动态>

案例分析 | 动态安全助力国家电网解决自动化攻击难题

瑞数信息提出一种基于动态技术的安全防护系统,将其应用在国家电网某公司的实际业务系统中,在提升现有应用安全和数据安全防御能力的同时,提供基于“账户”的业务类新型风险的主动感知,为业务决策提供有效帮助,切实保障在运信息系统的安全运行。

一、关注背景

近年来,全球网络安全形势日趋严峻,网络攻击呈现出工具化、自动化的趋势。据相关研究,自动化程序带来的点击率和浏览量已经占据网络总点击量的60%。自动化程序的盛行带来了大量网络问题,如网络拥堵、垃圾内容、应用程序出现漏洞等,导致经济和人力资源方面的巨大损失。

面对越来越复杂和高级的“工具化”攻击,传统的防护手段也越来越被动,明显无法满足现有的安全防护需求。因此瑞数信息提出一种基于动态技术的安全防护系统,将其应用在国家电网某公司的实际业务系统中,在提升现有应用安全和数据安全防御能力的同时,提供基于“账户”的业务类新型风险的主动感知,为业务决策提供有效帮助,切实保障在运信息系统的安全运行。

二、威胁现状

根据国家电网某公司运行情况分析报告的相关数据,2018年第三季度,外网共遭受攻击257万余次;其中自动化脚本攻击占比51.2%,已经成为最主要的攻击方式。

自动化程序攻击给公司的安全防护带来了前所未有的挑战:

1) 自动化渗透

自动化攻击程序通过结合AI、分布式计算等技术,进行规模化的漏洞扫描,极大提高了渗透效率。同时,大量在线系统由于老旧、无法升级等因素,难以及时进行补丁更新;而攻击者则可以利用自动化程序所发现的漏洞,对网站进行针对性攻击,造成网页篡改、网页挂马、数据泄露等安全隐患。

2) 拟人化攻击

黑客通过自动化程序,循环使用随机IP地址,匿名代理进入,变化其身份,并模拟人类的操作特征行为进行网络攻击。基于签名或规则的传统安全防护产品,已经很难将这些高级的自动化攻击与真人行为区分开来,并进行准确拦截。

3) 零日漏洞

未知威胁一直是安全防护的难点之一。攻击者利用工具对网站群进行批量化的零日漏洞探测并利用,从而控制服务器,盗取或篡改业务数据,严重威胁在线系统安全。

国网某公司目前所采用的人工操作IPS封锁IP的防范手段,从识别能力、阻拦效果、响应速度上,已经难以应对以上的新型自动化攻击。

三、解决方案

瑞数信息结合自身独特的技术优势和丰富的对抗经验,根据客户的需求,构建了应对自动化攻击的动态安全防护解决方案:

第一,重点侦测客户端环境

目前网页应用最主要的一个特点就是服务器侧对客户端的感知有限,而这也正是网页攻击最容易被利用的一步——攻击者可以编写各类攻击工具,通过模拟浏览器请求的方式进行攻击。

因此,动态安全防护系统的基本思路就是增强服务器侧对客户端环境感知的能力,对打开网页的客户端环境进行侦测,确认当前环境是否在正常的浏览器中;通过用户行为分析进一步检查,确认是否由真实的人在浏览器中进行操作。

第二,搭建三层全方位动态安全防护架构

动态安全防护系统采用三层架构,包括接入层、防护层和管理层,为应对自动化攻击提供全程全方位安全防护:

动态安全防护系统架构

接入层:通过反向代理的形式,接入所有对防护目标的请求。

防护层:通过动态令牌和动态验证两大核心技术,对用户的请求进行异常识别,并根据预先设定的响应处理策略,对异常流量进行统一拦截处理。

管理层:对动态安全防护系统进行管理配置,查看防护结果。

第三,两大独家关键技术护航:动态令牌+动态验证

动态令牌

瑞数信息动态安全防护系统会为对当前访问页面内的合法请求分配一次性“通行证识别码”,也就是动态令牌(Token)。当客户端的浏览器请求到达动态防护系统,系统首先校验当前令牌的合法性,包括令牌格式是否合法、令牌是否与当前请求URL匹配、令牌是否使用过等等。如果检测到令牌不合法,则对请求进行拦截,从而防止违规访问等恶意行为。

动态令牌

与传统令牌相比,动态令牌具有以下特点:

1) 动态性:令牌生成算法一次一变化,使得每个页面、每次访问,同页面每一次刷新,其令牌都不相同。

2) 抗破解:每次生成令牌时,对令牌算法和密钥均进行动态变化,保证每次采用的算法和密钥均不相同。同时还对客户端代码进行高强度混淆,防止逆向破解。

3) 自动业务逻辑获取能力:在运行过程中自动感知后续的合法网页,从而鉴别违反业务逻辑的异常访问。

动态验证

动态验证是指,通过对客户端环境与服务器的动态双向验证,严密检测运行环境、浏览器指纹、操作行为等因素,实现对客户端真实环境的验证,防止恶意终端访问。每次验证都会随机选取检测的项目与数量,大大提升浏览器仿冒的难度。

运行环境监测:对模拟器、手机越狱,或Root环境及可能用于攻击的客户端软件进行检测,防止恶意终端的非法访问。

设备指纹采集:对设备硬件信息、传感器、周围环境信息进行采集,防止模拟或控制手机的各类攻击行为。

四、技术特点

目前针对网站攻击的防护手段是WAF,虽然部分WAF已经具备初级的客户端侦测、态势感知等能力,但在应对复杂多变的攻击时,依然存在明显的可绕过和防护滞后问题。

相对传统安全技术,动态安全防护系统具有以下特点:

1) 不依赖签名识别攻击,而是通过自身的动态变化识别和阻挡自动化攻击,减少防护空窗及特征绕过的问题。

2) 逆向难度大:前端信息采集动态化,如果攻击者想到获知本次采集的内容,则需要对采集程序进行人工逆向,且逆向结果只对当前这次采集有效,下一次采集内容会再次发生变化,造成攻击成本巨大,且大幅拖慢攻击速度。

3) 准确定位攻击来源:通过终端指纹定位攻击来源,即使攻击者不断通过跳板切换来源地址,仍能有效识别;单源高频或多频低源的自动化攻击,均能有效阻挡。

4) 深度感知技术:可以有效甄别正常浏览器与Headless Browser,可以有效防止攻击者利用Headless Browser或类似工具绕过的攻击。

5) 动态令牌技术:可以对业务逻辑与数据完整性进行感知,有效防护非法访问及中间人攻击。

五、应用效果

国家电网客户对瑞数信息动态安全防护系统进行了线下线上双验证,效果卓越。

线下效果验证:

国家电网的红队对动态安全防护系统的基本Web防护配置以及高级Web防护配置的防护效果进行了测试,通过定制的攻击脚本、Burpsuite、Sqlmap等多种工具,验证了动态安全防护系统对自动化工具、传统SQL注入、XSS等攻击的防护能力,防护效果显著。

国网红队测试效果

线上效果验证:

动态安全防护系统已经应用于国网某公司的某业务系统,实现了针对自动化程序、自动化工具和传统SQL注入等攻击的高效防护。

自系统部署以来,累计请求1.36亿次,其中受保护的请求共2967万次,异常请求878万次,异常请求占比约29.6%。

系统防护情况

异常请求行为主要包括:程序脚本攻击、高级自动化工具攻击和代码注入攻击等。主要攻击场景包括:密码猜解、恶意注册、验证码接口重放攻击、恶意扫描、敏感信息爬取及多源低频攻击等。

瑞数信息基于动态技术的安全防护系统,充分满足了国家电网客户的业务需求,不仅可以为客户识别出传统安全防护设备无法发现的自动化攻击工具,尤其是利用业务逻辑的缺陷和滥用业务逻辑的隐蔽性攻击行为;还为客户提供了追溯攻击者特征和更细粒度定位攻击源状况的能力,实现了“账户级”的安全监测,为国家电网的多个业务场景提供全面安全防护,助力国网完善信息化安全建设!