随着移动互联网的发展,互联网业务安全受到严重威胁,金融、运营商等网络业务发达的行业对业务安全的需求激增。业内人士知道,反欺诈与APP加固技术,都可部分的解决应用业务的安全问题。最近两年,国内出现了一家基于“动态防御”技术的安全公司,也专注在业务安全领域。春节前不久,安全牛采访了瑞数CSO马蔚彦女士,初步了解了其动态防御的技术理念。
个人简介
马蔚彦女士,国内最早从事信息安全领域技术开发及管理的专家之一,主导并负责国内多个大型企业的信息安全架构设计、规划及解决方案的顾问咨询工作,参与设计、开发了若干国家重大IT工程项目。曾任赛门铁克中国区安全技术部高级经理兼首席安全架构师,现任瑞数信息首席战略官。
一、动态封装、混淆、令牌与验证
安全牛
据了解,瑞数的动态防御技术并非引进国外,能否谈一谈这个技术是怎么来的?
马蔚彦:瑞数的核心技术人员之前大都在外企安全公司、咨询公司,如赛门铁克、安永等。在几年前做银行项目的时候,发现有一些安全需求是当时的技术产品很难满足,例如撞库或者类似的场景,靠传统基于规则的防御方式,在应对不断变化升级的攻击手段面前非常被动,经常出现误判,需要不断调优。但调紧了业务受影响,调松了安全效果不明显。
比如,租用多个IP地址实施分布式攻击,并结合攻击频率的随机性,模仿正常的业务逻辑,传统的防御机制基本上无法判定是正常的用户访问还是恶意攻击。在这个需求的基础之上,同时关注到在国际上网页应用的“自动化威胁”新趋势在兴起,相关新的应对手段在热烈讨论。最终形成一种基于“动态防御”理念的技术。
安全牛
具体来说是不是解决或者弥补传统WAF做不了的一些事情?
马蔚彦:从某种角度也可以这么说,因为WAF还是基于规则、频率来不断调优。但是瑞数的动态防御技术,举例来说,其中一个技术是把页面的参数点进行封装或动态干扰,这样的话在页面的交付过程中,前端的攻击者每次看到的代码每一次都是不一样的,所以找不到篡改点,自然也就形不成针对性的攻击,这也是之所以称为“动态防御”技术的原因。
另外,还结合了客户端浏览器的一些信息,如设备参数、行为特征等,用于判定或补充判定访问者是否为自动化攻击,或说是机器还是人。
安全牛
但要是Https通信的话,这种保护技术的意义是不是就不大了?
马蔚彦:也有需要,Https是防止客户端到服务器访问内容被监听的问题,但并没有解决撞库或者其他利用合法应用逻辑的自动化攻击。
安全牛
那基于Https再做保护,通信性能会不会降低?
马蔚彦:理论上多一层安全防护就会有一定程度性能的影响,但安全层级的高低,取决被保护对象的重要程度。安全需求与使用体验是一个平衡,需要调优。我们的产品可以分成两个层级,差不多百分之八九十的客户使用的是标准版,对性能的消耗不明显,用户完全可以接受。比如运营商的系统、银行等大型企业,他们对安全产品的性能是有要求的,并且需要通过专门的测试验证。
安全牛
除了对页面代码的封装和混淆,你们的动态防御理念还包含哪些技术细分?
马蔚彦:还有动态令牌和动态验证。前者基于业务逻辑通过动态生成的令牌来识别机器与人,拿抢票这一场景来说,正常用户抢票过程是查余票,选余票,点购买,最后付款。但机器程序就直接跳到余票页面去抢,它提交的数据里就不包含我们的令牌,因此就可以判断是一个异常访问。
动态验证是指在客户端的验证,需要通过一些信息,比如浏览器指纹信息、键盘频率、鼠标轨迹等,自动化程序模拟的操作和人在浏览器中的操作是不一样的,后者比较随机,前者则是有规律的。综上所述,动态封装、动态混淆,动态令牌和动态验证是我们目前动态防御技术的四个关键技术点,用于更全面有效地进行人机识别。
二、动态的优势在于变化和主动
安全牛
听起来,你们的动态防御似乎叫Web动态防御更准确些?
马蔚彦:Web的确是很重要的一块,但我们还有一个针对APP的动态保护技术。像刚才说到的是抢票刷单行为,很多是通过手机应用来做的。而且现在互联网的应用越来越多,移动APP的使用已经开始超过PC端。就拿运营商来举例,网上营业厅、手机营业厅,交费大都通过APP,使用电脑的比例在不断下降,网银也同样,手机网银的业务也越来越大。
但大多数原生应用APP需要用户下载,它是一个实体应用在手机端,因此我们把上述的四种动态技术,通过SDK集成打包进客户的原生应用APP,以实现APP使用中的人机行为判别,包括识别假冒伪造的APP。
安全牛
你们这种技术可以弥补APP加固的不足,加固只能解决APP本身的安全问题。
马蔚彦:是这样,我们解决的是APP应用上的安全问题,与APP加固是互补关系。实际上我们也正在与这个领域的厂商合作,为客户提供更好更完整的安全方案。
安全牛
在客户端植入JS代码,来动态混淆页面代码,防止基于Web应用的自动化攻击,这是你们的动态防御技术原理,但具体的技术特点或说优势体现在哪里呢?
马蔚彦:我们的优势还是在于“动态”。大家都知道,安全技术从来就不是万能的,不管多么高超的技术,也会存在弱点,存在被黑客绕过的可能。所以瑞数的算法和密钥都是动态的,本身是不断变化的,让黑客很难发现规律,说的技术一点,不是从内存导出来就能拿到的。当然,不能说完全不可能被逆向,但至少它的逆向难度是非常高的。这也是我们的核心技术专利。
这种动态技术还有一个特点,它是实时判定人机区别的,而不是事后分析,经常会在客户端就做出判断,可以把访问直接拦截,不依赖事后追加规则和特征,这也是主动防御的性质。比如黑客在攻击之前,通常都会通过扫描查找漏洞。典型的例子像 Struts 2 这样的零日漏洞,即使用户没有打补丁,但只要识别出有脚本和程序的扫描探测零日漏洞的行为,就可以识别和响应,实际上起到了隐藏漏洞的作用。
还有网上专门搜集信息或数据的爬虫,不仅会批量的拷贝数据,然后兜售或克隆网站。大量提供公共查询服务的政府部委网站,都存在爬虫现象。提供被爬服务器的资源还会被大量占用,造成正常用户的访问体验很差。但使用了我们的这套技术之后,这些可能产生危害的行为被大大降低。
三、贴近业务的安全带来更大的价值
安全牛
银行、运营商的技术应用场景都有哪些?
马蔚彦:这个问题涉及内容比较广泛,我可以从瑞数保护的主要业务来谈一下。首先是银行,因为银行的业务往往涉及资金,所以安全性要求比较高,像撞库、薅羊毛,以及内部数据泄露等都是最主要的场景。
安全牛
你们的技术对于撞库、薅羊毛的防护很容易理解,内部数据泄露的保护一般不都是用DLP或数据库安全技术吗?
马蔚彦:DLP基于数据内容识别,数据库安全涉及加密和审计等技术内容,传统的防护技术需要定规则,以审计为例,比如读取数据的量,定多少条才算批量下载,触发警报呢?1千还是1万、10万?去年就有一个典型例子,一家银行的分行行长账号被内部人员获取,内部保安人员在银行人下班以后盗窃信用数据,每次只拿一点,触发不了审计系统的门槛。但积少成多,最终泄露的数据非常可观。
安全牛
同理,运营商的数据保护也存在这种问题吧?
马蔚彦:是的,除了网上营业厅和手机营业厅的外部业务,运营商还有一大块是内网业务。内网业务有一个明显的需求,就是防止内部人员以及合作伙伴的“越权”问题。包括办理高端业务、抢号、查询敏感数据、防批量下载数据等应用场景。
而且,从防护层面上来讲,瑞数的技术非常贴近业务,跟客户去谈安全的时候受到的关注度高。不像以前的IT安全,只有网络安全部门关心。现在不仅是安全部门关心,业务部门也关心,整个主管领导还关心。以前做安全的人总是很郁闷,因为是花钱的部门,价值得不到认可。而做业务安全,解决的是实际的业务问题,能够很快的让用户感受到安全技术带来的价值。
四、主动性的业务安全为核心理念
安全牛
攻防对抗永远处于变化当中,瑞数未来会有哪些技术发展方向的规划?
马蔚彦:以前的防御技术是硬性的,判断是非之后,要么放过要么拦截。未来可能会变成一种软性的阻断,比如针对爬虫,并不需要完全禁止,但会让爬的难度增加,或者效率低下。
安全牛
既然识别出爬虫来,为什么不干脆封掉,软性阻断的意义在哪里?
马蔚彦:我们知道,攻防是不平衡的,企业永处于弱势,需要防护整个体系,而攻击者只需要打穿一个点即可。所以如果你拦的越死,攻击的力度有可能就会越大,企业需要不断加大防护成本。但如果设置成弹性的,让攻击者搞不清楚到底什么情况,也就不会冒然的加大攻击成本,让攻击者的成本不断加大而放弃攻击,最终的结果是用户减少了防护成本。拿验证码来举例,正常用户可以直接登录,只有发现异常的时候再弹出验证码来做验证,这也是所谓的动态响应。
另外还可以利用JS做陷阱点,类似于蜜罐的概念,还会基于机器学习做一些事情,做大数据分析,包括威胁情报交换等,以及自动化地智能化地去判断人机。但不管怎样,我们都是努力在业务安全的领域做得更深和更广,不仅仅局限于Web。用概括和精炼的话来说,所有这些技术发展方向都是基于动态防御的技术理念,主动性地解决用户应用业务的风险,这就是瑞数的技术理念和发展方向。
领取专属 10元无门槛券
私享最新 技术干货