即将过去的2016年注定成为中国信息安全发展史上最具里程碑意义的一年,11月7日,千呼万唤的《网络安全法》正式出台,终于从法律层面向伸向个人信息的黑手们亮剑了!近年来,层出不穷的信息泄露事件,日益猖獗的信息买卖到了令人发指的地步。仅在2016年,数据量高达数千万条以上的泄密事件就有10多起之多,在不知不觉中,用户名、密码、邮箱地址、QQ号、电话号码、身份证等信息就成了黑市交易获利的商品。
数据下载、明码标价,黑市交易已然风生云起
攻击泄漏、倒卖获利,完整的黑色产业链已形成
罪魁祸首–又是Struts 2安全漏洞所致
据瑞数信息安全专家对多起数据泄漏源头的追溯,发现很多数据泄漏事件是缘于2013年的Struts 2安全漏洞。
Struts 2可谓大名鼎鼎,黑客可以利用该漏洞轻易攻陷网站服务器,获取网站注册用户的帐号密码和个人资料,从而引发站点的数据泄露、网页篡改、植入后门、成为肉鸡等安全事件。该漏洞目前令国内大量知名网站,包括各大门户、电商、银行等官网都出现了不同程度的信息泄露和影响。
而对于此类漏洞的防护手段目前采用的是以打补丁和更新软件版本为主,然而,事实再次证明这种事后的被动式防御手段在新的威胁面前显现出力不从心。
火上浇油–利用撞库疯狂掠夺信息
黑客利用Struts 2漏洞获得大量注册用户名和密码数据后岂能善罢甘休,更为疯狂的是,黑客还将利用这些用户名和密码数据再次通过自动化程序对商家的网站实施撞库攻击、账号盗用,从而进一步导致用户信息及资金蒙受巨额损失。
传统的防御手段仅仅是通过打补丁堵上漏洞,或者建议客户尽快更新密码,进行安全升级。然而,事实上我们无法期待所有用户都能对账号进及时行安全升级,因此仍然有大量尚未更新密码的客户信息存留在黑市中。而这些鲜活的信息就恰恰为黑客再次撞库带来了机会,也为商家和用户造成了巨大的风险。
仅仅更换密码就安全了吗?
今天,我们看到的更多建议是请每一位消费者尽快更改登陆密码。从消费者自我保护的角度来讲,修改密码的确是必须采取的行动。但是大规模泄露事件一般是因为网站漏洞,使用复杂密码、频繁更换密码只是增加了黑客破解密码的难度;不同网站使用不同密码,也只是能防止黑客“撞库”。因此作为商家,在及时提醒消费者的同时又该怎样更主动地为消费者提供保护?而非仅仅是发生事件后的应急通知呢?
保护在线业务,是时候该换一种安全思路了!
作为商家,其在线平台不仅要在业务层面保护自己的各种行销资源,同时更有义务保护好用户的数据不被窃取,因此更要积极打破原有基于签名、验证、打补丁的传统防护方式,化被动为主动防御。
在寻求更加主动有效的防护技术中,瑞数信息的安全专家建议目前可通过针对网页的动态安全技术实现实时和在线的防护,可以让攻击程序无法进行漏洞利用的尝试,从而在补丁没有更新、传统防护手段未到位时,进行有效防护。
1、改变现有手段特征匹配式的防护思路,以动态变幻的技术视角,实现实时主动防御效果,对抗利用工具的自动化攻击行为,包含漏洞探测和利用、零日攻击及合法业务逻辑滥用等恶意攻击行为。
2、通过创新的动态安全技术抵抗多源低频攻击,弥补现有防护手段的缺失,补足传统应用安全防护手段能力不及之处。
3、利用动态安全技术中的终端安全威胁感知能力,提供对于安全威胁态势以及攻击者画像更为细粒度的特征数据。
4、无需修改应用代码,不必进行特征库、策略库的升级维护工作,降低运维成本,有效阻止网上大量的自动化攻击,有效节省带宽、服务器等资源。
更广阔的应用场景
动态安全技术不仅在对抗Struts2的漏洞利用中,提供了比打补丁更为及时、有效的方法,该技术对于零日漏洞利用的攻击,利用漏洞进行的业务违规操作以及合法逻辑滥用的行为,都有很有效的防护效果。该技术目前已经广泛运用在政府、企业以及商业活动的应用场景中。
政府及企业数据保护 – “互联网+”时代,有效防止拖库、撞库、恶意爬虫等行为,保护政府及国家关键性网上业务和数据的安全。
企业对外业务风险防范–阻挡通过自动化工具进行恶意抢购、虚假交易、违规套现等行为,给企业的商业业务造成很大风险。
企业内部应用风险防范 -有效防止企业内部敏感数据泄漏、合法业务滥用的安全风险。
安全问题迫在眉睫!瑞数颠覆性的动态安全技术可以有效防护未知威胁及自动化攻击,实现零补丁、零规则,助力企业跑赢零日,将Struts2及未来的零日攻击阻挡于大门之外!