如今,電子政務(wù)、電子商務(wù)、網(wǎng)上銀行、網(wǎng)上營業(yè)廳等依托Web應(yīng)用,為廣大用戶提供靈活多樣的服務(wù)。在這之中,流量攻擊堪稱是Web應(yīng)用的最大敵人,黑客通過流量攻擊獲取利益、競爭對(duì)手雇傭黑客發(fā)起惡意攻擊、不法分子通過流量攻擊癱瘓目標(biāo)后勒索高額保護(hù)費(fèi),往往會(huì)對(duì)業(yè)務(wù)造成嚴(yán)重?fù)p害。
對(duì)于開發(fā)者和企業(yè)網(wǎng)站管理人員來說,數(shù)據(jù)爬取、暴力破解和撞庫等Web攻擊手段日益復(fù)雜,均需要建立強(qiáng)大且實(shí)時(shí)的防御能力,避免業(yè)務(wù)乃至企業(yè)因防護(hù)脆弱“失血過多”而死。部署WAF成為公認(rèn)的最基礎(chǔ)且有效的防御手段,但由于攻擊手段的多樣化和企業(yè)業(yè)務(wù)的復(fù)雜性,傳統(tǒng)的本地部署WAF已經(jīng)越來越難以發(fā)揮預(yù)想的防御效果。
云WAF恰恰能夠解決本地部署WAF的缺陷,成為大量中小型企業(yè)以及個(gè)人網(wǎng)站的新選擇。云WAF部署簡單、維護(hù)成本低,無需安裝任何軟件或者部署任何硬件設(shè)備即可將網(wǎng)站部署到云WAF的防護(hù)范圍之內(nèi)。云WAF的防護(hù)規(guī)則都處于云端,新漏洞爆發(fā)時(shí),由云端負(fù)責(zé)規(guī)則的更新和維護(hù),用戶無需擔(dān)心因?yàn)槭韬鰧?dǎo)致受到新型的漏洞攻擊。
在日常的部署中,網(wǎng)站負(fù)責(zé)人員如何選擇與自身業(yè)務(wù)屬性和發(fā)展規(guī)劃匹配的云WAF產(chǎn)品?如何確保其能夠?yàn)楝F(xiàn)階段業(yè)務(wù)提供高可用的產(chǎn)品與服務(wù)?又如何為未來業(yè)務(wù)發(fā)展中安全防護(hù)的持續(xù)性和可擴(kuò)展性做好冗余?
我們邀請(qǐng)到騰訊云應(yīng)用安全專家劉吉赟,與大家分享在云WAF產(chǎn)品選擇、部署和使用過程中的實(shí)戰(zhàn)經(jīng)驗(yàn)。
劉吉赟,騰訊安全 WAF研發(fā)負(fù)責(zé)人。近十年安全研發(fā)經(jīng)驗(yàn)和應(yīng)用安全攻防實(shí)戰(zhàn)經(jīng)驗(yàn),主導(dǎo)了多個(gè)網(wǎng)絡(luò)安全防御產(chǎn)品的研發(fā),構(gòu)建了騰訊新一代云WAF防御體系。
以下為采訪實(shí)錄:
Q:如今Web應(yīng)用安全依然是互聯(lián)網(wǎng)安全的最大威脅來源之一,Web應(yīng)用安全目前的新局面是什么,企業(yè)需要面對(duì)怎樣的新挑戰(zhàn)?
劉吉赟:目前的Web應(yīng)用逐步API化,除了傳統(tǒng)的Web攻擊,API的安全問題、網(wǎng)絡(luò)中的機(jī)器人流量的問題也日趨嚴(yán)重,Web應(yīng)用安全從傳統(tǒng)的SQL、XSS防護(hù)等,逐步開始向API安全,Bot機(jī)器人行為防護(hù)等防護(hù)技術(shù)過渡。
在Web攻防實(shí)戰(zhàn)中最受關(guān)注的有四種攻擊方式:一是植入webshell,控制管理后臺(tái)然后拖庫;二是Web內(nèi)容被惡意替換成違法違規(guī)的圖片和文字;三是掛入黃賭網(wǎng)頁、私服或跳轉(zhuǎn)頁面等倒量引流;四是競品發(fā)動(dòng)DDoS攻擊致使業(yè)務(wù)癱瘓。
攻擊技術(shù)、漏洞披露等日趨成熟,特別是針對(duì)Web安全相關(guān)漏洞的利用日趨產(chǎn)業(yè)化,企業(yè)需要更加重視如何在安全運(yùn)營中進(jìn)行快速響應(yīng),構(gòu)建與之適應(yīng)的安全運(yùn)營體系。企業(yè)首先應(yīng)該做好自查,全面完整的自我了解是企業(yè)實(shí)現(xiàn)Web應(yīng)用安全防護(hù)的基礎(chǔ)。同時(shí),更應(yīng)該嘗試和接納新興技術(shù),以顯著提高對(duì)新型威脅和未知威脅的檢測、防御效果。
Q:電商行業(yè)是網(wǎng)絡(luò)攻擊的高發(fā)行業(yè),針對(duì)電商的常見攻擊手段有哪些?
劉吉赟:一種是典型CC攻擊,這是一種針對(duì)網(wǎng)頁的攻擊,原理是模擬多個(gè)用戶正常訪問目標(biāo)網(wǎng)站,例如制造大量后臺(tái)數(shù)據(jù)庫的查詢動(dòng)作占用正常請(qǐng)求資源。“雞賊”之處在于,這種“訪問”本身屬于正常請(qǐng)求,但當(dāng)這種“正常請(qǐng)求”達(dá)到一定程度的時(shí)候,服務(wù)器就會(huì)反應(yīng)不過來直到宕機(jī),也就是App會(huì)出現(xiàn)反應(yīng)慢、賬號(hào)登錄不成功、無法下單、白屏等現(xiàn)象。這也是為什么每次購物節(jié)當(dāng)大家忙著剁手的時(shí)候,各大電商的機(jī)房燈火通明,程序員軟件硬件都用上外加緊張觀察,就是怕服務(wù)器崩掉了帶來慘重?fù)p失。
CC攻擊往往只是敵人的先行兵,更可怕的是后續(xù)可能會(huì)出現(xiàn)的慢BOT攻擊。這種戰(zhàn)術(shù)更有耐心且隱蔽,敵人會(huì)仔細(xì)偵查對(duì)外開放的每一個(gè)接口,對(duì)開銷較大的接口,以較慢的速度長時(shí)間“掛”在你家的網(wǎng)上,消耗大量資源。黑產(chǎn)可能會(huì)肆無忌憚地使用注冊(cè)軟件和隨時(shí)號(hào)碼反復(fù)調(diào)用接口,同時(shí)發(fā)動(dòng)羊毛黨把調(diào)用次數(shù)進(jìn)行幾何級(jí)放大,像一群虎視眈眈又極有耐心的禿鷲,終有一天你會(huì)扛不住,那就是黑產(chǎn)啄食的時(shí)機(jī)。這樣對(duì)網(wǎng)站的損傷也非常大。
在某電商平臺(tái)促銷季的一場攻防戰(zhàn)中,黑產(chǎn)通過四條“小路”發(fā)起猛攻,首先是狂刷用戶行為采集的接口,頻率高達(dá)300-400次每秒,這個(gè)接口主要是記錄用戶訪問APP的行為,再寫入數(shù)據(jù)庫;二是瞄準(zhǔn)APP版本檢查接口,也就是模仿一個(gè)過分焦慮的強(qiáng)迫癥者,一遍遍刷新查詢版本有沒有更新,每天超過幾百萬次,導(dǎo)致APP帶寬被惡意消耗掉;三和四分別是查看商品庫存和查看購物車,派機(jī)器人一遍遍去看商品還剩多少、購物車?yán)镉猩叮寯?shù)據(jù)庫讀寫高到爆滿。
Q:能夠分享一個(gè)實(shí)戰(zhàn)中遇到的典型攻擊案例以及應(yīng)對(duì)的策略?
劉吉赟:去年10月,某旅游網(wǎng)站被爆全網(wǎng)站2100萬條“真實(shí)點(diǎn)評(píng)”中有85%的評(píng)論是通過爬蟲 Bot 機(jī)器人程序從競爭對(duì)手平臺(tái)抄襲而來,“點(diǎn)評(píng)抄襲造假”的輿論風(fēng)波一時(shí)驟起,使網(wǎng)站深陷質(zhì)疑;同年2月,某視頻網(wǎng)站遭遇大量原創(chuàng)內(nèi)容和用戶數(shù)據(jù)被非法網(wǎng)絡(luò)爬蟲盜取侵權(quán);航空公司遭爬蟲惡意低價(jià)搶票等事件層出不窮,無一不在挑戰(zhàn)著各行業(yè)網(wǎng)站業(yè)務(wù)的安全防線。
近期有一家知名的電商遭遇了競爭對(duì)手的CC攻擊,流量非常大,攻擊手法也很罕見。黑產(chǎn)通過短信炸彈發(fā)動(dòng)攻擊,短信網(wǎng)關(guān)并發(fā)量突然超過平時(shí)的十倍,造成企業(yè)為短信接口的濫用付出了巨額“通道費(fèi)”。
騰訊云WAF第一時(shí)間對(duì)遭受攻擊的短信接口做了“前剎車”防護(hù),也就是設(shè)置了CC防護(hù)的規(guī)則,把對(duì)短信接口訪問上限定為每分鐘150次,超過這個(gè)閾值的IP,騰訊云WAF會(huì)根據(jù)算法第一時(shí)間判斷究竟是真人還是機(jī)器訪問,被判斷為機(jī)器的IP將會(huì)被封禁訪問,這也是騰訊云WAF自帶可選的懲罰機(jī)制。同時(shí), BOT管理功能啟用,使用BOT行為管理進(jìn)行安全策略定制,將每個(gè)用戶每天訪問短信端口次數(shù)超20次以上的會(huì)話統(tǒng)統(tǒng)攔截,相當(dāng)于開啟了“后剎車”。在整個(gè)防護(hù)過程中,我們幫助客戶通過行為分析和對(duì)具體業(yè)務(wù)場景設(shè)置動(dòng)態(tài)防護(hù)策略,在不斷對(duì)抗過程中,摸清黑產(chǎn)的攻擊策略,將其置之死地。同時(shí)幫助客戶梳理清楚業(yè)務(wù)邏輯,為業(yè)務(wù)調(diào)整優(yōu)化提供依據(jù),這就是騰訊云WAF使用策略中的三道防線。
騰訊云WAF的架構(gòu)
Q:如何準(zhǔn)確的識(shí)別BOT流量,既確保業(yè)務(wù)正常運(yùn)轉(zhuǎn),又避免惡意BOT流量對(duì)業(yè)務(wù)造成威脅?
劉吉赟:傳統(tǒng)上用于檢測和防護(hù)惡意BOT流量的訪問頻率限制、IP黑名單設(shè)置、CAPTCHA驗(yàn)證人類用戶等方法和規(guī)則已無法有效應(yīng)對(duì)不斷升級(jí)的威脅形勢(shì)。而從BOT實(shí)際運(yùn)作的模式不難看出,BOT(機(jī)器人行為)訪問流量的好壞實(shí)際是由實(shí)際操控者所決定。如何對(duì)網(wǎng)站訪問的BOT流量進(jìn)行有效行為甄別與安全管理,成為各行業(yè)開展線上業(yè)務(wù)共同面臨的安全挑戰(zhàn),是全網(wǎng)發(fā)力破解的重要痛點(diǎn)之一。
針對(duì)BOT行為友好與惡意雜糅并存的特征,企業(yè)在防御惡意BOT流量訪問與攻擊時(shí),不應(yīng)采用“一刀切”簡單方式進(jìn)行封堵,而應(yīng)在精準(zhǔn)區(qū)分BOT程序和人類訪問流量、友好BOT和惡意BOT流量的基礎(chǔ)上,形成差異化響應(yīng)策略,助力企業(yè)真正實(shí)現(xiàn)高效防護(hù)惡意BOT流量攻擊的目標(biāo),繼而夯實(shí)全網(wǎng)Web安全線。
基于“精準(zhǔn)流量監(jiān)測技術(shù)是解決惡意BOT攻擊識(shí)別問題關(guān)鍵”的基本思路,騰訊云WAF上線了基于“規(guī)則+AI”雙引擎,打造的BOT行為管理解決方案,可幫助企業(yè)有效甄別友好及惡意機(jī)器?程序并采取針對(duì)性流量管理策略。策略思路方面,該方案主張采用溫和管理而非直接杜絕的策略,以在保障友好BOT運(yùn)行的前提下,確保風(fēng)險(xiǎn)管控響應(yīng)的精準(zhǔn)性。
騰訊云WAF負(fù)載均衡WAF的兩個(gè)工作模式
Q:SaaS模式的WEB應(yīng)用安全產(chǎn)品有何優(yōu)勢(shì)?應(yīng)當(dāng)如何針對(duì)企業(yè)規(guī)模做出選擇?
劉吉赟:SaaS模式的WEB應(yīng)用安全產(chǎn)品憑借其便捷的應(yīng)用部署、靈活的訂閱方式、強(qiáng)大的可擴(kuò)展性、輕量的運(yùn)維負(fù)擔(dān)等諸多優(yōu)勢(shì),越來越普遍地被企業(yè)級(jí)客戶,尤其是網(wǎng)絡(luò)運(yùn)維人員緊缺、安全預(yù)算有限或業(yè)務(wù)變化較快的中小型企業(yè)所接受,成為企業(yè)構(gòu)建業(yè)務(wù)安全防護(hù)體系時(shí)的一項(xiàng)重要選擇。
國內(nèi)主要公有云和私有云服務(wù)提供商均為租戶提供了全面的云原生安全防護(hù)產(chǎn)品,用戶可以很便利地按需訂閱符合自身業(yè)務(wù)需求的Web應(yīng)用安全產(chǎn)品。同時(shí),在公有云/私有云平臺(tái)的云市場中也提供了第三方安全廠商專為云平臺(tái)打造的虛擬化Web應(yīng)用安全產(chǎn)品,企業(yè)用戶可以靈活選擇信賴的品牌產(chǎn)品,以實(shí)現(xiàn)云端業(yè)務(wù)的全面安全保護(hù)。
Q:是否能夠預(yù)見一下潛在的技術(shù)趨勢(shì)以及行業(yè)變化對(duì)于網(wǎng)絡(luò)安全帶來的影響?
首先是產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代企業(yè)上云,對(duì)安全能力帶來的全新需要。在構(gòu)建云安全防御體系時(shí),利用云服務(wù)商提供的一整套安全解決方案和推薦產(chǎn)品,更快捷,更加系統(tǒng)地構(gòu)建自己的防御體系;減少利用非原生安全產(chǎn)品造成的架構(gòu)復(fù)雜、安全數(shù)據(jù)無法共享、運(yùn)營成本高等問題。同時(shí)利用云原生的基本安全能力和最新安全技術(shù)能力,構(gòu)建主動(dòng)防御體系,如利用基礎(chǔ)DDoS、安全組、IPv6轉(zhuǎn)換、VPC Peer等構(gòu)建可靠的網(wǎng)絡(luò)體系,利用AI技術(shù)、威脅情報(bào)、API安全、賬號(hào)安全體系等,搭建更符合云上應(yīng)用的安全運(yùn)營系統(tǒng)。
其次是5G可能帶來的影響。5G網(wǎng)絡(luò)的普及可能會(huì)極大的擴(kuò)展應(yīng)用的邊界和形態(tài),包括從TOC向TOB的發(fā)展,邊緣計(jì)算的興起等等。另外可能5G應(yīng)用的場景的多樣化,客戶對(duì)安全的需求也會(huì)大幅增加。在未來,我們可能很難通過標(biāo)準(zhǔn)的產(chǎn)品來滿足客戶的安全需求,這里面可能就需要客戶來自己通過開放的平臺(tái)來編程實(shí)現(xiàn)自己的功能,整體上就是產(chǎn)品去和邊緣計(jì)算去做結(jié)合,然后實(shí)現(xiàn)用戶可編程的安全。
