近日,中国石油石化企业信息技术交流大会暨油气产业数字化转型高峰论坛在京召开。本届大会由中国石油学会、中国石油、中国石化、中国海油、国家管网、国家能源、中国中化、中国航油、延长石油、中国地质调查局等单位共同主办。
作为我国石油石化行业的盛会,此大会已连续举办了十余届,为推动石油石化企业数字化转型、智能化发展发挥了重要积极作用。在会上,瑞数信息高级安全顾问张凡发表了题为《自动化威胁的趋势与应对》的主题演讲,为石油石化企业应对自动化威胁带来了创新安全技术方案。
瑞数信息高级安全顾问 张凡
数字化时代 企业面临5大Bots自动化威胁
数字化时代,Bots自动化攻击已经演变为网络安全领域的顽疾,不断升级的Bots自动化威胁持续牵动着行业的神经。
瑞数信息高级安全顾问张凡表示,瑞数信息作为Bots自动化攻击防护领域的专业厂商,多年来持续输出Bots自动化威胁报告,现阶段观察到5大Bots自动化威胁趋势:
l趋势1:Bots攻击趋于常态化
在“十四五”规划以及数字化浪潮的驱动下,伴随着大数据、5G、云计算、人工智能等技术发展,各行各业都开始“互联网 +”的服务。同时在疫情的持续影响下,远程办公、在线教育、在线医疗、直播带货、社区团购等产业快速崛起,Bots的攻击态势也趋于常态化。
据瑞数信息《2022 Bots自动化威胁报告》显示,综合各行各业的网络请求流量来看,Bots产生的流量明显高于正常访问流量,2021年Bots访问占比持续上升至59.71%。在能源行业,恶意机器人的比例高达31.62%,这个比例还在进一步提升。
l趋势2:零日漏洞攻击持续深化
0day漏洞利用数量和攻击流量持续增长,漏洞攻击和影响面逐步扩大,0day漏洞攻击越来越常态化。
根据CVE和CNNVD披露的数据显示,2021年新增漏洞超过20000个,相比2020年漏洞数量进一步增加。除数量之外,开源和第三方组件的0day漏洞影响面扩大,软件供应链安全问题严峻。特别是在2021年底爆发的Log4j核弹级漏洞,给整个JVM生态圈带来致命打击,影响至今。
在零日漏洞攻击持续深化的背后,是黑客组织进一步加大投入在各种自动化工具上,使攻击武器库更加庞大,发现和利用漏洞一体化,网络犯罪更加高效。
趋势3:API 攻击持续走高
API已成为企业数字业务生态系统的支柱,但同时也给了攻击者可乘之机。有数据显示,每个企业平均管理超过350种不同的API,其中69%的企业会将这些API开放给公众和他们的合作伙伴。随着API调用数量的增多和自动化工具的兴起,涉及的数据泄漏和欺诈风险正对企业的业务安全构成新的挑战。
趋势4:数据爬虫依然泛滥
恶意数据爬虫是自动化攻击请求中占比最大的一类,无论是传统行业、互联网行业,还是政企、医疗、能源、教育等,都遭受持续不断的爬虫访问。2022年瑞数信息监测到的恶意爬虫攻击达到1000亿以上,各个行业的信息服务业务是爬虫光顾的重灾区。在公开数据方面,恶意爬虫主要关注企业信息、公示信息、敏感数据等。
趋势5:AI武器更聪明
AI驱动的进攻性网络威胁的发展正在重新定义企业安全,特别是ChatGPT的出现,使得网络安全从现阶段的人与人对抗、人机对抗,向基于AI攻防对抗的演化趋势愈加明显。目前,人类的应对措施已经落后于Bots攻击。
瑞数动态安全 助力石油石化企业应对Bots自动化威胁
能源是国民经济发展的重要支撑,其中石油石化安全直接影响国家安全、可持续发展以及社会稳定,保护石油石化企业的信息安全至关重要。面对Bots自动化工具已成为攻击常态手法的挑战,石油石化企业该如何应对?
对此,瑞数信息高级安全顾问张凡表示,在Bots自动化威胁发展的新趋势下,石油石化企业可从四大安全防护重点出发,并采用创新性的安全技术来应对新挑战。
第一,随着Bots自动化攻击趋于常态化,Bots自动化威胁防护体系应成为企业标配。
第二,API调用数量的增多和自动化工具的兴起,其涉及的数据泄漏等安全问题对业务安全构成新的挑战,API合规和安全应成为企业安全防护重中之重。
第三,如今企业业务应用形态从早期的Web到如今的APP、H5、小程序、API,呈现多样化趋势,因此支持WAF、Bots管理、API防护等多种安全能力的整合性防御机制势在必行。
第四,面对越来越复杂的自动化攻击,过去以人力为主的被动防御已彻底失效,企业应借助AI、自动化响应机制等新手段,筑高智能型主动安全防御门槛,实现攻防对抗能力持续升级。
据张凡介绍,作为中国动态安全技术的创新者和Bots自动化攻击防护领域的专业厂商,瑞数信息提供涵盖Web、App和API的全渠道应用安全、业务安全、数据安全、云安全等在内的专业网络安全产品及服务。
瑞数信息的核心技术在于独特的动态安全技术,转换了传统安全防护的视角,不再依靠攻击特征库、异常特征库的匹配来识别Bots自动化攻击,而是通过“隐藏漏洞、变换自身、验证真伪”等方式提高黑客的攻击成本,从而实现更加主动和有效的主动防护。
据悉,瑞数信息的动态安全架构由四大核心技术构成:
l 动态封装,对网页底层代码做动态封装,隐藏攻击入口,提升攻击难度;
l 动态验证,运行环境验证,有效甄别“人”还是“自动化”攻击,打击自动化攻击的有效工具;
l 动态混淆,对客户端敏感数据进行混淆,保护数据传输安全,保护终端请求内容及交易内容;
l 动态令牌,一次性动态令牌,确保执行正确的业务逻辑,保障业务安全运行。
基于瑞数信息独特的动态验证、封装、混淆、令牌四大动态安全技术,企业可实现多种动态干扰功能:web代码混淆、JS混淆、前端反调试、Cookie混淆、中间人检测等,大幅提升攻击难度与成本,有效进行人机识别。
针对困扰企业的0day漏洞,瑞数动态安全技术可利用工具请求的固有属性出发,一旦识别到是工具行为,就可以直接对0day攻击进行阻断,实现对业务的动态保护。
除了0day漏洞,瑞数信息动态安全技术以多维度“分级分层”的对抗策略,能够有效应对各类自动化攻击,如:漏洞扫描、撞库、爬虫、应用DDOS、高级定制工具、多源低频等等,直击黑产最底层,让自动化工具无法使用。
随着攻防对抗的升级,基于规则和特征的传统安全设备防护效率将越来越低。同时,仅凭企业有限的安全人力,也难以维持常态化的安全防护。基于瑞数信息的动态安全技术,无需依赖规则和特征库,就能够让自动化黑客工具失效,扭转攻防不对称的局面,真正做到从“人防”到“技防”。
张凡指出,动态安全与传统安全所代表的并非是不同品牌的安全产品,而是完全不同的技术、不同的防护原理,因此企业构建真正意义上的异构立体防护体系,实际上是要把动态安全防护与传统安全防护有机结合起来。
目前,瑞数信息“动态安全”主动式防护技术,已经保护了上万亿企业客户资产和5亿多账户。综合瑞数信息在多家客户进行的测试结果,瑞数信息可以为企业客户阻挡99%的自动化攻击,将安全运营效率提升超过80%,节省约21%的带宽和54%的系统资源。
结语
安全攻防是一场此消彼长、永不落幕的战争。在Bots自动化攻击泛滥、0day漏洞攻击不断升级的今天,企业需彻底转换传统被动式的防护思路,将防护重心由“人防”向“技防”转变。基于瑞数信息的动态安全技术,石油石化企业能够有效抵御各类自动化攻击,实现防护能力升级、运维成本降级,建立起智能型主动安全防御体系。