“新型基础设施”自2015年左右提出相关概念,到2018年12月中央经济工作会议明确了5G、工业互联网、大数据中心、物联网、人工智能等“新型基础设施”的定位,新基建经过多年的酝酿,在2019年被正式写入政府工作报告中。
2020年开年,首场国务院常务会议再次提到的“新基建”时聚焦在了七大领域:5G基建、特高压、城际高速铁路和城际轨道交通、新能源汽车充电桩、大数据中心、人工智能和工业互联网。
“新基建”迅速成为热点话题,各地纷纷出台了诸多拉动“新基建”的措施,市场也普遍看好“新基建”在拉动经济中的“挑大梁”作用。在政府的大力支持和资本市场的资金热捧之下,“新基建”正式进入了快车道。
自新冠肺炎疫情爆发后,政府对新基建的重视程度有了显著提升,并强调“新型基础设施是以新发展理念为引领,以技术创新为驱动,以信息网络为基础,面向高质量发展需要,提供数字转型、智能升级、融合创新等服务的基础设施体系”。有别于“铁公机”等传统基础设施,“新基建”本质上是立足于科技端的基础设施建设,涉及到通信、电力、交通、数字等多个社会民生重点行业。在数字化飞速发展的今天,“新基建”已经逐渐取代传统基建,引领社会经济发展。
随着数字化浪潮的奔涌而至,新兴产业的发展将大量依赖于数据资源,各种数字化线上业务和应用的快速发展、物联网、车联网、工业互联网的推广应用都将令数据指数级增长,数据的增长速率已达到了前所未有的高水平。在数字经济时代下,数据已成为一种“新能源”,是提升企业能力的“富矿”。
而随着数字化应用种类、数量和访问接口的丰富,让数据和业务被访问和获取的途径迅速膨胀,更广泛的应用及数据安全将成为从国家到企业再到每一位用户都必须关注的重要维度,重要程度不言而喻。
而在新互联网时代,大量新型安全威胁接踵而至,其中势头最猛的当属自动化攻击。为了提高攻击效率和杀伤力,攻击者大量采用使用简单、能力惊人的自动化攻击工具,对网站和数据进行攻击和窃取。据权威机构报告显示,全球90%以上的网络攻击流量都来自于自动化工具,每年造成超过万亿的经济损失。
自动化攻击借由新技术资源而日新月异
攻防技术的发展,让攻击者开始放弃了部分无效的攻击手段,转而采用了更多新型自动化攻击手段,由此催生了更具拟人特点的高级机器人攻击。它们可以发起模拟真人、符合正常业务逻辑的恶意行为,通过庞大的IP资源池,以及花样翻新的技术平台和手段,如使用模拟器、伪造浏览器环境、UA和分布式IP等,让攻击深度隐藏于正常流量,黑客甚至比企业更高效率地使用了AI技术,提升攻击效率被检测的难度,给企业安全带来了极大威胁。
企业需要尽快将自动化攻击管理纳入到企业应用和业务威胁管理架构中,部署多种防范自动化攻击威胁的新技术,将安全防御重心从网络上升到应用,从传统网络边界,迁移到各种应用API。借助涵盖动态安全(见图2)、机器学习、智能人机识别、智能威胁检测、全息设备指纹、智能响应等的AI技术,加强对自动化攻击的识别,并对潜在和更加隐蔽的攻击行为进行更深层次的分析和挖掘,实现精准攻击定位和追踪溯源。
AI技术引发自动化攻击类型日益广泛
伴随着AI技术、自动化工具的应用及平台化趋势的加强,自动化攻击已经成为网络安全的新常态。复杂自动化攻击的手段和覆盖范围正在不断增加,安全攻击变得更具侵略性,我们使用的每一个在线业务和应用都可能成为攻击者的目标,攻击方式不断翻新,由自动化工具发起的高效大规模攻击(恶意爬虫、撞库、虚假注册、交易篡改、内部窃密、API滥用、零日攻击等)等新兴自动化攻击几乎覆盖了各渠道、各行业的各个场景,大幅增加了企业和政府机构在业务、应用和数据层面的安全风险。
企业需要尽快将自动化攻击管理纳入到企业应用和业务威胁管理架构中,部署多种防范自动化攻击威胁的新技术,将安全防御的重心从网络上升到应用,从传统网络边界,迁移到各种应用API,构建集中于商业逻辑、用户、数据和应用的可信安全架构,全面抵挡新的安全威胁。
自动化攻击与安全防护
上文提到黑客可以发起模拟真人、符合正常业务逻辑的恶意行为,通过使用模拟器、伪造浏览器环境和UA、分布式IP等给企业安全带来了极大威胁。此外,更容易获取的自动化攻击工具显著降低了攻击门槛。
在自动化攻击与安全防护之间的对抗中,企业应借助涵盖动态安全、机器学习、智能人机识别、智能威胁检测、全息设备指纹、智能响应等的AI技术,加强对自动化攻击的识别,持续监控并分析流量行为,实现精准攻击定位和追踪溯源,并对潜在和更加隐蔽的攻击行为进行更深层次的分析和挖掘。从而实现由被动向主动、由静态向动态的整体安全防御。
网络漏洞曝光和利用效率提升
受疫情影响,远程办公、在线教育持续火热,其他行业也在这种极端环境下开始思考数字化转型。许多企业纷纷加快了上云的步伐,各类服务和数据不断向云端迁移,但层出不穷的Web应用、移动应用漏洞,以及可以利用各种新型攻击手段并绕过传统安全防护措施的自动化攻击,让企业面临着严峻的业务和数据安全挑战。
因此,具备防漏洞探测、防零日漏洞攻击、防应用DDoS等功能的主动防御措施是Web和移动应用安全最佳的基本防护选择。利用“动态安全”提供的主动式防御技术,可以通过识别攻击是否为脚本、程序、工具等发起,从而在无规则防护升级的情况下对自动化攻击进行有效阻断,实现迅速响应,防范于攻击之前。
数据泄露事件防不胜防
近年来,数据泄露事件泛滥,网络爬虫和内鬼防不胜防,个人信息、账户凭证、内部敏感的企业数据频繁被盗。同时,线下的非法数据售卖也非常猖獗,这就更增加了企业及公民信息外泄和被利用、被伪造的风险,给企业带来了巨大的安全隐患。
然而,自动化工具攻击并不是一成不变的,爬虫技术也在不断发展,手段越来越“高明”。它们不再是简单的脚本或程序,而是在一定程度上能模拟人的行为或浏览器行为。因此依赖签名与规则等的传统安全防御技术,已经无法抵御新兴的安全威胁。
IDC报告明确提出,移动目标的动态防御技术已经成为与机器学习、行为分析、威胁情报技术一样在主动防御领域的重要技术(见图3)。
运用“动态安全”技术进行人机识别,通过机器学习、智能威胁检测等AI技术,严密检查运行环境、浏览器指纹、疑似攻击行为等因素,高效甄别并阻拦高级模拟人或者高级爬虫工具发起的访问需求。通过动态响应机制建立主动防御和持续对抗的能力,持续为企业数据安全保驾护航。
账号安全亟待提升
攻击者广泛利用自动化攻击工具模拟合法用户操作并利用大量跳板快速更换IP,让基于特征比对及行为规则的传统安全防护机制几乎束手无策,这就让依靠IP黑名单拦截攻击的企业面临着重大的安全挑战。
不仅如此,随之而来的敲诈勒索才是黑产利益的更大来源。拥有大量用户的平台,如航旅酒店、电商、网银更是感受到威胁甚巨,一旦被撞库成功、遭遇敲诈勒索,部分企业为了避免事态不断恶化造成难以估计的负面影响,会倾向于先向攻击者提供金钱来解决问题。
为了有效克服传统安全机制在对抗撞库攻击时面临的重大挑战,改变传统的被动式安全防护策略,企业需要以创新的主动防御技术高效甄别伪装成正常行为的已知和未知自动化攻击,阻挡撞库、恶意注册等自动化攻击,防止数据泄漏,防止黑客利用已经泄漏的用户信息及密码进行批量登录,全面保障企业的数据安全和账号安全。
业务欺诈风险日益增加
攻击者可以利用自动化工具,通过伪装成正常交易的业务欺诈行为,例如盗刷、套现、薅羊毛、黄牛抢购、刷单、短信轰炸及违反业务逻辑操作等业务欺诈行为达到攫取经济利益的目的。从商业角度来说,这些攻击行为扰乱了申请数据、转化率、毛利率等商业分析指标,歪曲了业务增长的真实水平。从用户体验来说,真实用户很难在与自动化工具的较量中胜出,直接导致部分客户的流失。
面对业务和网络威胁相混合、应用防护和业务反欺诈相交叠的安全现状,企业需要具有前瞻性的“风控前置”意识,在攻击威胁到达系统之前就对业务欺诈风险进行精准甄别和拦截,动态安全技术,可以在传统风控之前实现对恶意工具行为的前置识别和威胁感知,从而最大限度地主动透视风险,更高效准确地实现业务风险防护。
总结
有效防御自动化攻击是未来安全防护的趋势,能够赋予企业更高等级的安全保护。未来,随着新基建的普及,数字化将成为企业发展的“核心动能”,安全也将成为企业核心竞争优势之一。面对层出不穷的自动化攻击,企业比以往任何时候都更加需要主动、有效的安全防御措施,在自动化攻击对企业产生负面影响之前实现快速检测、响应和阻挡,充分保护企业网络、业务、应用和数据的安全!
随着我国企业数字转型增速加快,信息呈现指数级增长,而当价值信息聚集的时候,威胁也在凝视,利益所在处就是黑产聚集处。瑞数信息认为可以以动态防护、人工智能、可编程对抗和业务威胁感知四大核心技术为基础,将安全防御范畴由Web端进一步拓展到移动端、云端、API、IoT领域,并通过将应用与业务间的多维度安全手段联动起来,消除信息安全体系建设中的“安全孤岛”问题。
形成针对应用和业务威胁的事先预防、事中响应、事后分析三者联动的安全风险闭环,同时纵深加大业务威胁感知和数据透视,深度赋能多场景的业务与应用安全,为企业的风险管理、安全防护打造出一套多维度、多手段、多能力的全纵深防御体系,在当前复杂多变的网络和应用环境下,为企业应用与业务提供了长期、有效、灵活的信息安全防护。
在瑞数信息看来,安全威胁充满未知和不确定,只有持续不断的对抗变化,才能应对未知。瑞数信息希望通过动态安全策略和自动化手段来对抗不确定的、海量的攻击,从而拉升攻击成本,实现企业用户以较低的成本达到高标准的安全基线。
未来,随着新基建的不断深入,瑞数信息将一如既往地加强技术创新,全力为每一位用户提供全面的网络安全保障。同时,也将持续为构建安全、健康、有序的网络环境做出积极贡献。