域名預(yù)訂/競價(jià)，好“米”不錯(cuò)過

近日，中國石油石化企業(yè)信息技術(shù)交流大會暨油氣產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型高峰論壇在京召開。本屆大會由中國石油學(xué)會、中國石油、中國石化、中國海油、國家管網(wǎng)、國家能源、中國中化、中國航油、延長石油、中國地質(zhì)調(diào)查局等單位共同主辦。

作為我國石油石化行業(yè)的盛會，此大會已連續(xù)舉辦了十余屆，為推動石油石化企業(yè)數(shù)字化轉(zhuǎn)型、智能化發(fā)展發(fā)揮了重要積極作用。在會上，瑞數(shù)信息高級安全顧問張凡發(fā)表了題為《自動化威脅的趨勢與應(yīng)對》的主題演講，為石油石化企業(yè)應(yīng)對自動化威脅帶來了創(chuàng)新安全技術(shù)方案。

瑞數(shù)信息高級安全顧問 張凡

數(shù)字化時(shí)代 企業(yè)面臨5大Bots自動化威脅

數(shù)字化時(shí)代，Bots自動化攻擊已經(jīng)演變?yōu)榫W(wǎng)絡(luò)安全領(lǐng)域的頑疾，不斷升級的Bots自動化威脅持續(xù)牽動著行業(yè)的神經(jīng)。

瑞數(shù)信息高級安全顧問張凡表示，瑞數(shù)信息作為Bots自動化攻擊防護(hù)領(lǐng)域的專業(yè)廠商，多年來持續(xù)輸出Bots自動化威脅報(bào)告，現(xiàn)階段觀察到5大Bots自動化威脅趨勢：

●趨勢1：Bots攻擊趨于常態(tài)化

在“十四五”規(guī)劃以及數(shù)字化浪潮的驅(qū)動下，伴隨著大數(shù)據(jù)、5G、云計(jì)算、人工智能等技術(shù)發(fā)展，各行各業(yè)都開始“互聯(lián)網(wǎng) +”的服務(wù)。同時(shí)在疫情的持續(xù)影響下，遠(yuǎn)程辦公、在線教育、在線醫(yī)療、直播帶貨、社區(qū)團(tuán)購等產(chǎn)業(yè)快速崛起，Bots的攻擊態(tài)勢也趨于常態(tài)化。

據(jù)瑞數(shù)信息《2022 Bots自動化威脅報(bào)告》顯示，綜合各行各業(yè)的網(wǎng)絡(luò)請求流量來看，Bots產(chǎn)生的流量明顯高于正常訪問流量，2021年Bots訪問占比持續(xù)上升至59.71%。在能源行業(yè)，惡意機(jī)器人的比例高達(dá)31.62%，這個(gè)比例還在進(jìn)一步提升。

●趨勢2：零日漏洞攻擊持續(xù)深化

0day漏洞利用數(shù)量和攻擊流量持續(xù)增長，漏洞攻擊和影響面逐步擴(kuò)大，0day漏洞攻擊越來越常態(tài)化。

根據(jù)CVE和CNNVD披露的數(shù)據(jù)顯示，2021年新增漏洞超過20000個(gè)，相比2020年漏洞數(shù)量進(jìn)一步增加。除數(shù)量之外，開源和第三方組件的0day漏洞影響面擴(kuò)大，軟件供應(yīng)鏈安全問題嚴(yán)峻。特別是在2021年底爆發(fā)的Log4j核彈級漏洞，給整個(gè)JVM生態(tài)圈帶來致命打擊，影響至今。

在零日漏洞攻擊持續(xù)深化的背后，是黑客組織進(jìn)一步加大投入在各種自動化工具上，使攻擊武器庫更加龐大，發(fā)現(xiàn)和利用漏洞一體化，網(wǎng)絡(luò)犯罪更加高效。

●趨勢3：API 攻擊持續(xù)走高

API已成為企業(yè)數(shù)字業(yè)務(wù)生態(tài)系統(tǒng)的支柱，但同時(shí)也給了攻擊者可乘之機(jī)。有數(shù)據(jù)顯示，每個(gè)企業(yè)平均管理超過350種不同的API，其中69%的企業(yè)會將這些API開放給公眾和他們的合作伙伴。隨著API調(diào)用數(shù)量的增多和自動化工具的興起，涉及的數(shù)據(jù)泄漏和欺詐風(fēng)險(xiǎn)正對企業(yè)的業(yè)務(wù)安全構(gòu)成新的挑戰(zhàn)。

●趨勢4：數(shù)據(jù)爬蟲依然泛濫

惡意數(shù)據(jù)爬蟲是自動化攻擊請求中占比最大的一類，無論是傳統(tǒng)行業(yè)、互聯(lián)網(wǎng)行業(yè)，還是政企、醫(yī)療、能源、教育等，都遭受持續(xù)不斷的爬蟲訪問。2022年瑞數(shù)信息監(jiān)測到的惡意爬蟲攻擊達(dá)到1000億以上，各個(gè)行業(yè)的信息服務(wù)業(yè)務(wù)是爬蟲光顧的重災(zāi)區(qū)。在公開數(shù)據(jù)方面，惡意爬蟲主要關(guān)注企業(yè)信息、公示信息、敏感數(shù)據(jù)等。

●趨勢5：AI武器更聰明

AI驅(qū)動的進(jìn)攻性網(wǎng)絡(luò)威脅的發(fā)展正在重新定義企業(yè)安全，特別是ChatGPT的出現(xiàn)，使得網(wǎng)絡(luò)安全從現(xiàn)階段的人與人對抗、人機(jī)對抗，向基于AI攻防對抗的演化趨勢愈加明顯。目前，人類的應(yīng)對措施已經(jīng)落后于Bots攻擊。

瑞數(shù)動態(tài)安全 助力石油石化企業(yè)應(yīng)對Bots自動化威脅

能源是國民經(jīng)濟(jì)發(fā)展的重要支撐，其中石油石化安全直接影響國家安全、可持續(xù)發(fā)展以及社會穩(wěn)定，保護(hù)石油石化企業(yè)的信息安全至關(guān)重要。面對Bots自動化工具已成為攻擊常態(tài)手法的挑戰(zhàn)，石油石化企業(yè)該如何應(yīng)對？

對此，瑞數(shù)信息高級安全顧問張凡表示，在Bots自動化威脅發(fā)展的新趨勢下，石油石化企業(yè)可從四大安全防護(hù)重點(diǎn)出發(fā)，并采用創(chuàng)新性的安全技術(shù)來應(yīng)對新挑戰(zhàn)。

第一，隨著Bots自動化攻擊趨于常態(tài)化，Bots自動化威脅防護(hù)體系應(yīng)成為企業(yè)標(biāo)配。

第二，API調(diào)用數(shù)量的增多和自動化工具的興起，其涉及的數(shù)據(jù)泄漏等安全問題對業(yè)務(wù)安全構(gòu)成新的挑戰(zhàn)，API合規(guī)和安全應(yīng)成為企業(yè)安全防護(hù)重中之重。

第三，如今企業(yè)業(yè)務(wù)應(yīng)用形態(tài)從早期的Web到如今的APP、H5、小程序、API，呈現(xiàn)多樣化趨勢，因此支持WAF、Bots管理、API防護(hù)等多種安全能力的整合性防御機(jī)制勢在必行。

第四，面對越來越復(fù)雜的自動化攻擊，過去以人力為主的被動防御已徹底失效，企業(yè)應(yīng)借助AI、自動化響應(yīng)機(jī)制等新手段，筑高智能型主動安全防御門檻，實(shí)現(xiàn)攻防對抗能力持續(xù)升級。

據(jù)張凡介紹，作為中國動態(tài)安全技術(shù)的創(chuàng)新者和Bots自動化攻擊防護(hù)領(lǐng)域的專業(yè)廠商，瑞數(shù)信息提供涵蓋Web、App和API的全渠道應(yīng)用安全、業(yè)務(wù)安全、數(shù)據(jù)安全、云安全等在內(nèi)的專業(yè)網(wǎng)絡(luò)安全產(chǎn)品及服務(wù)。

瑞數(shù)信息的核心技術(shù)在于獨(dú)特的動態(tài)安全技術(shù)，轉(zhuǎn)換了傳統(tǒng)安全防護(hù)的視角，不再依靠攻擊特征庫、異常特征庫的匹配來識別Bots自動化攻擊，而是通過“隱藏漏洞、變換自身、驗(yàn)證真?zhèn)?rdquo;等方式提高黑客的攻擊成本，從而實(shí)現(xiàn)更加主動和有效的主動防護(hù)。

據(jù)悉，瑞數(shù)信息的動態(tài)安全架構(gòu)由四大核心技術(shù)構(gòu)成：

●動態(tài)封裝，對網(wǎng)頁底層代碼做動態(tài)封裝，隱藏攻擊入口，提升攻擊難度；

●動態(tài)驗(yàn)證，運(yùn)行環(huán)境驗(yàn)證，有效甄別“人”還是“自動化”攻擊，打擊自動化攻擊的有效工具；

●動態(tài)混淆，對客戶端敏感數(shù)據(jù)進(jìn)行混淆，保護(hù)數(shù)據(jù)傳輸安全，保護(hù)終端請求內(nèi)容及交易內(nèi)容；

●動態(tài)令牌，一次性動態(tài)令牌，確保執(zhí)行正確的業(yè)務(wù)邏輯，保障業(yè)務(wù)安全運(yùn)行。

基于瑞數(shù)信息獨(dú)特的動態(tài)驗(yàn)證、封裝、混淆、令牌四大動態(tài)安全技術(shù)，企業(yè)可實(shí)現(xiàn)多種動態(tài)干擾功能：web代碼混淆、JS混淆、前端反調(diào)試、Cookie混淆、中間人檢測等，大幅提升攻擊難度與成本，有效進(jìn)行人機(jī)識別。

針對困擾企業(yè)的0day漏洞，瑞數(shù)動態(tài)安全技術(shù)可利用工具請求的固有屬性出發(fā)，一旦識別到是工具行為，就可以直接對0day攻擊進(jìn)行阻斷，實(shí)現(xiàn)對業(yè)務(wù)的動態(tài)保護(hù)。

除了0day漏洞，瑞數(shù)信息動態(tài)安全技術(shù)以多維度“分級分層”的對抗策略，能夠有效應(yīng)對各類自動化攻擊，如：漏洞掃描、撞庫、爬蟲、應(yīng)用DDOS、高級定制工具、多源低頻等等，直擊黑產(chǎn)最底層，讓自動化工具無法使用。

隨著攻防對抗的升級，基于規(guī)則和特征的傳統(tǒng)安全設(shè)備防護(hù)效率將越來越低。同時(shí)，僅憑企業(yè)有限的安全人力，也難以維持常態(tài)化的安全防護(hù)?；谌饠?shù)信息的動態(tài)安全技術(shù)，無需依賴規(guī)則和特征庫，就能夠讓自動化黑客工具失效，扭轉(zhuǎn)攻防不對稱的局面，真正做到從“人防”到“技防”。

張凡指出，動態(tài)安全與傳統(tǒng)安全所代表的并非是不同品牌的安全產(chǎn)品，而是完全不同的技術(shù)、不同的防護(hù)原理，因此企業(yè)構(gòu)建真正意義上的異構(gòu)立體防護(hù)體系，實(shí)際上是要把動態(tài)安全防護(hù)與傳統(tǒng)安全防護(hù)有機(jī)結(jié)合起來。

目前，瑞數(shù)信息“動態(tài)安全”主動式防護(hù)技術(shù)，已經(jīng)保護(hù)了上萬億企業(yè)客戶資產(chǎn)和5億多賬戶。綜合瑞數(shù)信息在多家客戶進(jìn)行的測試結(jié)果，瑞數(shù)信息可以為企業(yè)客戶阻擋99%的自動化攻擊，將安全運(yùn)營效率提升超過80%，節(jié)省約21%的帶寬和54%的系統(tǒng)資源。

結(jié)語

安全攻防是一場此消彼長、永不落幕的戰(zhàn)爭。在Bots自動化攻擊泛濫、0day漏洞攻擊不斷升級的今天，企業(yè)需徹底轉(zhuǎn)換傳統(tǒng)被動式的防護(hù)思路，將防護(hù)重心由“人防”向“技防”轉(zhuǎn)變?；谌饠?shù)信息的動態(tài)安全技術(shù)，石油石化企業(yè)能夠有效抵御各類自動化攻擊，實(shí)現(xiàn)防護(hù)能力升級、運(yùn)維成本降級，建立起智能型主動安全防御體系。

申請創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！