鄧欣:新趨勢下的攻防難點
2021年9月26日-27日,CCS 2021成都網絡安全大會在成都舉行。大會圍繞“安全新環境·安全新生態”主題,邀請了安全行業專家、學術專家、高校代表、頂級互聯網企業嘉賓等共同探討新基建和數字時代下面臨的安全挑戰。永安在線攜業務反欺詐及API數據安全系列產品和方案亮相大會,同時,CTO鄧欣發表了題為《新趨勢下的攻防難點》的演講。
鄧欣表示,在數字化浪潮下,攻防平面已然產生變化卻缺乏有效的防護方案,致使黑灰產攻擊激增、數據泄露事件頻發……企業迎來更嚴峻的安全挑戰,作為防守方只有洞察并適應不斷變化的趨勢及攻防難點,才有可能立于不敗之地。
大會現場
永安在線展示業務反欺詐及API數據安全產品
數字化浪潮下,
防守方主力變成傳統企業,攻防平面轉移到小程序
在移動互聯網高速發展的今天,各行各業紛紛加快數字化轉型的步伐,企業所面臨的攻防難點也進入到全新的層次。
鄧欣表示,在數字化轉型下的防守方大多是傳統行業,相比于大型互聯網公司有著天然的防護劣勢:安全基礎相對薄弱、安全投入相對有限、安全建設相對滯后等;攻擊方則是身經百戰的黑灰產團伙,他們已形成了非常成熟的產業鏈上中下游,有能力在短時間內實施規模化的攻擊以及進行高效的攻防對抗。而在攻防平面上,以小程序/H5為代表的產品形態,由于開發便捷,使用方便,成為眾多企業數字化轉型的首選。但由于缺乏有效的防護手段,小程序成為了黑灰產攻擊的重災區。
永安在線CTO 鄧欣
而小程序的攻防難點在于:攻擊面容易暴露、保護困難、有限的權限以及攻防不對等四個方面。網絡攻防無止境,無論哪種防守方式都很難做到100%不被破解。針對小程序更好的防護方式是采取動態防護,即我們想保護的最為核心的代碼邏輯和算法它不是固定的,而是動態變化。這樣的設計可以讓黑產很難找到攻擊錨點,無法實施穩定的攻擊。
此外,企業也需要更加重視情報的價值。“未知攻,焉知防”,無論哪種產品形態,情報對于安全攻防來說都是非常重要的。通過情報可以第一時間感知到是否存在針對己方小程序的攻擊以及攻擊規模,并從情報中提取出黑灰產所使用的技術和攻擊邏輯,進行針對性的反制。目前,基于永安在線強大的黑灰產開源情報、閉源情報、工具情報三大情報能力,已經幫助眾多企業偵測到未爆發的風險,并實時感知已發生的攻擊,從而讓企業避免進一步的損失。
API成為數字化基礎設施
也成為黑產重點攻擊的目標
在數字化浪潮中,除了攻守方及攻防平面的變化需要適應和解決之外,數據安全問題也更為需要關注。目前,互聯網應用服務化已成為顯著趨勢,越來越多場景中的應用架構中采用API作為應用間的數據傳輸和控制,這讓API成為數字化基礎設施。然而,隨著API的廣泛運用,API也成為了當前數據泄露的主要渠道之一。近幾年比較重大的一些數據泄露事件,其中有不少都是由于API被惡意攻擊所導致。
但是,針對API的安全防護并非易事。OWASP早在2019年就整理出了排名前10的API安全問題,并對每個問題都進行解讀。而這些安全問題,無論是WAF還是API網關,目前都沒有好的應對方案。
永安在線以情報“透視”API安全風險,
守護API全生命周期安全
永安在線基于長期以來對API安全問題的研究,發現在API安全防控上存在:難避免、難發現、難阻斷、難溯源四大防控難點。如果采用以往基于經驗規則定位風險的傳統數據安全產品,無法檢測或阻止利用每個API邏輯中獨特漏洞的最新攻擊。
鄧欣建議,企業應對API未知風險的感知能力進行加強,并需要對API進行全生命周期管理能力的建設。
API全生命周期管理的建設可分為三部分:一是API資產管理能力的建設,企業需要清晰了解存在哪些應用和API接口以及API涉敏情況等;二是API風險感知能力的建設,需要能夠偵測未爆發的風險,并實時感知哪些API正在被攻擊,攻擊是否真實發生、哪個團伙在攻擊、攻擊的具體鏈路是什么等;三是API風險阻斷能力的建設,需要能夠主動阻斷黑灰產通過直接調用API的方式批量發起攻擊,增強風險事件處置能力。
在過去多年的探索實踐中,永安在線專注于業務安全情報能力的培養,走出了一條不同于傳統網絡安全企業的新路。從情報挖掘出來的眾多風險事件中發現,情報在API的安全防護上,有著天然的優勢,能夠實現API未知風險的前置感知和處理。因此,永安在線基于情報能力打造出了一個擁有API資產管理、API風險感知及API攻擊風險阻斷三大能力的API安全管控平臺,將管控能力和攻防能力相融合,幫助企業建立起全局視角、集中分析和管控API,達到內外兼修、攻防兼備的效果,有效幫助企業應對API資產管理和安全防護帶來的挑戰。
結語
萬物互聯的時代,數字化轉型已成為實現創新發展的重要動能,但也促使企業的安全攻防挑戰難點增多,企業需要不斷加強安全風控的能力建設,特別是在此前忽略的API管理和防護中,更需建立完整的攻防體系,才能為數字化轉型夯實安全底座,讓企業發展無后顧之憂。
