当前全国教育信息化建设如火如荼,在线业务系统涵盖了包括考试、入学在内的校园的方方面面。在便利师生生活的同时,教育网站也面临着越来越复杂的安全挑战。一方面,网页应用漏洞层出不穷,传统防护依靠不停的查补漏洞、更新规则的方式,仍然无法避免亡羊补牢、疲于奔命的被动局面。另一方面,业务和数据不断向网上迁移,除了传统的“防篡改”外,教育网站面临着业务和数据安全的双重严峻挑战。
《中华人民共和国网络安全法》明确,网络服务提供者需要对用户数据负责,而Web应用系统作为线上对外服务的窗口和黑客攻击的第一目标,其安全更是重中之重。针对Web的攻击中出现了复杂多变的工具化、自动化的新兴攻击手段。这类自动化攻击手段有着效率高、成本低、危害大等特点,可以模拟网站正常业务操作逻辑,或利用代理IP资源采用多源低频的攻击方式,拥有绕过传统安全防护的能力。目前,国外黑客团体、黑产、个人黑客正越来越多地利用自动化攻击工具对教育网站进行攻击,学校网站被攻陷、网站内容被篡改、个人信息和数据信息等敏感数据被窃取等都是可能导致的严重后果。
教育网站现有安全防护面临的问题:
• 补丁永远打不完,网站不停被扫描,漏洞被发现且被利用只是时间问题;
• 未知漏洞的攻击行为事后才能有特征库和规则,防护被动且滞后;
• 安全运维工作量大,传统的WAF等设备需要及时、复杂的规则更新,且容易产生误拦截;
• 攻击工具的特征码越来越难以分析和提取,传统的安全设备无法依赖特征设防;
• 攻击工具不停变换IP和手段,频次限定、IP限定方式封堵永远追不上;
• 模拟合法的业务操作的工具访问行为,很难靠设置规则进行异常判定;
• 撞库和暴力破解难防,师生登录入口弱口令问题难以解决。
针对以上问题,教育网站自动化攻击防御能力急需加强,转变被动防御的防护思路,建立一种主动的防护机制来改变现有防护的被动局面至关重要。
动态安全技术是通过网站服务器网页底层代码的持续动态变换,保障服务器行为的“不可预测性”,以有效抵御各类新兴自动化攻击和各种安全威胁。结合 “AI人工智能”技术,综合利用智能规则匹配及行为分析,可以持续监控并分析流量行为,有效检测威胁攻击。动态+AI两大核心技术支撑的主动式纵深防御是目前对抗自动化攻击最为有效的手段之一。
最近我们也看到,在各类国家级攻防演习中,攻方队伍大量使用自动化攻击工具,极大地提升了攻击效率和强度,使防守方安全运维团队疲于奔命、防不胜防。应用动态技术,可以高效阻拦自动化攻击,同时其不基于规则的特点让安全运维量降低95%以上,大大加强了防守能力,降低了防守队伍的工作量。
以教育部某核心直属事业单位为例,该单位系统承载着大量的教育关键信息和公民个人数据,是各类黑产黑客的重点目标。该重点单位作为教育行业网络安全最高水平的代表,参加了2020年教育行业和国家攻防演练,取得了非常优异的成绩,名列前茅。该单位依托动态安全+AI技术搭建了动态安全防御平台,在攻防演习期间有效防止了通过自动化工具对业务系统发起的攻击,如0/Nday漏洞探测、多源低频撞库、暴力破解等。
防护场景1— 防恶意扫描嗅探
重保挑战重保第一阶段,红队大量利用扫描工具发起漏洞嗅探,批量获取系统漏洞;由于扫描工具漏洞库不断更新,如果安全防护设备规则更新不及时,将无法实现防护。防护缺陷基于规则和特征的防护技术,只能阻拦扫描工具中的匹配规则的攻击代码,需要不停地更新规则和特征,防护滞后,疲于奔命。动态安全解决方案利用动态技术和AI人机识别技术,阻拦扫描工具和程序的执行,从而实时阻拦各类攻击代码,实现无规则防护。同时,不仅隐藏漏洞,也隐藏了网页目录结构。在网站未打补丁或补丁空窗期,为网站提供有效的安全防护。实际应用在2020网络攻防演练期间,以某教育行业重点用户为例,瑞数动态安全防御平台发现恶意扫描IP约1000+个,扫描请求达32.8万次,主要为攻击者通过扫描工具发起的针对各敏感路径发起的恶意扫描攻击。动态安全防护通过人机识别技术,阻拦了扫描工具和程序的执行,从而实时阻拦各类攻击代码,实现无规则防护。
防护场景2 — 防0/Nday漏洞探测
重保挑战
从重保的攻击态势来看,0day漏洞在发现后会立即被红队所利用,相关的漏洞利用工具也会在1天内迅速传播。在去年的实战案例中,短短3周内,攻击方就发现了7个针对Web应用的0day漏洞,并发起了相应的攻击。今年更是动用了27个0day漏洞,可以说,0day漏洞攻击是重保中最难防护的攻击手段。
防护缺陷
传统基于规则和特征的防护技术,需要更新规则和特征才能防护0day漏洞攻击,时间严重滞后。
动态安全解决方案
利用动态安全技术,可以实时防护所有扫描工具的请求,从根源上阻拦0day漏洞扫描和利用的方法和工具。不同于传统依靠攻击特征来识别和阻挡攻击,动态安全技术是通过识别攻击是否为脚本、程序、工具,因此无需规则更新,即可阻拦0day漏洞探测行为,防护不再存在空窗期。
实际应用
在2020网络攻防演练期间,某教育行业重点用户共遭受了约1.5万次+的已知漏洞攻击探测,主要为扫描工具发起的攻击探测。发现的已知漏洞攻击类型主要为利用Nday探测工具对业务系统发起weblogic、Jboss、AXIS、FineReport等各类漏洞探测攻击,全部被动态技术识别并拦截。
防护场景3 — 防多源低频撞库
重保挑战
多源低频攻击场景很多,常见的有撞库、爬虫、SQL注入等。以SQL为例,红队利用Sqlmap等工具进行多源低频注入攻击,通过变换自身IP+降低注入频率来达到攻击的效果。一旦攻击成功,轻则导致敏感数据丢失,重则导致业务系统的整体瘫痪。
防护缺陷
由于攻击者不断变换自身IP并且降低攻击频率,传统安全设备很难依靠限频、封IP的方式进行有效拦截和防护。
动态安全解决方案
不依靠限频的防护方式,通过AI人机识别技术,针对攻击方式而非频率,从而有效阻止多源低频攻击。
实际应用
本次演习期间,攻击方采用了多源低频的攻击方式进行撞库攻击。动态安全技术通过对攻击值指纹的追踪和分析,发现大量的多源低频攻击被使用。例如某攻击者使用IP达6386个,请求量达578806次,平均每个IP仅请求90次。
防护场景4 — 防暴力破解
重保挑战
红队利用工具或者Python脚本暴力破解网站登录页面,一旦破解成功,即可获取合法用户的权限,甚至可以破解管理员的密码进而控制整个站点。
防护缺陷
通过工具或者Python脚本完全可以模拟正常登录行为,由于没有明显的攻击特征,基于现有规则的防护技术很难识别和拦截,只能通过POST频率来判断。而当攻击者降低攻击频率,那么传统的限频方式则大概率失效。
动态安全解决方案
暴力破解的攻击方式多种多样,但万变不离其宗,暴力破解一定需要借助工具来实现。通过动态安全的动态令牌、动态验证技术,加以AI人机识别技术,可以高效识别各种定制工具发起的攻击,阻止暴力破解。
作为中国教育行业网络安全的“重保大杀器”,动态安全防御平台在2020年教育行业和国家级网络安全攻防演习中均发挥了突出的作用,高效地拦截了各类恶意扫描、漏洞探测、撞库、暴力破解等自动化攻击,为中国教育行业网络安全建设提供了一种经过实战验证的主动防御新思路!
关于瑞数信息瑞数信息 ( River Security ) 成立于2012年,是国内创新推出动态安全技术,全程动态保护企业网站应用、业务交易及数据安全的主动式防御厂商。瑞数信息创新的“动态安全”技术,完全颠覆了当前基于攻击特征和行为规则的被动式防御技术,可对已知和未知的自动化攻击,及各种利用自动化工具发起的恶意行为做到及时、高效拦截,防护范围覆盖业务反欺诈、Web安全、App安全、API安全、业务威胁感知、数据透视与分析以及物联网等众多领域。
来源:freebuf.com 2020-12-11 16:33:01 by: riversecurity
请登录后发表评论
注册