- 數(shù)據(jù)下載、明碼標(biāo)價,黑市交易已然風(fēng)生云起
- 攻擊泄漏、倒賣獲利,完整的黑色產(chǎn)業(yè)鏈已形成
- 罪魁禍?zhǔn)?又是Struts 2安全漏洞所致
據(jù)瑞數(shù)信息的安全專家追溯多起數(shù)據(jù)泄漏的源頭,發(fā)現(xiàn)很多數(shù)據(jù)泄漏事件是緣于2013年的Struts 2安全漏洞。
Struts 2可謂大名鼎鼎,黑客可以利用該漏洞輕易攻陷網(wǎng)站服務(wù)器,獲取網(wǎng)站注冊用戶的帳號密碼和個人資料,從而引發(fā)站點(diǎn)的數(shù)據(jù)泄露、網(wǎng)頁篡改、植入后門、成為肉雞等安全事件。該漏洞目前令國內(nèi)大量知名網(wǎng)站,包括各大門戶、電商、銀行等官網(wǎng)都出現(xiàn)了不同程度的信息泄露和影響。
而對于此類漏洞的防護(hù)手段目前采用的是以打補(bǔ)丁和更新軟件版本為主,然而,事實(shí)再次證明這種事后的被動式防御手段在新的威脅面前顯現(xiàn)出力不從心。
火上澆油-利用撞庫瘋狂掠奪信息
黑客利用Struts 2漏洞獲得大量注冊用戶名和密碼數(shù)據(jù)后豈能善罷甘休,更為瘋狂的是,黑客還將利用這些用戶名和密碼數(shù)據(jù)再次通過自動化程序?qū)ι碳业木W(wǎng)站實(shí)施撞庫攻擊、賬號盜用,從而進(jìn)一步導(dǎo)致用戶信息及資金蒙受巨額損失。
傳統(tǒng)的防御手段僅僅是通過打補(bǔ)丁堵上漏洞,或者建議客戶盡快更新密碼,進(jìn)行安全升級。然而,事實(shí)上我們無法期待所有用戶都能夠?qū)~號及時進(jìn)行安全升級,因此仍然有大量尚未更新密碼的客戶信息存留在黑市中。而這些鮮活的信息就恰恰為黑客再次撞庫帶來了機(jī)會,也為商家和用戶造成了巨大的風(fēng)險。
僅僅更換密碼就安全了嗎?
今天,我們看到的更多建議是請每一位消費(fèi)者盡快更改登陸密碼。從消費(fèi)者自我保護(hù)的角度來講修改密碼的確是必須采取的行動。但是大規(guī)模泄露事件一般是因?yàn)榫W(wǎng)站漏洞,使用復(fù)雜密碼、頻繁更換密碼只是增加了黑客破解密碼的難度;不同網(wǎng)站使用不同密碼,也只是能防止黑客“撞庫”。因此作為商家,在及時提醒消費(fèi)者的同時又該怎樣更主動地為消費(fèi)者提供保護(hù)?而非僅僅是發(fā)生事件后的應(yīng)急通知呢?
保護(hù)在線業(yè)務(wù),是時候該換一種安全思路了!
作為商家,其在線平臺不僅要在業(yè)務(wù)層面保護(hù)自己的各種行銷資源,同時更有義務(wù)保護(hù)好用戶的數(shù)據(jù)不被竊取,因此更要積極打破原有基于簽名、驗(yàn)證、打補(bǔ)丁的傳統(tǒng)防護(hù)方式,化被動為主動防御。
在尋求更加主動有效的防護(hù)技術(shù)中,瑞數(shù)信息的安全專家建議目前可通過針對網(wǎng)頁的動態(tài)安全技術(shù)實(shí)現(xiàn)實(shí)時和在線的防護(hù),可以讓攻擊程序無法進(jìn)行漏洞利用的嘗試,從而在補(bǔ)丁沒有更新,傳統(tǒng)防護(hù)手段未到位時,進(jìn)行有效防護(hù)。
- 改變現(xiàn)有手段特征匹配式的防護(hù)思路,以動態(tài)變幻的技術(shù)視角,實(shí)現(xiàn)實(shí)時主動防御效果,對抗利用工具的自動化攻擊行為,包含漏洞探測和利用、零日攻擊及合法業(yè)務(wù)邏輯濫用等惡意攻擊行為。
- 通過創(chuàng)新的動態(tài)安全技術(shù)抵抗多源低頻攻擊,彌補(bǔ)現(xiàn)有防護(hù)手段的缺失,補(bǔ)足傳統(tǒng)應(yīng)用安全防護(hù)手段能力不及之處。
- 利用動態(tài)安全技術(shù)中的終端安全威脅感知能力,提供對于安全威脅態(tài)勢以及攻擊者畫像更為細(xì)粒度的特征數(shù)據(jù)。
- 無需修改應(yīng)用代碼,不必進(jìn)行特征庫、策略庫的升級維護(hù)工作,降低運(yùn)維成本,有效阻止網(wǎng)上大量的自動化攻擊,有效節(jié)省帶寬、服務(wù)器等資源。
更廣闊的應(yīng)用場景
動態(tài)安全技術(shù)不僅在對抗Struts2的漏洞利用中,提供了比打補(bǔ)丁更為及時、有效的方法,該技術(shù)對于零日漏洞利用的攻擊,利用漏洞進(jìn)行的業(yè)務(wù)違規(guī)操作以及合法邏輯濫用的行為,都有很有效的防護(hù)效果。該技術(shù)目前已經(jīng)廣泛運(yùn)用在政府、企業(yè)以及商業(yè)活動的應(yīng)用場景中。
- 政府及企業(yè)數(shù)據(jù)保護(hù) :“互聯(lián)網(wǎng)+”時代,有效防止拖庫、撞庫、惡意爬蟲等行為,保護(hù)政府及國家關(guān)鍵性網(wǎng)上業(yè)務(wù)和數(shù)據(jù)的安全。
- 企業(yè)對外業(yè)務(wù)風(fēng)險防范:阻擋通過自動化工具進(jìn)行惡意搶購、虛假交易、違規(guī)套現(xiàn)等行為,給企業(yè)的商業(yè)業(yè)務(wù)造成很大風(fēng)險。
- 企業(yè)內(nèi)部應(yīng)用風(fēng)險防范:有效防止企業(yè)內(nèi)部敏感數(shù)據(jù)泄漏、合法業(yè)務(wù)濫用的安全風(fēng)險。
安全問題迫在眉睫!瑞數(shù)顛覆性的動態(tài)安全技術(shù)可以有效防護(hù)未知威脅及自動化攻擊,實(shí)現(xiàn)零補(bǔ)丁、零規(guī)則,助力企業(yè)跑贏零日,將Struts2及未來的零日攻擊阻擋于大門之外!
