撞庫之殤–是時候改變下安全思路了!
即將過去的2016年注定成為中國信息安全發展史上最具里程碑意義的一年,千呼萬喚的《網絡安全法》正式出臺,終于從法律層面向伸向個人信息的黑手們亮劍了!近年來,層出不窮的信息泄露事件,日益猖獗信息買賣的到了令人發指的地步。僅在2016年,數據量高達數千萬條以上的泄密事件就有10多起之多,在不知不覺中,用戶名、密碼、郵箱地址、QQ號、電話號碼、身份證等信息就成了黑市交易獲利的商品。
- 數據下載、明碼標價,黑市交易已然風生云起
- 攻擊泄漏、倒賣獲利,完整的黑色產業鏈已形成
罪魁禍首–又是Struts 2安全漏洞所致
據瑞數信息的安全專家追溯多起數據泄漏的源頭,發現很多數據泄漏事件是緣于2013年的Struts 2安全漏洞。
Struts 2可謂大名鼎鼎,黑客可以利用該漏洞輕易攻陷網站服務器,獲取網站注冊用戶的帳號密碼和個人資料,從而引發站點的數據泄露、網頁篡改、植入后門、成為肉雞等安全事件。該漏洞目前令國內大量知名網站,包括各大門戶、電商、銀行等官網都出現了不同程度的信息泄露和影響。
而對于此類漏洞的防護手段目前采用的是以打補丁和更新軟件版本為主,然而,事實再次證明這種事后的被動式防御手段在新的威脅面前顯現出力不從心。
火上澆油–利用撞庫瘋狂掠奪信息
黑客利用Struts 2漏洞獲得大量注冊用戶名和密碼數據后豈能善罷甘休,更為瘋狂的是,黑客還將利用這些用戶名和密碼數據再次通過自動化程序對商家的網站實施撞庫攻擊、賬號盜用,從而進一步導致用戶信息及資金蒙受巨額損失。
傳統的防御手段僅僅是通過打補丁堵上漏洞,或者建議客戶盡快更新密碼,進行安全升級。然而,事實上我們無法期待所有用戶都能夠對賬號及時進行安全升級,因此仍然有大量尚未更新密碼的客戶信息存留在黑市中。而這些鮮活的信息就恰恰為黑客再次撞庫帶來了機會,也為商家和用戶造成了巨大的風險。
僅僅更換密碼就安全了嗎?
今天,我們看到的更多建議是請每一位消費者盡快更改登陸密碼。從消費者自我保護的角度來講修改密碼的確是必須采取的行動。但是大規模泄露事件一般是因為網站漏洞,使用復雜密碼、頻繁更換密碼只是增加了黑客破解密碼的難度;不同網站使用不同密碼,也只是能防止黑客“撞庫”。因此作為商家,在及時提醒消費者的同時又該怎樣更主動地為消費者提供保護?而非僅僅是發生事件后的應急通知呢?
保護在線業務,是時候該換一種安全思路了!
作為商家,其在線平臺不僅要在業務層面保護自己的各種行銷資源,同時更有義務保護好用戶的數據不被竊取,因此更要積極打破原有基于簽名、驗證、打補丁的傳統防護方式,化被動為主動防御。
在尋求更加主動有效的防護技術中,瑞數信息的安全專家建議目前可通過針對網頁的動態安全技術實現實時和在線的防護,可以讓攻擊程序無法進行漏洞利用的嘗試,從而在補丁沒有更新,傳統防護手段未到位時,進行有效防護。
- 改變現有手段特征匹配式的防護思路,以動態變幻的技術視角,實現實時主動防御效果,對抗利用工具的自動化攻擊行為,包含漏洞探測和利用、零日攻擊及合法業務邏輯濫用等惡意攻擊行為。
- 通過創新的動態安全技術抵抗多源低頻攻擊,彌補現有防護手段的缺失,補足傳統應用安全防護手段能力不及之處。
- 利用動態安全技術中的終端安全威脅感知能力,提供對于安全威脅態勢以及攻擊者畫像更為細粒度的特征數據。
- 無需修改應用代碼,不必進行特征庫、策略庫的升級維護工作,降低運維成本,有效阻止網上大量的自動化攻擊,有效節省帶寬、服務器等資源。
更廣闊的應用場景
動態安全技術不僅在對抗Struts2的漏洞利用中,提供了比打補丁更為及時、有效的方法,該技術對于零日漏洞利用的攻擊,利用漏洞進行的業務違規操作以及合法邏輯濫用的行為,都有很有效的防護效果。該技術目前已經廣泛運用在政府、企業以及商業活動的應用場景中。
政府及企業數據保護 - “互聯網+”時代,有效防止拖庫、撞庫、惡意爬蟲等行為,保護政府及國家關鍵性網上業務和數據的安全。
企業對外業務風險防范–阻擋通過自動化工具進行惡意搶購、虛假交易、違規套現等行為,給企業的商業業務造成很大風險。
企業內部應用風險防范 -有效防止企業內部敏感數據泄漏、合法業務濫用的安全風險。
安全問題迫在眉睫!瑞數顛覆性的動態安全技術可以有效防護未知威脅及自動化攻擊,實現零補丁、零規則,助力企業跑贏零日,將Struts2及未來的零日攻擊阻擋于大門之外!
