,拦截主机入侵
0day漏洞攻击最终的目标是获取目标服务器权限,从而进行数据窃取、内网渗透、长期控制等不法行为以牟取利益。
因此,在上述3层作用于流量侧的防线之后,我们在主机侧还筑有一道最终防线,对入侵行为进行多锚点监测拦截,进一步阻止攻击者利用0day漏洞获取服务器权限。
你有最快的刀,我有最厚的盾。
0day攻击并非无解,我们从流量层到主机层的层层纵深防御,从封堵漏洞利用方式的角度+主动拦截入侵行为的角度,为我们平台千余家客户成功粉碎大多数0day攻击。
当然,对0day攻击的防御也不可能“毕其功于一役”。近日美国网络安全审查委员会发布首份报告指出,去年年底曝光的Log4j漏洞将在未来十年甚至更长时间持续引发风险。对于已有官方补丁的Nday漏洞,我们实验室也在持续监测其新的利用方式,完善防护策略。
专注API安全 | 如何破解API资产维护困境
网络数据安全立法又有新进展:《网络数据安全管理条例》被列入国务院2022年度立法计划,这意味着关于数据安全管理的配套细则有望在年内落地。
作为数字经济和信息社会的核心资源,数据对国家治理、经济运行机制、社会生活方式等产生着深刻影响。数据在流动、分享、加工和处理的过程中创造价值,但其前提是保障数据安全无虞,因为庞大的数据足以勾勒出数以亿计的人物画像。而支撑这些庞大数据高速传输的重要通道,便是API。
因此,API接口安全将很大程度决定了互联网数据的安全。
对于如何保障API与敏感数据安全,我们实验室资深运营结合我们API安全管理实践,撰文《敏感数据保护的基石:API资产发现与管理》:
01 API资产不明引发安全困境
据《Salt Labs State of API Security Report, Q1 2022》报告,在受访者最关心的API安全问题中,僵尸API以43%占比高居第一;远超过以22%的占比位居第二的帐户接管/滥用;还有83%的受访者对API 清单是否完整没有信心。
为何企业对僵尸API及API清单完整度有如此大的担忧?安全隐患往往藏于“未知”,未知的僵尸API、未知的影子API、未知的敏感数据暴露等,根源都在于企业对API资产全貌的未知。
安全的管理与防护始于“已知”和“可见”,人们难以掌控那些被遗忘的、看不见摸不着的资产安全状况。然而正是这些被人遗忘、年久失修的API,因其往往潜藏着未被修复的漏洞,备受攻击者青睐。
尽管各类受访数据表明,僵尸API已日渐得到企业的重视,但仍有一处容易被忽略的巨大风险——僵尸参数。不同于那些被彻底遗忘的僵尸API,这些僵尸参数有可能还存在于当前仍在服务且持续维护的API接口中。
常见的僵尸参数,例如在开发测试周期内设置的调试参数、系统属性参数,它们在接口正式上线后未对外暴露给用户,但仍能被暗处的攻击者恶意调用。
攻击者基于僵尸参数,能够利用批量分配等漏洞获得越权的响应。一旦这些未知的API脆弱点被恶意利用,背后的核心业务数据、平台用户数据等海量敏感数据在黑客面前就宛如“裸奔”了,再无秘密可言。
02 API资产的可知、可视、可管
如何更好地管理API全貌资产,而非仅是管理“已知”资产?传统的API管理方案往往是通过API网关进行资产管理与更新,业务开发人员在开发过程中需及时将新开发的API注册在API网关上,并在API内容发生改变时同步更新API定义内容。在这种资产维护方式下,资产清单的准确性与有效性完全依赖于人工管理。
随着企业业务快速扩张,开发人员在不可避免地需要交付更多功能、加快发布速度以适应千变万化的市场,不断上线大量新版本API。如此快速的迭代对API资产维护提出了很高的要求,一旦人工维护出现纰漏,僵尸API、僵尸参数等便会不断积聚,造成恶性循环。
另需注意的一点是,关注僵尸API、影子API等API资产管理漏洞的往往是企业的安全人员,而API网关通常由业务部门维护。也就是说,安全人员对API风险的防控工作,是以业务人员的API资产维护工作为基础的,这之间就存在跨部门协作的壁垒问题。
那么,如何解决上述的API资产清单人工维护成本高且准确性难以保障的问题?如何打破安全部门与业务部门在API资产管理协作上的壁垒?面对这两大问题,传统的API网关管理模式已不再有效,需要引入新的管理模式——API资产发现,实现对全貌API资产的自动盘点与分析。
03 我们API资产发现应用实践
为了实现API的安全应用,企业组织需要进行全面的API资产发现,从API资产盘点,到API路径折叠与规范化,再到进一步的敏感数据暴露面清点。基于以上设计思路,我们在API防护产品上进行应用实践,已可较好实现API资产的可知、可视、可管。
全自动的资产盘点
根据我们预定义的API流量请求特征,结合机器学习的API流量基线,持续性地捕获流量中的API资源。基于流量数据分析,无需改变用户现有部署架构,即可实时盘点流量中的API资产,全自动梳理API列表资产、API参数资产、API调用方法等多维度API资产清单。
例如,区别于普通URL资源,API在数据传输格式、资源/操作定义等方面具有其鲜明的特性。如REST API、SOAP API、GraphQL API等不同类型的API均有不同的API架构风格,这些特征被一一提炼,在流量流经识别引擎时,即可快速识别、捕获API列表资产。
这些API列表资产可能包含着现有API网关/本地API文档维护着的API列表,也可能包含着被企业遗忘或停用的僵尸API。通过对全量API列表资产进行进一步分析,描绘其请求趋势、响应状态、被调用方法等接口活跃状态,即可令API列表资产可视、可知。
除了API列表资产外,清点参数资产同样重要。针对捕获到的API列表清单,我们在API安全管理方面,通过建立正常用户数据传输基线,识别API调用需携带的参数名称、参数位置、参数类型、是否为必带参数等,甚至提炼请求Body的数据结构,从而为企业充分清点全量API列表资产中正被使用的参数资产,使僵尸参数或是攻击伪造的恶意参数无处遁形。
API路径折叠与规范化
API 资产中,存在众多类似“api/test/111”与“api/test/112”这样路径高度重合的API端点。进一步观测这些近似的API端点,会发现它们往往也具有相同的用途。这些API端点往往仅有固定位置的路径参数不同,而路径参数的变量多达成百上千。
这类路径、用途高度重合的API端点若全盘列出,可能会造成API资产列表过于庞大的问题。充斥着这些冗余数据的海量列表给管理增加了难度,甚至难以完成人工确认。
我们API资产发现过程,会持续分析这类高重合度的API端点,将这些端点在API资产列表中进行折叠,并将路径中的变量规范为路径参数,以进一步联动后续防护模块进行参数合规检测。
敏感数据暴露面清点
各类敏感数据在接口传输过程中飞速流转,有些敏感数据是必要传输内容,但有部分敏感数据因接口的过度暴露而遭到不必要的泄露。敏感数据暴露面的清点可有助发现此现象。
敏感数据识别引擎实时分析、判别请求数据与响应数据中流转的敏感参数信息,智能识别身份证、手机号、银行卡号等敏感数据,分析与统计全盘API敏感数据态势。
哪些API正暴露着敏感数据?暴露了哪一类敏感数据?其敏感等级分布如何?对这些敏感数据暴露面的清点与详尽的态势分析,能够帮助企业摆脱敏感数据“灯下黑”的困境。
综上所述,从全自动的API资产盘点,到API路径折叠与规范化再到进一步的敏感数据暴露面清点——我们基于以上设计思路,在API防护产品上进行应用实践,实现了完整API资产的可知、可视、可管。
攻防对战 | 4+2+2进阶防御
随着我国对网络安全的重视的不断提升,尤其《关键信息基础设施安全保护条例》正式实施之后,定期组织应急演练已成为关键信息基础设施单位应当履行的义务。
在网络安全攻防对战中,攻击方的组织化程度、攻击力度已越来越贴近实际情况,攻击手段呈现APT化,利用社工手段和软件供应链攻击也成为趋势。那么,防守方如何以攻防对战为契机,完善自身防守维度,提升安全应急响应能力?
我们安全基于强大的纵深安全能力、大数据威胁情报与多年攻防经验积累,升级了“4+2+2大型网络攻防对战进阶防御阵型”,助力各类企事业单位一键拓展防护面,保障万无一失。
“4”重护盾,云端主动防御
速效固防之选
全网实时威胁情报感知,先发制人
全平台态势感知,基于大数据样本解析攻击IP、热点漏洞等攻防对战专项情报,单点攻击,全网可知。多渠道共享情报、实时预警,助力防守方透视战局,预先封堵攻击IP与入侵路线。
1 深厚策略积累,高效猎杀
我们云WAF及主机入侵检测HIDS,内含根据历年攻击特征、攻击队偏好、常见威胁点梳理定制的专项规则库,一键开启,即可复用我们多年防守经验,提升防护效率。
2 阻断扫描行为,拦截90%以上攻击
攻击队通常会采用自动化扫描工具,找到网站安全防护较为薄弱的目标,再做进一步人工渗透。我们Bot Guard可精准识别并拒绝自动化扫描工具的访问,将攻击扼杀在摇篮里。
3 攻击IP批量封禁,以一敌万
针对大批量扫描的“饱和式攻击” ,我们云WAF支持千万级IP封禁策略配置,分钟级全局下发,消耗攻击方资源,提升攻击成本。
“2”重隐身,隔离内外网威胁
出奇制胜之选
1 零信任阻断内网渗透,免疫VPN 0day
通过ScrLink实现应用隐身,对用户接入内网后的访问行为进行持续验证,动态调整权限,阻止攻击队通过社工手段利用内部员工账号进行渗透攻击。
2 隐藏网站暴露面,隔绝安全漏洞
通过我们全站隔离平台,隐藏网站源码、JS、API、开发框架;对URL进行加密,只响应“自定义的私有协议流量”,其它流量一概隔离,得不到任何响应数据,将门户网站安全级别提升至最高。
网络攻击防不住 游戏怎么玩得爽
伴随游戏产业迅速发展,越来越多的厂商参与其中,市场愈加繁荣。根据第三方市场研究机构Newzoo预测:今年全球游戏市场预计将产生超2000亿美元的收入,年增长9.6%。游戏行业强大的吸金能力也使得行业竞争与网络安全问题凸显。我们平台数据显示,上半年针对游戏行业的攻击总数3158+亿次,我们平台日均为游戏行业抵御超17.45亿次攻击
游戏行业成为DDoS攻击的最大受害者
游戏行业始终都是DDoS攻击的主要目标,上半年我们平台上针对游戏行业的DDoS攻击占比高达62.08%,游戏行业DDoS攻击数量与往年下半年相比上升300.56%。
针对游戏行业的DDoS攻击更持久
从全网数据看,攻击时长超60分钟以上的DDoS攻击占比为26.06%,而游戏行业的这一占比达到了36.64%。相较其他行业而言,向游戏行业发起的DDoS攻击明显时间更长。我们甚至记录了针对个别游戏客户长达 145天的持续性攻击。
游戏行业大流量攻击成常态
对游戏行业的DDoS攻击峰值分析后我们发现,针对该行业的DDoS攻击明显更猛烈,大流量攻击占比较其他行业都高:200Gbps以上攻击占比为18.49%,而全网200Gbps以上的DDoS攻击占比仅为0.57%。游戏行业攻击峰值中位数达671.36Gbps,超600Gbps的DDoS攻击在游戏行业已是常态,攻击峰值在今年上半年达到了982.47Gbps。
伴随各种反射放大攻击模式的发明,游戏行业受攻击流量也越来越大。鉴于以往经历,游戏行业的安全意识较其他行业更强,大多会采取必要的DDoS攻击清洗措施。而攻击者往往会发起更大的攻击量以达到快速瘫痪其业务的目的。
DDoS攻击时间与玩家活跃时间强关联
以天和周为单位来看DDoS攻击特征,DDoS攻击日活跃点集中在20:00-24:00期间,周活跃点集中在周五至周日,时间节点大致与玩家在线高峰节点吻合。由DDoS攻击造成的游戏掉线、卡顿、无法登录等问题对游戏业务伤害极大,业务高峰期发起的攻击最令游戏厂商忌惮,也更能达到非法牟利的目的。
SYN Flood是游戏行业DDoS攻击最普遍的手法
上半年,针对游戏行业的网络层DDoS攻击中SYN Flood最多,占比83.86%;其次是UDP_Flood、ACK_Flood、ICMP_Flood等。大量的SYN攻击请求使得服务器上存在大量的TCP半连接,服务器的资源会被这些半连接耗尽而无法响应正常的请求。SYN Flood的源IP往往是伪造的,一是能隐藏真实攻击来源,二是防止受害者响应的包回到真实肉鸡,对攻击者产生不必要的消耗。这类攻击对攻击者而言成本最低,在无防护状态下可造成的损失巨大,因此常为攻击者所使用。
游戏账号安全需警惕
由于玩家游戏账号内的装备、代币等资产在黑市上有着较高的价值,因此针对游戏账号的攻击如Web攻击、撞库等日益猖獗。我们平台数据显示,针对游戏账号的攻击月均达到近2000万次。与DDoS攻击不同,针对游戏账号的攻击是消耗游戏生命的“慢性毒药”,会影响游戏平台的口碑和存续。
游戏行业Web攻击激增
我们平台数据显示,上半年针对游戏行业的Web攻击次数较往年下半年上升339.18%,游戏行业需警惕日益增长的Web攻击。
游戏行业的Web攻击类型中,我们发现主要的攻击类型分别为SQL注入、非法下载与XSS跨站,占比达87.99%。攻击者通过这些攻击手段,旨在获取敏感数据库文件,达到盗取用户账号的目的。
近九成的Bot攻击用于撞库
分析游戏行业的Bot攻击目的,我们发现86.23%的Bot攻击被用于撞库场景,近年来各行业泄露的数据广泛流通,黑灰产已经掌握了丰富的社工库,并利用该库对游戏发起撞库,攻击成功后进一步对游戏账号内的资产窃取。
游戏行业网络安全攻防战仍不断升级
针对游戏行业的各类攻击无论从规模、手法和效率上一直都是黑产届的“风向标”,黑客攻击的目的性和破坏性极强。目前,针对游戏行业的攻击主要为DDoS,同时有向多元化发展的趋势,Web攻击和Bot攻击次数呈现明显上升趋势。
游戏安全的网络攻防对抗,始终处于动态变化。面对攻击者的猛烈攻势,运营者需要为游戏业修筑一道坚不可破的城墙,重兵防守。我们致力于在云端实时发现并阻断恶意攻击,以海量资源储备、智能防护技术、专业安全服务为游戏整体业务保驾护航。
日均抵御28.42亿次攻击 智能攻击正在发生
随着5G、人工智能、物联网等技术应用的快速发展,网络安全形势日趋严峻。上半年,我们云安全平台共监测与拦截了5144.69多亿次攻击行为,平均每天为全球网站抵御与防护约28.42亿次攻击,同比增长10.36%。
其中,恶意爬虫攻击量达53.85亿次,同比翻番;大流量DDoS攻击持续爆发,100Gbps以上攻击占比增长超5倍;而在Web应用攻击趋于组合型攻击的同时,API接口正成为新的攻击目标,上半年共发生16.53亿次针对API的攻击。
恶意爬虫攻击翻番 传媒及资讯行业成重灾区
上半年发生了53.85亿多次爬虫攻击事件,同比往年上半年增长了108.23%。根据攻击源IP分布情况,84.91%的恶意爬虫流量来自国内,其次是美国、墨西哥等。相比往年,海外攻击源占比增多,爬虫团伙逐渐转向海外作战。
进一步对国内爬虫流量进行分析发现,超过43%的恶意爬虫主要分布在江苏、浙江、山东、广东。而受恶意爬虫攻击的地域中,北京最为严重,占到了全国的26.56%,江苏、上海、浙江等地次之。
不同于以往,上半年,传媒及资讯行业超过交通运输业,成为了受恶意爬虫攻击最严重的行业,占据上半年恶意爬虫事件的41.02%,攻击次数同比增长69.83%。同时,政府机构、金融、教育等行业受攻击次数也均有不同幅度的上升。
报告分析认为,传媒及资讯行业本身是信息的生产制作方,承载和传递着人们生活和工作所需要的方方面面信息,天然具备信息抓取的价值,因而更易成为被爬对象。
另外,报告还提到,上半年以来,恶意爬虫技术更加复杂和智能,越来越懂得模仿人类行为以躲避反爬措施,造成的损失正在扩大。对易受攻击的行业而言,基于大数据和人工智能的反爬策略愈加重要。
上半年,我们共监测并拦截了5086.17多亿次DDoS攻击事件,同比增长14.80%,平均每秒发生3.29万次。其中,网络层DDoS攻击在上半年激增,攻击事件数量环比增长了298.88%。
在频次增长的同时,DDoS攻击的强度也在增加。上半年,尽管200Gbps以内的攻击仍是主流,200Gbps以上的攻击事件占比却大幅提升至20.94%,相较往年上半年的3.4%,增长超5倍。不仅如此,DDoS攻击平均带宽峰值也不断突破,达到862.22Gbps,同比上涨71.97%。
对此趋势,报告分析认为原因主要有两方面,一是接入物联网的设备越来越多且安全防护措施较薄弱,导致可利用的攻击源增多;二是DDoS攻击正在产业化,使得攻击成本不断降低,规模越来越大。
在攻击时长方面,上半年,63.23%的攻击事件在半个小时以内结束,环比增长119.93%。网络层DDoS攻击事件的平均持续时长为85分钟,相比往年年的114分钟,缩短了29分钟。
作为DDoS攻击的首要目标,游戏行业在上半年遭受的攻击更加严峻,占全部DDoS攻击事件的62.08%,环比上升了300.56%。除游戏行业外,金融、视频及娱乐、传媒及资讯等行业在上半年均遭受了超过400Gbps级别的DDoS攻击。
组合型攻击成趋势 政府机构仍是Web攻击主要目标
上半年,我们共监测并拦截4.67亿次Web应用攻击,同比基本持平,整体微降5.27%。对此,报告分析认为,“广撒网”式的大范围扫描行为逐渐减少,取而代之的是由利益驱动的有目的性的非法入侵。
同时,报告观察到,单个IP发起的攻击次数、攻击类型均有所增加,这表明如今的Web攻击不再是单一的攻击行为,组合型攻击成为Web攻击发展的趋势。
上半年,政府机构依然是Web应用攻击的主要对象,占总安全事件数的26.43%,其次是传媒及资讯(23.43%)、金融(12.82%)。国家级重大活动期间往往是政府机构网站Web攻击的高峰期,今年3月全国两会期间,政府机构遭受的Web攻击数达到了上半年之最。
值得一提的是,在我国IPv6加速普及背景下,报告对PV6的安全态势首次予以关注。根据我们的监测数据,上半年,27万个IPv6攻击IP共发起1227万次攻击,平均每个IP发起攻击45次,其中超八成的攻击是恶意爬虫攻击。
API成新的攻击目标 上半年共拦截16.53亿次
随着数字化浪潮席卷各行各业,应用程序开发中API(应用程序编程接口)已经无处不在。而由于开发者对于API安全性考虑不周等原因,一系列API接口正成为新的攻击目标。
本期报告首次以专门篇幅对API流量安全情况进行分析。报告显示,上半年,我们云安全平台共监测并拦截16.53亿次针对API业务的攻击,其中,90.6%的攻击是恶意爬虫攻击。恶意爬虫能对企业开放的各类不受保护、有信息价值的API接口进行不断攻击,以达到破坏、牟利、盗取信息等目的。
而在受攻击的行业中,政府机构、交通运输的API业务成为攻击者觊觎的主要目标,在总攻击数的占比分别达到47.00%、35.84%,合计超八成。
最后,报告提到,当前业内普遍缺乏对 API 及其安全风险的态势感知,建议各大单位规范各类API接口开发,采用云防护的快速接入和性能优势,结合现网防护的业务贴合度,建立纵深分层的防护体系。
面对数智时代新挑战,企业更需重视内生安全
数智化时代,安全防护面临新的变化,遇到了新的挑战。不仅有流动的数据带来的防护挑战,还有人工智能大爆发给企业带来的生产挑战。要做好内生安全防护,才能有效的应对新的变化,新的攻击形式。未来既要实现安全技术和IT技术的融合、安全数据和IT数据的融合、安全人才和IT人才的融合,还要从关注IT转向关注业务、从关注设备转向关注人、从关注建设转向关注运营。
进入数智时代之后,数据发生了从静到动、从虚到实、从贱到贵的三大变化,数据安全也面临了数据操作行为好坏难辨、三员难防、软件供应链漏洞和后门难防的三大难题,导致网络攻防出现了易攻难守的常态化问题。
“在数智时代,数据是流动的,数据流动就会带来风险。传统的网络防护方法是以边界、终端和应用为重点,但是这些都不能有效地保护数据本身。”因此,我们建议要采用数据驱动的安全方法,即通过对数据进行分类、标签、加密等手段,实现数据的可追溯、可审计、可控制。同时,要利用大数据、人工智能等技术,对数据进行分析和挖掘,发现异常行为和攻击威胁,并及时采取响应措施。
在数智时代,数据就是贵重的资产,也是攻击的目标,数据事故就等于生产事故。因此,要从业务的视角来看待和解决数据安全问题。为此,提出了内生安全的理念和方法,既要实现安全技术和IT技术的融合、安全数据和IT数据的融合、安全人才和IT人才的融合,还要从关注IT转向关注业务、从关注设备转向关注人、从关注建设转向关注运营。
我们认为,数据流动性和隐私保护并不矛盾,只要用新的技术和方法来保护数据,就可以实现数据的价值和安全的平衡。有人提出来,说把数据去隐私化以后去交易。但是,对有些绝大多数数据的购买者来说,如果数据没有隐私的信息了,它数据就没价值了。为此,推出了一款产品叫“交易宝”,已经进入到实用的阶段,也跟全国很多数据交易所在进行合作。
“在未来数智时代里面,对数据权力最大的人不是公司的领导或者董事长,而是管理员、技术员和操作员。”我们讲道,他们既有可能成为黑客钓鱼攻击的目标,也有可能被利益所诱惑成为“内鬼”。所以,要对他们进行严格的培训和监督,并建立相应的激励和惩罚机制。此外,还要防范软件供应链上可能存在的漏洞和后门,通过对软件进行审计、测试和验证等手段,确保软件质量和安全性。
未来的十种安全技术
世界从未停止变化,只有持续地创新与探索才能更好地生存发展,在网络安全领域更是如此。当攻击者们大量利用AI技术改进攻击方法,更加轻松地挫败传统网络安全防护体系时,网络防护者们必须找到更聪明、更快、更有创造力的威胁检测和攻击响应技术,才能保护企业免受内外攻击。在此背景下,整合传统的网络安全工具,并不断应用创新的网络安全技术将是CISO应对挑战的最佳选择之一。
日前,根据对企业用户的应用调研,列举出已被证明切实有效的10种创新安全技术,或将能够帮助企业在未来的数字化发展中,应对网络攻击,消除安全漏洞和风险。
1.零信任网络访问(ZTNA)
随着云计算、虚拟化、物联网 (IoT)、BYOD概念以及远程办公的蓬勃发展,移动设备数量剧增,网络的边界正变得越来越模糊。ZTNA旨在将零信任的思想应用于实践。部署 ZTNA 后,边界保护工具的范围将超越传统技术和身份验证机制,例如代理、网络访问控制 (NAC) 和防火墙。此外,工作站和节点是否符合已建立的安全策略将受到持续监控。出色的可扩展性是 ZTNA 模型有别于传统模型的主要特征之一。Gartner认为,混合工作是推动组织采用ZTNA的强大动因,以促使ZTNA被整合到安全服务边缘(SSE)中。零信任策略只允许获得授权的应用程序有权访问,有效缩小了远程访问的攻击面。
2.扩展检测和响应(XDR)
根据Gartner的定义,XDR是一个统一的安全威胁检测与事件响应平台,无缝集成大量安全能力到一个安全运营系统,并将来自云、网、端等多源异构数据统一整合形成数据湖,从而精准检测高级威胁,以及对入侵事件进行分诊,对入侵过程进行追根溯源,实现安全能力的闭环。从上述定义看,XDR最大的特点在于,其核心产品能力是聚焦于通过一手遥测数据聚合分析进行检测和响应;同时也具备更快速的自动化响应能力,可以通过对接第三方组件,完成响应任务。因此,XDR技术能够有效满足企业在面对新型网络攻击时不断提升检测及响应能力。
3.身份威胁检测和响应(ITDR)
数字身份安全防护是一个系统化的工作,其可靠性最终取决于安全防护中的最薄弱环节。企业需要将主动端点防御、实时事件响应、零信任基础设施和域名保护等防护措施结合起来,构建更强大的新型身份管理解决方案。在Gartner发布的《2022安全运营技术成熟度曲线》报告当中,正式提出了身份威胁检测和响应(Identity Threat Detection and Response,ITDR)技术。Gartner认为ITDR可以帮助企业填补在身份威胁监测与响应领域的防护空白,不仅可以在企业现有的身份管理模式基础上实现能力增强,还可以与EDR、NDR以及XDR等威胁监测解决方案互为补充。
4.移动威胁防御(MTD)
MTD是一种预防为主的网络攻击方法,它的运作原理是移动的目标比固定的目标更难击中,因此可以通过动态或静态排列、变形、变换或混淆应用访问入口,来达到转移网络攻击的目的。此外,MTD还可以设置陷阱,捕捉威胁者的行动,以进一步防范未来的攻击。MTD技术已被证明可以有效阻止勒索软件和其他高级零日攻击,将会成为提高内存、网络、应用程序和操作系统安全性的关键技术,让主动安全防护理念成为现实。企业组织需要类似移动目标防御(MTD)这样的创新技术来改善网络安全。
5.微隔离
微隔离技术通过将网络系统或云划分为较小的隔离段来限制攻击在组织内部横向移动的能力,已被广泛认为是应对网络安全威胁的最佳实践之一。微隔离通过按身份分离工作负载来限制攻击期间的横向移动,它解决了缺乏有效隔离的工作负载允许攻击者横向移动的难题。实践证明,应用微隔离技术减少了未经授权的工作负载通信和攻击的影响范围,使其成为未来网络安全和零信任架构中的一项关键技术。
6.安全访问服务边缘(SASE)
SASE是一种创新的安全访问服务架构,旨在提供安全的网络访问、应用程序及数据保护。SASE结合了SD-WAN、云安全、网络安全等多种安全技术,能够在企业边缘提供安全、可靠、高效的网络访问服务。Gartner认为,SASE将是企业网络和业务上云和服务化后自然产生的安全架构需求,可以为企业带来了安全、高效、灵活的网络访问服务,使得企业能够快速满足业务需求,提高工作效率。Gartner预测, 到2025年至少有60%的企业组织会将SASE模型用于实现用户、分支机构的远程访问,而在2020年,这一比例还不足10%。
7.安全服务边缘(SSE)
SSE被认为是没有“A”的SASE方案,主要为了确保SaaS、Web和私有应用程序的安全,SSE将SASE方案中的安全Web网关(SWG)、云访问安全代理(CASB)和ZTNA整合到单一云平台中。SSE对于部分中小型企业可能更加重要,因为不是所有的安全厂商都能提供完整的SASE服务,而很多中小型企业也不希望购买集五大技术于一体的完整SASE套件。
8.端点检测和响应(EDR)
EDR的产生背景主要是因为网络安全威胁的不断演变和升级,使得终端设备成为企业网络安全的薄弱环节,是攻击者的主要攻击目标。传统的安全防御措施通常无法发现这些攻击,因为攻击者使用的技术和工具越来越复杂,可以绕过传统的安全防御措施。EDR技术的产生就是为了解决这个问题,它利用先进的威胁情报、机器学习和行为分析技术来识别并响应终端设备上的安全威胁,提供了更全面、更灵敏和更智能的安全防御解决方案。EDR技术的应用使企业可以更加全面地了解终端设备的状况,识别并响应各种复杂的网络威胁,提高企业网络安全的水平。
9.端点保护平台(EPP)
EPP是EDR技术的有效补充,更加侧重于对终端系统的管理和控制。当企业在改造技术堆栈以提高集成度、提升扩展性时,EPP被认为是不可或缺的工具,它已向CISO们证明了其应用的价值。EPP能有效地应对新兴威胁,包括新的安全漏洞。一家金融服务公司的CISO表示,其所用的EPP平台采用了先进的人工智能和机器学习,能够在攻击行为渗入到企业网络之前就阻止入侵。随着大数据分析技术的不断完善,EPP正变得越来越受数据驱动,可以为企业组织提供更好的端点可见性和安全控制性。
10.统一端点安全(UES)
UES能够将端点保护平台(EPP)、威胁检测与响应(EDR)、移动威胁防御(MTD)功能单一的控制台整合到一个统一的平台下,从而提供更好的安全概况和更简单的管理。通过将孤立的端点安全技术整合到单一平台中,UES技术简化了保护每个端点设备(包括PC移动设备和服务器)的工作。一些受访的CISO们表示,UES已经成为他们首选的端点安全平台,特别是在企业并购活动中。
防火墙是一种网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受来自另一个网络的攻击和入侵。这种“隔离”不是一刀切,是有控制地隔离,允许合法流量通过防火墙,禁止非法流量通过防火墙。
如图1.1所示,防火墙位于企业Internet出口保护内网安全。在防火墙上可以指定规则,允许内网10.1.1.0/24网段的PC访问Internet,禁止Internet用户访问IP地址为192.168.1.2的内网主机。
1.1
由上文可见,防火墙与路由器、交换机是有区别的。路由器用来连接不同的网络,通过路由协议保证互联互通,确保将报文转发到目的地;交换机通常用来组建局域网,作为局域网通信的重要枢纽,通过二层/三层交换快速转发报文;而防火墙主要部署在网络边界,对进出网络的访问行为进行控制,安全防护是其核心特性。路由器与交换机的本质是转发,防火墙的本质是控制。
防火墙控制网络流量的实现主要依托于安全区域和安全策略,下文详细介绍。
1.2 接口与安全区域
前文提到防火墙用于隔离不同安全级别的网络,那么防火墙如何识别不同网络呢?答案就是安全区域(Security Zone)。通过将防火墙各接口划分到不同的安全区域,从而将接口连接的网络划分为不同的安全级别。防火墙上的接口必须加入安全区域(部分机型的独立管理口除外)才能处理流量。
安全区域的设计理念可以减少网络攻击面,一旦划分安全区域,流量就无法在安全区域之间流动,除非管理员指定了合法的访问规则。如果网络被入侵,攻击者也只能访问同一个安全区域内的资源,这就把损失控制在一个比较小的范围内。因此建议通过安全区域为网络精细化分区。
接口加入安全区域代表接口所连接的网络加入安全区域,而不是指接口本身。接口、网络和安全区域的关系如图1.2所示。
防火墙的安全区域按照安全级别的不同从1到100划分安全级别,数字越大表示安全级别越高。防火墙缺省存在trust、dmz、untrust和local四个安全区域,管理员还可以自定义安全区域实现更细粒度的控制。例如,一个企业按图1-3划分防火墙的安全区域,内网接口加入trust安全区域,外网接口加入untrust安全区域,服务器区接口加入dmz安全区域,另外为访客区自定义名称为guest的安全区域。
一个接口只能加入到一个安全区域,一个安全区域下可以加入多个接口。
上图中有一个特殊的安全区域local,安全级别最高为100。local代表防火墙本身,local区域中不能添加任何接口,但防火墙上所有接口本身都隐含属于local区域。凡是由防火墙主动发出的报文均可认为是从local安全区域发出,凡是接收方是防火墙的报文(非转发报文)均可认为是由local安全区域接收。
另外除了物理接口,防火墙还支持逻辑接口,如子接口、VLANIF、Tunnel接口等,这些逻辑接口在使用时也需要加入安全区域。
1.3 安全策略
前文提到防火墙通过规则控制流量,这个规则在防火墙上被称为“安全策略”。安全策略是防火墙产品的一个基本概念和核心功能,防火墙通过安全策略来提供安全管控能力。
如图1-4所示,安全策略由匹配条件、动作和内容安全配置文件组成,针对允许通过的流量可以进一步做反病毒、入侵防御等内容安全检测。
1.4 组网以及web界面
所有匹配条件在一条安全策略中都是可选配置;但是一旦配置了,就必须全部符合才认为匹配,即这些匹配条件之间是“与”的关系。一个匹配条件中如果配置了多个值,多个值之间是“或”的关系,只要流量匹配了其中任意一个值,就认为匹配了这个条件。
一条安全策略中的匹配条件越具体,其所描述的流量越精确。你可以只使用五元组(源/目的IP地址、端口、协议)作为匹配条件,也可以利用防火墙的应用识别、用户识别能力,更精确、更方便地配置安全策略。
穿墙安全策略与本地安全策略
穿过防火墙的流量、防火墙发出的流量、防火墙接收的流量均受安全策略控制。如图1-5所示,内网PC既需要Telnet登录防火墙管理设备,又要通过防火墙访问Internet。此时需要为这两种流量分别配置安全策略。
穿墙安全策略与本地安全策略
尤其讲下本地安全策略,也就是与local域相关相关的安全策略。以上例子中,位于trust域的PC登录防火墙,配置trust访问local的安全策略;反之如果防火墙主动访问其他安全区域的对象,例如防火墙向日志服务器上报日志、防火墙连接安全中心升级特征库等,需要配置local到其他安全区域的安全策略。记住一点防火墙本身是local安全区域,接口加入的安全区域代表接口连接的网络属于此安全区域,这样就可以分清防火墙本身和外界网络的域间关系了。
缺省安全策略与安全策略列表
防火墙存在一条缺省安全策略default,默认禁止所有的域间流量。缺省策略永远位于策略列表的最底端,且不可删除。
用户创建的安全策略,按照创建顺序从上往下排列,新创建的安全策略默认位于策略列表底部,缺省策略之前。防火墙接收到流量之后,按照安全策略列表从上向下依次匹配。一旦某一条安全策略匹配成功,则停止匹配,并按照该安全策略指定的动作处理流量。如果所有手工创建的安全策略都未匹配,则按照缺省策略处理。
由此可见,安全策略列表的顺序是影响策略是否按预期匹配的关键,新建安全策略后往往需要手动调整顺序。
企业的一台服务器地址为10.1.1.1,允许IP网段为10.2.1.0/24的办公区访问此服务器,配置了安全策略policy1。运行一段时间后,又要求禁止两台临时办公PC(10.2.1.1、10.2.1.2)访问服务器。
此时新配置的安全区策略policy2位于policy1的下方。因为policy1的地址范围覆盖了policy2的地址范围,policy2永远无法被匹配。
需要手动调整policy2到policy1的上方,调整后的安全策略如下:
因此,配置安全策略时,注意先精确后宽泛。如果新增安全策略,注意和已有安全策略的顺序,如果不符合预期需要调整。
防火墙的效果,与工程师防护经验有很大关系。同品牌型号的防火墙,不同工程师操作,产生的防护效果都是天壤之别的。好的防护规则策略,都是建立在经验丰富为基础的。
