域名預訂/競價，好“米”不錯過

  5月13日，第一屆國際互聯(lián)網產業(yè)科技創(chuàng)新大會暨互聯(lián)網創(chuàng)新產品展覽會(簡稱：“科創(chuàng)會”)隆重舉辦。科創(chuàng)會吸引了來自中央黨校、國務院辦公廳、科技部、工信部、發(fā)改委、國資委、財政部的專家領導、業(yè)內權威專家學者以及各地高新技術企業(yè)7000余人出席了本次盛會。其中，瑞數(shù)信息作為互聯(lián)網信息安全方面的代表性企業(yè)受邀參會。

  瑞數(shù)信息CTO馬蔚彥女士在會上發(fā)表題為“數(shù)字經濟——推動下一代安全的技術創(chuàng)新和實踐”的演講，其中介紹了瑞數(shù)信息的主動防御理念，從根源上讓自動化黑客工具失效，同時實現(xiàn)實時攔截和風控前置，極大地提高攻擊難度和成本，從而為企業(yè)數(shù)字化轉型保駕護航。

  黑產“數(shù)智化”下，傳統(tǒng)安全手段逐漸失效

  2021年5月，中國信息通信研究院發(fā)布《中國數(shù)字經濟發(fā)展白皮書》顯示，數(shù)字經濟在逆勢中加速騰飛，2020年我國數(shù)字經濟規(guī)模達到39.2萬億元，較上年增加3.3萬億元，占GDP比重為38.6%，占比同比提升2.4個百分點。IDC數(shù)據(jù)也顯示，預計到2022年，全球65%的GDP將由數(shù)字化技術驅動，全球經濟正在走向“數(shù)字使命”。

  數(shù)字經濟，催生各類應用的數(shù)量成百倍增長，應用API流量占比也迅速升至八成以上，成為數(shù)字化體驗舒暢與否的中心。馬蔚彥女士認為，這使得安全的重心和關注點已逐漸從網絡轉移到了應用。各類應用安全的挑戰(zhàn)不斷加劇，包括威脅入口迅速放大和分散，數(shù)據(jù)開放與風險暴露的程度并行;黑產攻擊與業(yè)務轉型同步走向“數(shù)智化”，其中自動化攻擊(BOTs)泛濫尤為凸顯，并快速升級，然而防御仍僅靠傳統(tǒng)單體的應用防護產品和方案，不僅低效被動還面臨復雜和高維護成本的困境。

  馬蔚彥認為，自動化攻擊防護難度升級，正在成為應用安全最大威脅。與此同時，自動化攻擊手段持續(xù)升級，這些工具的操作高度擬人化、手段高度擬人化、利用龐大的IP資源賬號資源等形成的攻擊隱藏其惡意特征，造成識別與防護難度不斷升高。

  企業(yè)不僅需要全覆蓋應用形態(tài)，即支持Web、APP、API等多種應用形態(tài)的防護產品，還要有主動高效創(chuàng)新技術手段，統(tǒng)一配置管理和快速擴展防護能力的方案。

  動態(tài)+AI安全技術相結合，打破對傳統(tǒng)規(guī)則的依賴

  對于當前黑產發(fā)展狀況，馬蔚彥總結了幾大特點，包括利用合法業(yè)務邏輯模擬合法操作、大量使用“工具”達到高效率和規(guī)?；⒍嘣吹皖l多等特征，傳統(tǒng)安全很難識別。

  數(shù)字化業(yè)務在多個環(huán)節(jié)面臨安全風險與挑戰(zhàn)。舉例而言，注冊及登錄時，易遭到批量注冊、撞庫及暴力破解，對外業(yè)務方面有漏洞掃描和零日漏洞探測風險，市場營銷活動時，也會遇到營銷資源惡意搶占、薅羊毛等情況。

  對此，瑞數(shù)信息創(chuàng)新提出“動態(tài)+AI安全”技術。“動態(tài)+AI”架構能夠實現(xiàn)自動化威脅流量主動防御，不依賴傳統(tǒng)規(guī)則，而呈現(xiàn)無規(guī)則+智能規(guī)則形式。

  作為數(shù)字業(yè)務防護專業(yè)安全廠商，瑞數(shù)信息顛覆性的動態(tài)安全技術扭轉了傳統(tǒng)安全被動防御的缺陷，可主動抵御各類新興自動化攻擊和未知威脅，不僅能降低管理負擔、加快防護響應，還能提升黑產的攻擊難度。

  馬蔚彥總結，“動態(tài)+AI安全”通過人機識別，高效甄別各種攻擊工具，直接從來源端阻斷自動化工具攻擊，防護0day漏洞探測等，實現(xiàn)主動防御。同時，還采用人機識別、AI智能威脅檢測、行為分析和可編程對抗等多層防護技術，實現(xiàn)縱深防御，并且能通過對網頁底層代碼的持續(xù)動態(tài)變幻，實現(xiàn)應用層擬態(tài)，隱藏攻擊入口，迷惑攻擊者。

  主動防御成果顯著，應對內外安全挑戰(zhàn)

  據(jù)馬蔚彥介紹，瑞數(shù)信息“動態(tài)+AI安全”技術在應對黑產“數(shù)智化”的實踐中，充分展現(xiàn)出其強防護、輕維護的優(yōu)勢和價值，特別是針對漏洞探測利用、資源搶占、惡意爬蟲等行為的防御。

  首先，黑產可利用工具進行自動化漏洞掃描，效率高且全年無休。而補丁上線有空窗期，并且零日漏洞沒補丁，老舊系統(tǒng)不敢打補丁，也不一定有補丁可以用。但動態(tài)技術卻可以隱藏漏洞，讓漏洞不易被黑產發(fā)現(xiàn)。

  其次，黑產會進行資源搶占，使用工具惡意搶占資源，造成服務中斷、資源分配扭曲，對數(shù)字化營銷造成直接經濟損失。而動態(tài)安全技術在應對時，無需更改應用，即可實現(xiàn)本地部署，輕松防護。同時，動態(tài)技術不依賴應用，能識別工具特性，從而降低資源消耗。

  馬蔚彥舉例表示，此前有平臺投入千萬促銷，資源卻基本被“羊毛黨”搶走，系統(tǒng)經常宕機，并且85%訪問量為機器人搶促銷造成。使用動態(tài)安全技術后，機器人訪問請求率從85.4%下降到0.3%以下，并且在未對應用系統(tǒng)進行擴容的情況下，當時同時在線的客戶數(shù)量依然得以提升，是上年峰值的13倍。由此可見，抵御惡意資源搶占能夠推動營銷效率倍增。

  再次，爬蟲是黑產獲取數(shù)據(jù)、再經過數(shù)據(jù)聚合后獲利的便捷途徑。國家級大數(shù)據(jù)早已成為高級Bots的云集之地。而使用動態(tài)+AI技術，可以智能對抗各類爬蟲工具。

  馬蔚彥總結，“動態(tài)+AI”技術能在多方面應對數(shù)字化業(yè)務產生的內外安全挑戰(zhàn)，包括：“工具”規(guī)?；墼p風險、業(yè)務邏輯安全問題、未知威脅問題、內部合法身份安全威脅等。

  2019年，瑞數(shù)信息已正式發(fā)布基于“動態(tài)安全”和“AI智能威脅分析”兩個重要底層能力的完整2.0體系，面向種類更多、范圍更廣泛的應用安全。涉及的產品和方案包括 WAF、移動App、API，到物聯(lián)網、業(yè)務威脅感知和數(shù)據(jù)透視。2020年更推出了涵蓋WAF、防Bot及API安全的全應用超融合一體化方案。

  本次受邀參加“第一屆國際互聯(lián)網產業(yè)科技創(chuàng)新大會暨互聯(lián)網創(chuàng)新產品展覽會”正是對瑞數(shù)信息的一大肯定。相信瑞數(shù)信息能夠依靠自主創(chuàng)新技術上的優(yōu)勢以及對于市場需求的把握，在防御自動化攻擊領域內不斷創(chuàng)新和發(fā)展。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！