qq3250845

ChatGPT陷数据泄露风波，网站如何强化敏感数据保护



这两天，制霸IT圈的“话题之王”ChatGPT，被曝出了数据泄露事故：

多名ChatGPT用户反馈可以查看到其他用户的聊天记录，甚至其他用户的姓名、电子邮件地址、支付地址、信用卡号后四位和信用卡到期时间等敏感信息。

为此OpenAI 紧急下线ChatGPT进行修复，并发布公告致歉：由于Redis的开源库中的漏洞，导致缓存数据被错误地响应给了部分用户。

此事再度引爆了舆论对数据安全的关注，甚至引发了对AIGC这种生产模式安全性的探讨。而我们今天想讨论的是，对于这类敏感数据泄露事故，除了事后修复，是否还有别的缓解、预防思路？

01

数据传输的“七寸”

我们进一步分析此次ChatGPT的事故原因，会发现，其本质是API越权漏洞，导致用户A在超出其权限范围的情况下访问到了用户B的数据。

另外，在聊天过程中返回用户姓名、邮件地址、支付地址、信用卡到期时间等明文信息，也存在数据过度暴露的嫌疑。

事实上，在OWASP组织总结出的API十大安全风险中，排在前三位的就是授权失效、认证失效、过度的数据暴露。授权失效、认证失效都能够造成敏感数据被越权访问。

近几年来，由类似的API安全漏洞引起的数据泄露事故还有很多：

2022年6月，持续集成开发工具Travis CI被曝其API允许任何人访问明文历史日志，导致超过 7.7 亿条用户日志数据泄露，内含73000份令牌、访问密钥和其它云服务凭据。

2021年6月，职场社交巨头LinkedIn超7亿用户数据在暗网被公开售卖，数据为黑客利用其API漏洞所得。

2019年12月, Facebook 因 API安全漏洞,使黑客在访问受限的情况下也能访问用户的 ID 和电话号码,从而导致超过 2.67 亿 Facebook 用户的隐私数据被非法售卖。

正所谓，打蛇打七寸。

API在网站中扮演了连接前端页面和后端数据库的桥梁作用，如果抓住API这个关键环节，加强权限控制和对敏感数据暴露面的管理，就能很大程度补救数据安全漏洞，预防此类风险。

02

以API为抓手

将敏感数据锁在“笼子”里

针对API与敏感数据安全，我们已有成熟的解决方案。接下来，就基于API安全与管理产品的专业能力，展示如何以API为抓手，将敏感数据锁在“笼子”里。

确保API调用方法可信、身份可信、数据可信

在加强API权限控制方面，我们从管理和防御两方面入手。

在权限管理上，我们支持对每一个API接口全生命周期的隐私状态、调用对象、授权范围、调用额度进行灵活管控，保障权限最小化，防止非授权和超额调用。

在实时防御上，我们针对API业务，在常规Web安全策略的基础上，叠加身份鉴权、多重合规性检测、请求方法限制、访问控制等技术，进一步识别、拦截请求流量中的恶意参数及可疑用户，主动处置高风险事件，从而确保API调用的方法可信、身份可信、数据可信。

智能检测敏感数据暴露，巩固最后一道防线

我们通过敏感数据识别引擎，能够实时分析、判别请求数据与响应数据中流转的敏感参数信息，智能识别包括身份证、手机号、银行卡号在内的敏感数据。

哪些API正暴露着敏感数据？暴露了哪一类敏感数据？其敏感等级分布如何？通过对这些敏感数据暴露面的清点与详尽的态势分析，协助网站在损害发生前及时进行敏感数据脱敏，避免不必要的暴露。

qq3250845

ChatGPT陷数据泄露风波，网站如何强化敏感数据保护



这两天，制霸IT圈的“话题之王”ChatGPT，被曝出了数据泄露事故：

多名ChatGPT用户反馈可以查看到其他用户的聊天记录，甚至其他用户的姓名、电子邮件地址、支付地址、信用卡号后四位和信用卡到期时间等敏感信息。

为此OpenAI 紧急下线ChatGPT进行修复，并发布公告致歉：由于Redis的开源库中的漏洞，导致缓存数据被错误地响应给了部分用户。

此事再度引爆了舆论对数据安全的关注，甚至引发了对AIGC这种生产模式安全性的探讨。而我们今天想讨论的是，对于这类敏感数据泄露事故，除了事后修复，是否还有别的缓解、预防思路？

01

数据传输的“七寸”

我们进一步分析此次ChatGPT的事故原因，会发现，其本质是API越权漏洞，导致用户A在超出其权限范围的情况下访问到了用户B的数据。

另外，在聊天过程中返回用户姓名、邮件地址、支付地址、信用卡到期时间等明文信息，也存在数据过度暴露的嫌疑。

事实上，在OWASP组织总结出的API十大安全风险中，排在前三位的就是授权失效、认证失效、过度的数据暴露。授权失效、认证失效都能够造成敏感数据被越权访问。

近几年来，由类似的API安全漏洞引起的数据泄露事故还有很多：

2022年6月，持续集成开发工具Travis CI被曝其API允许任何人访问明文历史日志，导致超过 7.7 亿条用户日志数据泄露，内含73000份令牌、访问密钥和其它云服务凭据。

2021年6月，职场社交巨头LinkedIn超7亿用户数据在暗网被公开售卖，数据为黑客利用其API漏洞所得。

2019年12月, Facebook 因 API安全漏洞,使黑客在访问受限的情况下也能访问用户的 ID 和电话号码,从而导致超过 2.67 亿 Facebook 用户的隐私数据被非法售卖。

正所谓，打蛇打七寸。

API在网站中扮演了连接前端页面和后端数据库的桥梁作用，如果抓住API这个关键环节，加强权限控制和对敏感数据暴露面的管理，就能很大程度补救数据安全漏洞，预防此类风险。

02

以API为抓手

将敏感数据锁在“笼子”里

针对API与敏感数据安全，我们已有成熟的解决方案。接下来，就基于API安全与管理产品的专业能力，展示如何以API为抓手，将敏感数据锁在“笼子”里。

确保API调用方法可信、身份可信、数据可信

在加强API权限控制方面，我们从管理和防御两方面入手。

在权限管理上，我们支持对每一个API接口全生命周期的隐私状态、调用对象、授权范围、调用额度进行灵活管控，保障权限最小化，防止非授权和超额调用。

在实时防御上，我们针对API业务，在常规Web安全策略的基础上，叠加身份鉴权、多重合规性检测、请求方法限制、访问控制等技术，进一步识别、拦截请求流量中的恶意参数及可疑用户，主动处置高风险事件，从而确保API调用的方法可信、身份可信、数据可信。

智能检测敏感数据暴露，巩固最后一道防线

我们通过敏感数据识别引擎，能够实时分析、判别请求数据与响应数据中流转的敏感参数信息，智能识别包括身份证、手机号、银行卡号在内的敏感数据。

哪些API正暴露着敏感数据？暴露了哪一类敏感数据？其敏感等级分布如何？通过对这些敏感数据暴露面的清点与详尽的态势分析，协助网站在损害发生前及时进行敏感数据脱敏，避免不必要的暴露。

qq3250845

重保实战 | WAAP一体化防护，助机关单位打赢关键战




攻击流量隐藏在巨大的日常访问流量中，伺机对重要业务、民生数据、页面内容发起破坏，一旦发生安全事故，对国家形象和社会舆论能产生巨大影响。

尤其在重大节会等攻击高发的时间点，保障业务和数据安全不容有失，是党政机关的重中之重。

01

客户名片

某机关单位作为与人民群众联系紧密的职能部门，先后推出面向全国公众的官网门户、公众号、小程序、手机APP等服务平台，包括多个业务系统，提供政务公开、线上申报等公共服务。

该单位一直以带头践行“数字政府”建设为己任，线上业务多元化发展，积极拥抱技术创新，并且极为重视网络安全建设。

02

客户痛点

在去年下半年重要会议期间，防护形势空前严峻。基于过往的合作基础，该单位找到我们沟通安全重保需求，希望借助我们团队及边缘云防护，解决以下防护难点，将其安全体系提升至最高级别。

1

该单位下辖多个直属机构，安全建设相对独立，靠该单位自身团队难以在重要时期全面调整安全策略，希望通过强化云端防线，为网站群快速提升安全水位。

2

该单位拥有较多API接口，且资产列表不全，有招致新型威胁的风险。

3

会议期间站点业务量大、更新频率高，业务系统安全情势更容易变化。

4

对安全事故“零容忍”，要求最高等级的安全服务，会议期间不间断值守，定时汇报，提升处置效率，完善应急响应。

03

我们方案

针对该单位的诉求，我们在会议召开半个月前，就启动重保项目，沟通确定重保方案，并集结专属保障团队，梳理工作流程。

防护体系上，我们针对其希望通过云端防护提升防御等级，并解决API安全隐患的诉求，为该单位直属系统内各域名全面开启了基于云的WAAP一体化安全托管。

准备期

1

梳理API资产，清除安全隐患

对该单位各域名下的API资产进行了全面探测，发现失联API 200+，部分接口存在缺乏鉴权措施、参数规范不严谨等潜在风险，因此为其开启API专项防护。

2

升级策略，上调防御强度

基于WAAP一体化托管方案，对该单位直属系统内网站、系统的Web安全策略进行全面检查和升级，达到最高防护等级。

3

专属接口，共享情报

对接我们协同情报平台，同步全网威胁情报、热点漏洞情报，帮助安全运营先发制人。

重保期

1

WAAP纵深防线，云端自动防护

WAAP一体化安全防护体系，包含应对基础设施层DDoS攻击防护、Web应用防火墙，以及应对业务和数据安全的爬虫管理和API防护，形成覆盖物理环境、网络环境、内容及数据安全维度的纵深防御，实时拦截流量攻击、扫描、入侵行为。

2

不间断值守保障

专属远程及驻场保障人员7×24H全程跟踪安全事件及漏洞情况，对疑似攻击告警进行研判和处置，小时级汇报安全数据情况，每日总结日报；安全专家每日巡检，及时调优防护策略。

总结期

输出专业的安全服务报告，复盘准备工作及防护期间的安全情况，并提供改进方向。

04

方案成效

本次重保期间，我们在云端日均为该单位识别风险事件1000+，拦截API攻击200万+，拦截恶意接口查询平均每秒30次，继续以“零事故”成绩守护该单位线上业务安全稳定，获得了高度认可。

qq3250845

业界权威报告！《SD-WAN 2.0技术与产业发展白皮书》正式发布!




近日，我们参与编制的《SD-WAN技术与产业发展白皮书》（以下简称“《白皮书》”）由中国通信标准化协会算网融合产业及标准推进委员会、中国信通院重磅发布。

作为SD-WAN发展研究的最新权威成果，全面呈现SD-WAN 2.0发展面貌，旨在为产业各方提供深度观察和应用实践的重要参考。提供了理论、技术及实践支持，表明我们在SD-WAN领域正凭借领先的技术实力与影响力，为行业的标准化建设贡献价值。

01 SD-WAN进入2.0 全面融合云网边端算安全

随着云计算、边缘计算等技术加速部署，云网融合/算网融合需求在各行业上云进程中日益凸显。加上疫情后移动办公规模爆发式增长，对企业网络端到端的安全管理提出了更高要求，局限于Overlay网络互联的初级SD-WAN已经无法适配新形势下的需求，融合内生安全、多云互联、算力随享、一体服务等多种特征的SD-WAN 2.0应运而生。

02 SASE为骨 我们SD-WAN领跑2.0时代

作为全球领先的云分发及零信任安全公司，我们重点参与了在SASE、智能运维等SD-WAN 2.0重点技术能力，以及在电信、零售等重点行业实践的内容编写。

这表明我们在SD-WAN及SASE、智能运维领域已具备充分的技术实力与口碑，并得到了权威机构的一致认可。

SD-WAN 2.0的关键技术能力中，SASE（即安全访问边缘，Secure Access Service Edge）作为将广域网和网络安全方案统一集成到云交付的服务框架，正是实现2.0阶段SD-WAN与安全深度融合的重要途径。

我们将SASE能力融入SD-WAN，依托于全球智能高速网络，我们SD-WAN将组网和安全功能整合，使用零信任架构将云数据中心及移动用户集成到安全网络中，全套安全服务持续保护访问流量，可实现全链路立体安全防护。

在云网融合方面，我们与运营商强强合作搭建的全球骨干网，支持与全球主流云服务商的灵活连接，拥有POP点300+，覆盖全球160+大中城市，支持多地域之间的高质量连接组网。在我们自研私有协议等传输优化技术的加持下，连接组网传输速度平均可提升100%-300%。

在智能运维方面，我们SD-WAN通过对全网实时采集的多维度海量日志进行大数据分析，已实现对全网业务运行状态的可视化实时监控、故障提前预警、网络威胁自动识别等能力，有效帮助企业运维人员简化工作，提高效率。

在SD-WAN 2.0阶段下，我们SD-WAN已稳定服务于电信、零售、金融、医疗、制造等多行业，发展出成熟的垂直行业解决方案，并率先通过了可信SD-WAN解决方案（服务型）认证。

接下来，我们还将与产业上下游加强协同创新，持续推进SD-WAN 2.0标准建设进程，促进SD-WAN产业规范、有序发展，帮助企业充分利用云网融合的技术红利，加速数字化转型。

qq3250845

攻防对战 | 面对0day威胁，真就“无解”吗？



在网络攻防对抗中，看不见的危险，才是最致命的危险。

比如只掌握在少数人手里的0day漏洞，就是最有效的网站攻击手段之一。

攻击者利用操作系统、中间件、应用、安全设备等软硬件的0day漏洞，能够无视现有基于规则的防护技术，长驱直入获取服务器权限。有数据显示，80%的成功入侵都与0day漏洞有直接或间接关系。

理论上，每个应用组件都难免存在漏洞。而Web应用及其相关组件由于其开放性，互联网用户都可以进行访问或攻击，因此更为攻击者所“青睐”，成为0day威胁的重灾区。近半年爆出的Apache Log4j2漏洞、Spring框架远程代码执行漏洞等“大杀器”，都来自于Web中间件。

如同一种新型烈性传染病，在病原体不明、没有疫苗也没有特效药的“窗口期”，最令人束手无策、闻风丧胆。0day攻击，打的就是时间差和信息差——趁虚而入，唯快不破。

那么0day威胁除了等待官方修复漏洞，真就“无解”吗？

当然不是。抓住发起漏洞攻击的关键环节，布下纵深防御“守株待兔”，层层阻击，也可以对0day 攻击实现实时主动防御。

01 釜底抽薪，隐藏网站结构

通过我们全站隔离平台，隐藏网站源代码，网站框架、活动脚本、API等全部内容均不可见，使攻击者难以直达漏洞组件进行利用，迫使攻击者要先通过自动化扫描工具探查网站系统中是否存在可利用的漏洞。

02 回归本质，阻截漏洞探测

在全站结构不可见的情况下，攻击者需要通过自动化扫描工具，摸清网站的设备和系统使用情况，如端口状态、系统版本信息等，方能判定是否存在可利用的漏洞。也就是说，漏洞利用方式千千万，但第一步都要从扫描探测开始。

我们基于攻击行为的发生途径，以BotGuard爬虫管理技术，AI建模智能识别bots自动化扫描行为，实现在无规则升级的情况下对0day漏洞探测行为进行精准阻断，主动将攻击扼杀在摇篮里。

03 应急响应，小时级升级安全规则

0day漏洞之所以高危，就是因为没有“对症”的安全规则。因此，Web应用防火墙（WAF）能否抢在攻击到来之前上线有效的防护规则，就是重要的胜负手。

我们实验室针对0day漏洞构建了全网7*24小时漏洞情报监测+主动挖洞机制，确保第一时间发现漏洞。全天候驻守的攻防专家依据漏洞特征，以小时级的时效上线防护规则，毫秒级全网下发，自动防御，无需人工更新规则库。

我们云WAF还支持智能规则托管，自动分析企业误报情况，一旦发现防护规则与企业业务不匹配的情况，及时由攻防专家介入调整，最大程度上实现业务和安全防护之间的平衡。

04 终极防线，拦截主机入侵

0day漏洞攻击最终的目标是获取目标服务器权限，从而进行数据窃取、内网渗透、长期控制等不法行为以牟取利益。

因此，在上述3层作用于流量侧的防线之后，我们在主机侧还筑有一道最终防线，对入侵行为进行多锚点监测拦截，进一步阻止攻击者利用0day漏洞获取服务器权限。

你有最快的刀，我有最厚的盾。

0day攻击并非无解，我们从流量层到主机层的层层纵深防御，从封堵漏洞利用方式的角度+主动拦截入侵行为的角度，为我们平台千余家客户成功粉碎大多数0day攻击。

当然，对0day攻击的防御也不可能“毕其功于一役”。近日美国网络安全审查委员会发布首份报告指出，去年年底曝光的Log4j漏洞将在未来十年甚至更长时间持续引发风险。对于已有官方补丁的Nday漏洞，我们实验室也在持续监测其新的利用方式，完善防护策略。

qq3250845

专注API安全 | 如何破解API资产维护困境




网络数据安全立法又有新进展：《网络数据安全管理条例》被列入国务院2022年度立法计划，这意味着关于数据安全管理的配套细则有望在年内落地。

作为数字经济和信息社会的核心资源，数据对国家治理、经济运行机制、社会生活方式等产生着深刻影响。数据在流动、分享、加工和处理的过程中创造价值，但其前提是保障数据安全无虞，因为庞大的数据足以勾勒出数以亿计的人物画像。而支撑这些庞大数据高速传输的重要通道，便是API。

因此，API接口安全将很大程度决定了互联网数据的安全。

对于如何保障API与敏感数据安全，我们实验室资深运营结合我们API安全管理实践，撰文《敏感数据保护的基石：API资产发现与管理》：

01 API资产不明引发安全困境

据《Salt Labs State of API Security Report, Q1 2022》报告，在受访者最关心的API安全问题中，僵尸API以43%占比高居第一；远超过以22%的占比位居第二的帐户接管/滥用；还有83%的受访者对API 清单是否完整没有信心。

为何企业对僵尸API及API清单完整度有如此大的担忧？安全隐患往往藏于“未知”，未知的僵尸API、未知的影子API、未知的敏感数据暴露等，根源都在于企业对API资产全貌的未知。

安全的管理与防护始于“已知”和“可见”，人们难以掌控那些被遗忘的、看不见摸不着的资产安全状况。然而正是这些被人遗忘、年久失修的API，因其往往潜藏着未被修复的漏洞，备受攻击者青睐。

尽管各类受访数据表明，僵尸API已日渐得到企业的重视，但仍有一处容易被忽略的巨大风险——僵尸参数。不同于那些被彻底遗忘的僵尸API，这些僵尸参数有可能还存在于当前仍在服务且持续维护的API接口中。

常见的僵尸参数，例如在开发测试周期内设置的调试参数、系统属性参数，它们在接口正式上线后未对外暴露给用户，但仍能被暗处的攻击者恶意调用。

攻击者基于僵尸参数，能够利用批量分配等漏洞获得越权的响应。一旦这些未知的API脆弱点被恶意利用，背后的核心业务数据、平台用户数据等海量敏感数据在黑客面前就宛如“裸奔”了，再无秘密可言。

02 API资产的可知、可视、可管

如何更好地管理API全貌资产，而非仅是管理“已知”资产？传统的API管理方案往往是通过API网关进行资产管理与更新，业务开发人员在开发过程中需及时将新开发的API注册在API网关上，并在API内容发生改变时同步更新API定义内容。在这种资产维护方式下，资产清单的准确性与有效性完全依赖于人工管理。

随着企业业务快速扩张，开发人员在不可避免地需要交付更多功能、加快发布速度以适应千变万化的市场，不断上线大量新版本API。如此快速的迭代对API资产维护提出了很高的要求，一旦人工维护出现纰漏，僵尸API、僵尸参数等便会不断积聚，造成恶性循环。

另需注意的一点是，关注僵尸API、影子API等API资产管理漏洞的往往是企业的安全人员，而API网关通常由业务部门维护。也就是说，安全人员对API风险的防控工作，是以业务人员的API资产维护工作为基础的，这之间就存在跨部门协作的壁垒问题。

那么，如何解决上述的API资产清单人工维护成本高且准确性难以保障的问题？如何打破安全部门与业务部门在API资产管理协作上的壁垒？面对这两大问题，传统的API网关管理模式已不再有效，需要引入新的管理模式——API资产发现，实现对全貌API资产的自动盘点与分析。

03 我们API资产发现应用实践

为了实现API的安全应用，企业组织需要进行全面的API资产发现，从API资产盘点，到API路径折叠与规范化，再到进一步的敏感数据暴露面清点。基于以上设计思路，我们在API防护产品上进行应用实践，已可较好实现API资产的可知、可视、可管。

全自动的资产盘点

根据我们预定义的API流量请求特征，结合机器学习的API流量基线，持续性地捕获流量中的API资源。基于流量数据分析，无需改变用户现有部署架构，即可实时盘点流量中的API资产，全自动梳理API列表资产、API参数资产、API调用方法等多维度API资产清单。

例如，区别于普通URL资源，API在数据传输格式、资源/操作定义等方面具有其鲜明的特性。如REST API、SOAP API、GraphQL API等不同类型的API均有不同的API架构风格，这些特征被一一提炼，在流量流经识别引擎时，即可快速识别、捕获API列表资产。

这些API列表资产可能包含着现有API网关/本地API文档维护着的API列表，也可能包含着被企业遗忘或停用的僵尸API。通过对全量API列表资产进行进一步分析，描绘其请求趋势、响应状态、被调用方法等接口活跃状态，即可令API列表资产可视、可知。

除了API列表资产外，清点参数资产同样重要。针对捕获到的API列表清单，我们在API安全管理方面，通过建立正常用户数据传输基线，识别API调用需携带的参数名称、参数位置、参数类型、是否为必带参数等，甚至提炼请求Body的数据结构，从而为企业充分清点全量API列表资产中正被使用的参数资产，使僵尸参数或是攻击伪造的恶意参数无处遁形。

API路径折叠与规范化

API 资产中，存在众多类似“api/test/111”与“api/test/112”这样路径高度重合的API端点。进一步观测这些近似的API端点，会发现它们往往也具有相同的用途。这些API端点往往仅有固定位置的路径参数不同，而路径参数的变量多达成百上千。

这类路径、用途高度重合的API端点若全盘列出，可能会造成API资产列表过于庞大的问题。充斥着这些冗余数据的海量列表给管理增加了难度，甚至难以完成人工确认。

我们API资产发现过程，会持续分析这类高重合度的API端点，将这些端点在API资产列表中进行折叠，并将路径中的变量规范为路径参数，以进一步联动后续防护模块进行参数合规检测。

敏感数据暴露面清点

各类敏感数据在接口传输过程中飞速流转，有些敏感数据是必要传输内容，但有部分敏感数据因接口的过度暴露而遭到不必要的泄露。敏感数据暴露面的清点可有助发现此现象。

敏感数据识别引擎实时分析、判别请求数据与响应数据中流转的敏感参数信息，智能识别身份证、手机号、银行卡号等敏感数据，分析与统计全盘API敏感数据态势。

哪些API正暴露着敏感数据？暴露了哪一类敏感数据？其敏感等级分布如何？对这些敏感数据暴露面的清点与详尽的态势分析，能够帮助企业摆脱敏感数据“灯下黑”的困境。

综上所述，从全自动的API资产盘点，到API路径折叠与规范化再到进一步的敏感数据暴露面清点——我们基于以上设计思路，在API防护产品上进行应用实践，实现了完整API资产的可知、可视、可管。

qq3250845

攻防对战 | 4+2+2进阶防御


随着我国对网络安全的重视的不断提升，尤其《关键信息基础设施安全保护条例》正式实施之后，定期组织应急演练已成为关键信息基础设施单位应当履行的义务。

在网络安全攻防对战中，攻击方的组织化程度、攻击力度已越来越贴近实际情况，攻击手段呈现APT化，利用社工手段和软件供应链攻击也成为趋势。那么，防守方如何以攻防对战为契机，完善自身防守维度，提升安全应急响应能力？

我们安全基于强大的纵深安全能力、大数据威胁情报与多年攻防经验积累，升级了“4+2+2大型网络攻防对战进阶防御阵型”，助力各类企事业单位一键拓展防护面，保障万无一失。

“4”重护盾，云端主动防御

速效固防之选

全网实时威胁情报感知，先发制人

全平台态势感知，基于大数据样本解析攻击IP、热点漏洞等攻防对战专项情报，单点攻击，全网可知。多渠道共享情报、实时预警，助力防守方透视战局，预先封堵攻击IP与入侵路线。

1 深厚策略积累，高效猎杀

我们云WAF及主机入侵检测HIDS，内含根据历年攻击特征、攻击队偏好、常见威胁点梳理定制的专项规则库，一键开启，即可复用我们多年防守经验，提升防护效率。

2 阻断扫描行为，拦截90%以上攻击

攻击队通常会采用自动化扫描工具，找到网站安全防护较为薄弱的目标，再做进一步人工渗透。我们Bot Guard可精准识别并拒绝自动化扫描工具的访问，将攻击扼杀在摇篮里。

3 攻击IP批量封禁，以一敌万

针对大批量扫描的“饱和式攻击” ，我们云WAF支持千万级IP封禁策略配置，分钟级全局下发，消耗攻击方资源，提升攻击成本。

“2”重隐身，隔离内外网威胁

出奇制胜之选

1 零信任阻断内网渗透，免疫VPN 0day

通过ScrLink实现应用隐身，对用户接入内网后的访问行为进行持续验证，动态调整权限，阻止攻击队通过社工手段利用内部员工账号进行渗透攻击。

2 隐藏网站暴露面，隔绝安全漏洞

通过我们全站隔离平台，隐藏网站源码、JS、API、开发框架；对URL进行加密，只响应“自定义的私有协议流量”，其它流量一概隔离，得不到任何响应数据，将门户网站安全级别提升至最高。

qq3250845

网络攻击防不住 游戏怎么玩得爽


伴随游戏产业迅速发展，越来越多的厂商参与其中，市场愈加繁荣。根据第三方市场研究机构Newzoo预测：今年全球游戏市场预计将产生超2000亿美元的收入，年增长9.6%。游戏行业强大的吸金能力也使得行业竞争与网络安全问题凸显。我们平台数据显示，上半年针对游戏行业的攻击总数3158+亿次，我们平台日均为游戏行业抵御超17.45亿次攻击

游戏行业成为DDoS攻击的最大受害者

游戏行业始终都是DDoS攻击的主要目标，上半年我们平台上针对游戏行业的DDoS攻击占比高达62.08%，游戏行业DDoS攻击数量与往年下半年相比上升300.56%。

针对游戏行业的DDoS攻击更持久

从全网数据看，攻击时长超60分钟以上的DDoS攻击占比为26.06%，而游戏行业的这一占比达到了36.64%。相较其他行业而言，向游戏行业发起的DDoS攻击明显时间更长。我们甚至记录了针对个别游戏客户长达 145天的持续性攻击。

游戏行业大流量攻击成常态

对游戏行业的DDoS攻击峰值分析后我们发现，针对该行业的DDoS攻击明显更猛烈，大流量攻击占比较其他行业都高：200Gbps以上攻击占比为18.49%，而全网200Gbps以上的DDoS攻击占比仅为0.57%。游戏行业攻击峰值中位数达671.36Gbps，超600Gbps的DDoS攻击在游戏行业已是常态，攻击峰值在今年上半年达到了982.47Gbps。

伴随各种反射放大攻击模式的发明，游戏行业受攻击流量也越来越大。鉴于以往经历，游戏行业的安全意识较其他行业更强，大多会采取必要的DDoS攻击清洗措施。而攻击者往往会发起更大的攻击量以达到快速瘫痪其业务的目的。

DDoS攻击时间与玩家活跃时间强关联

以天和周为单位来看DDoS攻击特征，DDoS攻击日活跃点集中在20:00-24:00期间，周活跃点集中在周五至周日，时间节点大致与玩家在线高峰节点吻合。由DDoS攻击造成的游戏掉线、卡顿、无法登录等问题对游戏业务伤害极大，业务高峰期发起的攻击最令游戏厂商忌惮，也更能达到非法牟利的目的。

SYN Flood是游戏行业DDoS攻击最普遍的手法

上半年，针对游戏行业的网络层DDoS攻击中SYN Flood最多，占比83.86%；其次是UDP_Flood、ACK_Flood、ICMP_Flood等。大量的SYN攻击请求使得服务器上存在大量的TCP半连接，服务器的资源会被这些半连接耗尽而无法响应正常的请求。SYN Flood的源IP往往是伪造的，一是能隐藏真实攻击来源，二是防止受害者响应的包回到真实肉鸡，对攻击者产生不必要的消耗。这类攻击对攻击者而言成本最低，在无防护状态下可造成的损失巨大，因此常为攻击者所使用。

游戏账号安全需警惕

由于玩家游戏账号内的装备、代币等资产在黑市上有着较高的价值，因此针对游戏账号的攻击如Web攻击、撞库等日益猖獗。我们平台数据显示，针对游戏账号的攻击月均达到近2000万次。与DDoS攻击不同，针对游戏账号的攻击是消耗游戏生命的“慢性毒药”，会影响游戏平台的口碑和存续。

游戏行业Web攻击激增

我们平台数据显示，上半年针对游戏行业的Web攻击次数较往年下半年上升339.18%，游戏行业需警惕日益增长的Web攻击。

游戏行业的Web攻击类型中，我们发现主要的攻击类型分别为SQL注入、非法下载与XSS跨站，占比达87.99%。攻击者通过这些攻击手段，旨在获取敏感数据库文件，达到盗取用户账号的目的。

近九成的Bot攻击用于撞库

分析游戏行业的Bot攻击目的，我们发现86.23%的Bot攻击被用于撞库场景，近年来各行业泄露的数据广泛流通，黑灰产已经掌握了丰富的社工库，并利用该库对游戏发起撞库，攻击成功后进一步对游戏账号内的资产窃取。

游戏行业网络安全攻防战仍不断升级

针对游戏行业的各类攻击无论从规模、手法和效率上一直都是黑产届的“风向标”，黑客攻击的目的性和破坏性极强。目前，针对游戏行业的攻击主要为DDoS，同时有向多元化发展的趋势，Web攻击和Bot攻击次数呈现明显上升趋势。

游戏安全的网络攻防对抗，始终处于动态变化。面对攻击者的猛烈攻势，运营者需要为游戏业修筑一道坚不可破的城墙，重兵防守。我们致力于在云端实时发现并阻断恶意攻击，以海量资源储备、智能防护技术、专业安全服务为游戏整体业务保驾护航。

qq3250845

日均抵御28.42亿次攻击 智能攻击正在发生


随着5G、人工智能、物联网等技术应用的快速发展，网络安全形势日趋严峻。上半年，我们云安全平台共监测与拦截了5144.69多亿次攻击行为，平均每天为全球网站抵御与防护约28.42亿次攻击，同比增长10.36%。

其中，恶意爬虫攻击量达53.85亿次，同比翻番；大流量DDoS攻击持续爆发，100Gbps以上攻击占比增长超5倍；而在Web应用攻击趋于组合型攻击的同时，API接口正成为新的攻击目标，上半年共发生16.53亿次针对API的攻击。

恶意爬虫攻击翻番 传媒及资讯行业成重灾区

上半年发生了53.85亿多次爬虫攻击事件，同比往年上半年增长了108.23%。根据攻击源IP分布情况，84.91%的恶意爬虫流量来自国内，其次是美国、墨西哥等。相比往年，海外攻击源占比增多，爬虫团伙逐渐转向海外作战。

进一步对国内爬虫流量进行分析发现，超过43%的恶意爬虫主要分布在江苏、浙江、山东、广东。而受恶意爬虫攻击的地域中，北京最为严重，占到了全国的26.56%，江苏、上海、浙江等地次之。

不同于以往，上半年，传媒及资讯行业超过交通运输业，成为了受恶意爬虫攻击最严重的行业，占据上半年恶意爬虫事件的41.02%，攻击次数同比增长69.83%。同时，政府机构、金融、教育等行业受攻击次数也均有不同幅度的上升。

报告分析认为，传媒及资讯行业本身是信息的生产制作方，承载和传递着人们生活和工作所需要的方方面面信息，天然具备信息抓取的价值，因而更易成为被爬对象。

另外，报告还提到，上半年以来，恶意爬虫技术更加复杂和智能，越来越懂得模仿人类行为以躲避反爬措施，造成的损失正在扩大。对易受攻击的行业而言，基于大数据和人工智能的反爬策略愈加重要。

上半年，我们共监测并拦截了5086.17多亿次DDoS攻击事件，同比增长14.80%，平均每秒发生3.29万次。其中，网络层DDoS攻击在上半年激增，攻击事件数量环比增长了298.88%。

在频次增长的同时，DDoS攻击的强度也在增加。上半年，尽管200Gbps以内的攻击仍是主流，200Gbps以上的攻击事件占比却大幅提升至20.94%，相较往年上半年的3.4%，增长超5倍。不仅如此，DDoS攻击平均带宽峰值也不断突破，达到862.22Gbps，同比上涨71.97%。

对此趋势，报告分析认为原因主要有两方面，一是接入物联网的设备越来越多且安全防护措施较薄弱，导致可利用的攻击源增多；二是DDoS攻击正在产业化，使得攻击成本不断降低，规模越来越大。

在攻击时长方面，上半年，63.23%的攻击事件在半个小时以内结束，环比增长119.93%。网络层DDoS攻击事件的平均持续时长为85分钟，相比往年年的114分钟，缩短了29分钟。

作为DDoS攻击的首要目标，游戏行业在上半年遭受的攻击更加严峻，占全部DDoS攻击事件的62.08%，环比上升了300.56%。除游戏行业外，金融、视频及娱乐、传媒及资讯等行业在上半年均遭受了超过400Gbps级别的DDoS攻击。

组合型攻击成趋势 政府机构仍是Web攻击主要目标

上半年，我们共监测并拦截4.67亿次Web应用攻击，同比基本持平，整体微降5.27%。对此，报告分析认为，“广撒网”式的大范围扫描行为逐渐减少，取而代之的是由利益驱动的有目的性的非法入侵。

同时，报告观察到，单个IP发起的攻击次数、攻击类型均有所增加，这表明如今的Web攻击不再是单一的攻击行为，组合型攻击成为Web攻击发展的趋势。

上半年，政府机构依然是Web应用攻击的主要对象，占总安全事件数的26.43%，其次是传媒及资讯（23.43%）、金融（12.82%）。国家级重大活动期间往往是政府机构网站Web攻击的高峰期，今年3月全国两会期间，政府机构遭受的Web攻击数达到了上半年之最。

值得一提的是，在我国IPv6加速普及背景下，报告对PV6的安全态势首次予以关注。根据我们的监测数据，上半年，27万个IPv6攻击IP共发起1227万次攻击，平均每个IP发起攻击45次，其中超八成的攻击是恶意爬虫攻击。

API成新的攻击目标 上半年共拦截16.53亿次

随着数字化浪潮席卷各行各业，应用程序开发中API（应用程序编程接口）已经无处不在。而由于开发者对于API安全性考虑不周等原因，一系列API接口正成为新的攻击目标。

本期报告首次以专门篇幅对API流量安全情况进行分析。报告显示，上半年，我们云安全平台共监测并拦截16.53亿次针对API业务的攻击，其中，90.6%的攻击是恶意爬虫攻击。恶意爬虫能对企业开放的各类不受保护、有信息价值的API接口进行不断攻击，以达到破坏、牟利、盗取信息等目的。

而在受攻击的行业中，政府机构、交通运输的API业务成为攻击者觊觎的主要目标，在总攻击数的占比分别达到47.00%、35.84%，合计超八成。

最后，报告提到，当前业内普遍缺乏对 API 及其安全风险的态势感知，建议各大单位规范各类API接口开发，采用云防护的快速接入和性能优势，结合现网防护的业务贴合度，建立纵深分层的防护体系。

56-主机网

=============================================
特网科技为您提供高速、稳定、安全、弹性云服务器，独立服务器 动态IP、高防CDN、离岸主机、外贸仿牌、
国内 国外高防服务器、拥有全球34个地区国家服务器以及云服务器等等，完善的云产品满足您的一切所需。
机房分布，亚洲 欧洲 美洲 东南亚区域 南非
联系QQ：712375052 712375053 712375054 712375055 712375056 117315385
专业的云计算服务提供商 官方网站：https://www.56dr.com/
================================================================