邓欣:新趋势下的攻防难点
2021年9月26日-27日,CCS 2021成都网络安全大会在成都举行。大会围绕“安全新环境·安全新生态”主题,邀请了安全行业专家、学术专家、高校代表、顶级互联网企业嘉宾等共同探讨新基建和数字时代下面临的安全挑战。永安在线携业务反欺诈及API数据安全系列产品和方案亮相大会,同时,CTO邓欣发表了题为《新趋势下的攻防难点》的演讲。
邓欣表示,在数字化浪潮下,攻防平面已然产生变化却缺乏有效的防护方案,致使黑灰产攻击激增、数据泄露事件频发……企业迎来更严峻的安全挑战,作为防守方只有洞察并适应不断变化的趋势及攻防难点,才有可能立于不败之地。
大会现场
永安在线展示业务反欺诈及API数据安全产品
数字化浪潮下,
防守方主力变成传统企业,攻防平面转移到小程序
在移动互联网高速发展的今天,各行各业纷纷加快数字化转型的步伐,企业所面临的攻防难点也进入到全新的层次。
邓欣表示,在数字化转型下的防守方大多是传统行业,相比于大型互联网公司有着天然的防护劣势:安全基础相对薄弱、安全投入相对有限、安全建设相对滞后等;攻击方则是身经百战的黑灰产团伙,他们已形成了非常成熟的产业链上中下游,有能力在短时间内实施规模化的攻击以及进行高效的攻防对抗。而在攻防平面上,以小程序/H5为代表的产品形态,由于开发便捷,使用方便,成为众多企业数字化转型的首选。但由于缺乏有效的防护手段,小程序成为了黑灰产攻击的重灾区。
永安在线CTO 邓欣
而小程序的攻防难点在于:攻击面容易暴露、保护困难、有限的权限以及攻防不对等四个方面。网络攻防无止境,无论哪种防守方式都很难做到100%不被破解。针对小程序更好的防护方式是采取动态防护,即我们想保护的最为核心的代码逻辑和算法它不是固定的,而是动态变化。这样的设计可以让黑产很难找到攻击锚点,无法实施稳定的攻击。
此外,企业也需要更加重视情报的价值。“未知攻,焉知防”,无论哪种产品形态,情报对于安全攻防来说都是非常重要的。通过情报可以第一时间感知到是否存在针对己方小程序的攻击以及攻击规模,并从情报中提取出黑灰产所使用的技术和攻击逻辑,进行针对性的反制。目前,基于永安在线强大的黑灰产开源情报、闭源情报、工具情报三大情报能力,已经帮助众多企业侦测到未爆发的风险,并实时感知已发生的攻击,从而让企业避免进一步的损失。
API成为数字化基础设施
也成为黑产重点攻击的目标
在数字化浪潮中,除了攻守方及攻防平面的变化需要适应和解决之外,数据安全问题也更为需要关注。目前,互联网应用服务化已成为显著趋势,越来越多场景中的应用架构中采用API作为应用间的数据传输和控制,这让API成为数字化基础设施。然而,随着API的广泛运用,API也成为了当前数据泄露的主要渠道之一。近几年比较重大的一些数据泄露事件,其中有不少都是由于API被恶意攻击所导致。
但是,针对API的安全防护并非易事。OWASP早在2019年就整理出了排名前10的API安全问题,并对每个问题都进行解读。而这些安全问题,无论是WAF还是API网关,目前都没有好的应对方案。
永安在线以情报“透视”API安全风险,
守护API全生命周期安全
永安在线基于长期以来对API安全问题的研究,发现在API安全防控上存在:难避免、难发现、难阻断、难溯源四大防控难点。如果采用以往基于经验规则定位风险的传统数据安全产品,无法检测或阻止利用每个API逻辑中独特漏洞的最新攻击。
邓欣建议,企业应对API未知风险的感知能力进行加强,并需要对API进行全生命周期管理能力的建设。
API全生命周期管理的建设可分为三部分:一是API资产管理能力的建设,企业需要清晰了解存在哪些应用和API接口以及API涉敏情况等;二是API风险感知能力的建设,需要能够侦测未爆发的风险,并实时感知哪些API正在被攻击,攻击是否真实发生、哪个团伙在攻击、攻击的具体链路是什么等;三是API风险阻断能力的建设,需要能够主动阻断黑灰产通过直接调用API的方式批量发起攻击,增强风险事件处置能力。
在过去多年的探索实践中,永安在线专注于业务安全情报能力的培养,走出了一条不同于传统网络安全企业的新路。从情报挖掘出来的众多风险事件中发现,情报在API的安全防护上,有着天然的优势,能够实现API未知风险的前置感知和处理。因此,永安在线基于情报能力打造出了一个拥有API资产管理、API风险感知及API攻击风险阻断三大能力的API安全管控平台,将管控能力和攻防能力相融合,帮助企业建立起全局视角、集中分析和管控API,达到内外兼修、攻防兼备的效果,有效帮助企业应对API资产管理和安全防护带来的挑战。
结语
万物互联的时代,数字化转型已成为实现创新发展的重要动能,但也促使企业的安全攻防挑战难点增多,企业需要不断加强安全风控的能力建设,特别是在此前忽略的API管理和防护中,更需建立完整的攻防体系,才能为数字化转型夯实安全底座,让企业发展无后顾之忧。
