域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

近日，中國(guó)石油石化企業(yè)信息技術(shù)交流大會(huì)暨油氣產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型高峰論壇在京召開(kāi)。本屆大會(huì)由中國(guó)石油學(xué)會(huì)、中國(guó)石油、中國(guó)石化、中國(guó)海油、國(guó)家管網(wǎng)、國(guó)家能源、中國(guó)中化、中國(guó)航油、延長(zhǎng)石油、中國(guó)地質(zhì)調(diào)查局等單位共同主辦。

作為我國(guó)石油石化行業(yè)的盛會(huì)，此大會(huì)已連續(xù)舉辦了十余屆，為推動(dòng)石油石化企業(yè)數(shù)字化轉(zhuǎn)型、智能化發(fā)展發(fā)揮了重要積極作用。在會(huì)上，瑞數(shù)信息高級(jí)安全顧問(wèn)張凡發(fā)表了題為《自動(dòng)化威脅的趨勢(shì)與應(yīng)對(duì)》的主題演講，為石油石化企業(yè)應(yīng)對(duì)自動(dòng)化威脅帶來(lái)了創(chuàng)新安全技術(shù)方案。

瑞數(shù)信息高級(jí)安全顧問(wèn) 張凡

數(shù)字化時(shí)代 企業(yè)面臨5大Bots自動(dòng)化威脅

數(shù)字化時(shí)代，Bots自動(dòng)化攻擊已經(jīng)演變?yōu)榫W(wǎng)絡(luò)安全領(lǐng)域的頑疾，不斷升級(jí)的Bots自動(dòng)化威脅持續(xù)牽動(dòng)著行業(yè)的神經(jīng)。

瑞數(shù)信息高級(jí)安全顧問(wèn)張凡表示，瑞數(shù)信息作為Bots自動(dòng)化攻擊防護(hù)領(lǐng)域的專(zhuān)業(yè)廠商，多年來(lái)持續(xù)輸出Bots自動(dòng)化威脅報(bào)告，現(xiàn)階段觀察到5大Bots自動(dòng)化威脅趨勢(shì)：

●趨勢(shì)1：Bots攻擊趨于常態(tài)化

在“十四五”規(guī)劃以及數(shù)字化浪潮的驅(qū)動(dòng)下，伴隨著大數(shù)據(jù)、5G、云計(jì)算、人工智能等技術(shù)發(fā)展，各行各業(yè)都開(kāi)始“互聯(lián)網(wǎng) +”的服務(wù)。同時(shí)在疫情的持續(xù)影響下，遠(yuǎn)程辦公、在線教育、在線醫(yī)療、直播帶貨、社區(qū)團(tuán)購(gòu)等產(chǎn)業(yè)快速崛起，Bots的攻擊態(tài)勢(shì)也趨于常態(tài)化。

據(jù)瑞數(shù)信息《2022 Bots自動(dòng)化威脅報(bào)告》顯示，綜合各行各業(yè)的網(wǎng)絡(luò)請(qǐng)求流量來(lái)看，Bots產(chǎn)生的流量明顯高于正常訪問(wèn)流量，2021年Bots訪問(wèn)占比持續(xù)上升至59.71%。在能源行業(yè)，惡意機(jī)器人的比例高達(dá)31.62%，這個(gè)比例還在進(jìn)一步提升。

●趨勢(shì)2：零日漏洞攻擊持續(xù)深化

0day漏洞利用數(shù)量和攻擊流量持續(xù)增長(zhǎng)，漏洞攻擊和影響面逐步擴(kuò)大，0day漏洞攻擊越來(lái)越常態(tài)化。

根據(jù)CVE和CNNVD披露的數(shù)據(jù)顯示，2021年新增漏洞超過(guò)20000個(gè)，相比2020年漏洞數(shù)量進(jìn)一步增加。除數(shù)量之外，開(kāi)源和第三方組件的0day漏洞影響面擴(kuò)大，軟件供應(yīng)鏈安全問(wèn)題嚴(yán)峻。特別是在2021年底爆發(fā)的Log4j核彈級(jí)漏洞，給整個(gè)JVM生態(tài)圈帶來(lái)致命打擊，影響至今。

在零日漏洞攻擊持續(xù)深化的背后，是黑客組織進(jìn)一步加大投入在各種自動(dòng)化工具上，使攻擊武器庫(kù)更加龐大，發(fā)現(xiàn)和利用漏洞一體化，網(wǎng)絡(luò)犯罪更加高效。

●趨勢(shì)3：API 攻擊持續(xù)走高

API已成為企業(yè)數(shù)字業(yè)務(wù)生態(tài)系統(tǒng)的支柱，但同時(shí)也給了攻擊者可乘之機(jī)。有數(shù)據(jù)顯示，每個(gè)企業(yè)平均管理超過(guò)350種不同的API，其中69%的企業(yè)會(huì)將這些API開(kāi)放給公眾和他們的合作伙伴。隨著API調(diào)用數(shù)量的增多和自動(dòng)化工具的興起，涉及的數(shù)據(jù)泄漏和欺詐風(fēng)險(xiǎn)正對(duì)企業(yè)的業(yè)務(wù)安全構(gòu)成新的挑戰(zhàn)。

●趨勢(shì)4：數(shù)據(jù)爬蟲(chóng)依然泛濫

惡意數(shù)據(jù)爬蟲(chóng)是自動(dòng)化攻擊請(qǐng)求中占比最大的一類(lèi)，無(wú)論是傳統(tǒng)行業(yè)、互聯(lián)網(wǎng)行業(yè)，還是政企、醫(yī)療、能源、教育等，都遭受持續(xù)不斷的爬蟲(chóng)訪問(wèn)。2022年瑞數(shù)信息監(jiān)測(cè)到的惡意爬蟲(chóng)攻擊達(dá)到1000億以上，各個(gè)行業(yè)的信息服務(wù)業(yè)務(wù)是爬蟲(chóng)光顧的重災(zāi)區(qū)。在公開(kāi)數(shù)據(jù)方面，惡意爬蟲(chóng)主要關(guān)注企業(yè)信息、公示信息、敏感數(shù)據(jù)等。

●趨勢(shì)5：AI武器更聰明

AI驅(qū)動(dòng)的進(jìn)攻性網(wǎng)絡(luò)威脅的發(fā)展正在重新定義企業(yè)安全，特別是ChatGPT的出現(xiàn)，使得網(wǎng)絡(luò)安全從現(xiàn)階段的人與人對(duì)抗、人機(jī)對(duì)抗，向基于AI攻防對(duì)抗的演化趨勢(shì)愈加明顯。目前，人類(lèi)的應(yīng)對(duì)措施已經(jīng)落后于Bots攻擊。

瑞數(shù)動(dòng)態(tài)安全 助力石油石化企業(yè)應(yīng)對(duì)Bots自動(dòng)化威脅

能源是國(guó)民經(jīng)濟(jì)發(fā)展的重要支撐，其中石油石化安全直接影響國(guó)家安全、可持續(xù)發(fā)展以及社會(huì)穩(wěn)定，保護(hù)石油石化企業(yè)的信息安全至關(guān)重要。面對(duì)Bots自動(dòng)化工具已成為攻擊常態(tài)手法的挑戰(zhàn)，石油石化企業(yè)該如何應(yīng)對(duì)？

對(duì)此，瑞數(shù)信息高級(jí)安全顧問(wèn)張凡表示，在Bots自動(dòng)化威脅發(fā)展的新趨勢(shì)下，石油石化企業(yè)可從四大安全防護(hù)重點(diǎn)出發(fā)，并采用創(chuàng)新性的安全技術(shù)來(lái)應(yīng)對(duì)新挑戰(zhàn)。

第一，隨著B(niǎo)ots自動(dòng)化攻擊趨于常態(tài)化，Bots自動(dòng)化威脅防護(hù)體系應(yīng)成為企業(yè)標(biāo)配。

第二，API調(diào)用數(shù)量的增多和自動(dòng)化工具的興起，其涉及的數(shù)據(jù)泄漏等安全問(wèn)題對(duì)業(yè)務(wù)安全構(gòu)成新的挑戰(zhàn)，API合規(guī)和安全應(yīng)成為企業(yè)安全防護(hù)重中之重。

第三，如今企業(yè)業(yè)務(wù)應(yīng)用形態(tài)從早期的Web到如今的APP、H5、小程序、API，呈現(xiàn)多樣化趨勢(shì)，因此支持WAF、Bots管理、API防護(hù)等多種安全能力的整合性防御機(jī)制勢(shì)在必行。

第四，面對(duì)越來(lái)越復(fù)雜的自動(dòng)化攻擊，過(guò)去以人力為主的被動(dòng)防御已徹底失效，企業(yè)應(yīng)借助AI、自動(dòng)化響應(yīng)機(jī)制等新手段，筑高智能型主動(dòng)安全防御門(mén)檻，實(shí)現(xiàn)攻防對(duì)抗能力持續(xù)升級(jí)。

據(jù)張凡介紹，作為中國(guó)動(dòng)態(tài)安全技術(shù)的創(chuàng)新者和Bots自動(dòng)化攻擊防護(hù)領(lǐng)域的專(zhuān)業(yè)廠商，瑞數(shù)信息提供涵蓋Web、App和API的全渠道應(yīng)用安全、業(yè)務(wù)安全、數(shù)據(jù)安全、云安全等在內(nèi)的專(zhuān)業(yè)網(wǎng)絡(luò)安全產(chǎn)品及服務(wù)。

瑞數(shù)信息的核心技術(shù)在于獨(dú)特的動(dòng)態(tài)安全技術(shù)，轉(zhuǎn)換了傳統(tǒng)安全防護(hù)的視角，不再依靠攻擊特征庫(kù)、異常特征庫(kù)的匹配來(lái)識(shí)別Bots自動(dòng)化攻擊，而是通過(guò)“隱藏漏洞、變換自身、驗(yàn)證真?zhèn)?rdquo;等方式提高黑客的攻擊成本，從而實(shí)現(xiàn)更加主動(dòng)和有效的主動(dòng)防護(hù)。

據(jù)悉，瑞數(shù)信息的動(dòng)態(tài)安全架構(gòu)由四大核心技術(shù)構(gòu)成：

●動(dòng)態(tài)封裝，對(duì)網(wǎng)頁(yè)底層代碼做動(dòng)態(tài)封裝，隱藏攻擊入口，提升攻擊難度；

●動(dòng)態(tài)驗(yàn)證，運(yùn)行環(huán)境驗(yàn)證，有效甄別“人”還是“自動(dòng)化”攻擊，打擊自動(dòng)化攻擊的有效工具；

●動(dòng)態(tài)混淆，對(duì)客戶(hù)端敏感數(shù)據(jù)進(jìn)行混淆，保護(hù)數(shù)據(jù)傳輸安全，保護(hù)終端請(qǐng)求內(nèi)容及交易內(nèi)容；

●動(dòng)態(tài)令牌，一次性動(dòng)態(tài)令牌，確保執(zhí)行正確的業(yè)務(wù)邏輯，保障業(yè)務(wù)安全運(yùn)行。

基于瑞數(shù)信息獨(dú)特的動(dòng)態(tài)驗(yàn)證、封裝、混淆、令牌四大動(dòng)態(tài)安全技術(shù)，企業(yè)可實(shí)現(xiàn)多種動(dòng)態(tài)干擾功能：web代碼混淆、JS混淆、前端反調(diào)試、Cookie混淆、中間人檢測(cè)等，大幅提升攻擊難度與成本，有效進(jìn)行人機(jī)識(shí)別。

針對(duì)困擾企業(yè)的0day漏洞，瑞數(shù)動(dòng)態(tài)安全技術(shù)可利用工具請(qǐng)求的固有屬性出發(fā)，一旦識(shí)別到是工具行為，就可以直接對(duì)0day攻擊進(jìn)行阻斷，實(shí)現(xiàn)對(duì)業(yè)務(wù)的動(dòng)態(tài)保護(hù)。

除了0day漏洞，瑞數(shù)信息動(dòng)態(tài)安全技術(shù)以多維度“分級(jí)分層”的對(duì)抗策略，能夠有效應(yīng)對(duì)各類(lèi)自動(dòng)化攻擊，如：漏洞掃描、撞庫(kù)、爬蟲(chóng)、應(yīng)用DDOS、高級(jí)定制工具、多源低頻等等，直擊黑產(chǎn)最底層，讓自動(dòng)化工具無(wú)法使用。

隨著攻防對(duì)抗的升級(jí)，基于規(guī)則和特征的傳統(tǒng)安全設(shè)備防護(hù)效率將越來(lái)越低。同時(shí)，僅憑企業(yè)有限的安全人力，也難以維持常態(tài)化的安全防護(hù)?；谌饠?shù)信息的動(dòng)態(tài)安全技術(shù)，無(wú)需依賴(lài)規(guī)則和特征庫(kù)，就能夠讓自動(dòng)化黑客工具失效，扭轉(zhuǎn)攻防不對(duì)稱(chēng)的局面，真正做到從“人防”到“技防”。

張凡指出，動(dòng)態(tài)安全與傳統(tǒng)安全所代表的并非是不同品牌的安全產(chǎn)品，而是完全不同的技術(shù)、不同的防護(hù)原理，因此企業(yè)構(gòu)建真正意義上的異構(gòu)立體防護(hù)體系，實(shí)際上是要把動(dòng)態(tài)安全防護(hù)與傳統(tǒng)安全防護(hù)有機(jī)結(jié)合起來(lái)。

目前，瑞數(shù)信息“動(dòng)態(tài)安全”主動(dòng)式防護(hù)技術(shù)，已經(jīng)保護(hù)了上萬(wàn)億企業(yè)客戶(hù)資產(chǎn)和5億多賬戶(hù)。綜合瑞數(shù)信息在多家客戶(hù)進(jìn)行的測(cè)試結(jié)果，瑞數(shù)信息可以為企業(yè)客戶(hù)阻擋99%的自動(dòng)化攻擊，將安全運(yùn)營(yíng)效率提升超過(guò)80%，節(jié)省約21%的帶寬和54%的系統(tǒng)資源。

結(jié)語(yǔ)

安全攻防是一場(chǎng)此消彼長(zhǎng)、永不落幕的戰(zhàn)爭(zhēng)。在Bots自動(dòng)化攻擊泛濫、0day漏洞攻擊不斷升級(jí)的今天，企業(yè)需徹底轉(zhuǎn)換傳統(tǒng)被動(dòng)式的防護(hù)思路，將防護(hù)重心由“人防”向“技防”轉(zhuǎn)變?；谌饠?shù)信息的動(dòng)態(tài)安全技術(shù)，石油石化企業(yè)能夠有效抵御各類(lèi)自動(dòng)化攻擊，實(shí)現(xiàn)防護(hù)能力升級(jí)、運(yùn)維成本降級(jí)，建立起智能型主動(dòng)安全防御體系。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！