如今,電子政務、電子商務、網上銀行、網上營業廳等依託Web應用,為廣大使用者提供靈活多樣的服務。在這之中,流量攻擊堪稱是Web應用的最大敵人,黑客通過流量攻擊獲取利益、競爭對手僱傭黑客發起惡意攻擊、不法分子通過流量攻擊癱瘓目標後勒索高額保護費,往往會對業務造成嚴重損害。
對於開發者和企業網站管理人員來說,資料爬取、暴力破解和撞庫等Web攻擊手段日益複雜,均需要建立強大且實時的防禦能力,避免業務乃至企業因防護脆弱“失血過多”而死。部署WAF成為公認的最基礎且有效的防禦手段,但由於攻擊手段的多樣化和企業業務的複雜性,傳統的本地部署WAF已經越來越難以發揮預想的防禦效果。
雲WAF恰恰能夠解決本地部署WAF的缺陷,成為大量中小型企業以及個人網站的新選擇。雲WAF部署簡單、維護成本低,無需安裝任何軟體或者部署任何硬體裝置即可將網站部署到雲WAF的防護範圍之內。雲WAF的防護規則都處於雲端,新漏洞爆發時,由雲端負責規則的更新和維護,使用者無需擔心因為疏忽導致受到新型的漏洞攻擊。
在日常的部署中,網站負責人員如何選擇與自身業務屬性和發展規劃匹配的雲WAF產品?如何確保其能夠為現階段業務提供高可用的產品與服務?又如何為未來業務發展中安全防護的持續性和可擴充套件性做好冗餘?
騰訊安全聯合CSDN、雲+社群打造的「產業安全專家談」迎來第九期,今天我們邀請到騰訊雲應用安全專家劉吉贇,與大家分享在雲WAF產品選擇、部署和使用過程中的實戰經驗。
劉吉贇,騰訊安全 WAF研發負責人。近十年安全研發經驗和應用安全攻防實戰經驗,主導了多個網路安全防禦產品的研發,構建了騰訊新一代雲WAF防禦體系。
Q:如今Web應用安全依然是網際網路安全的最大威脅來源之一,Web應用安全目前的新局面是什麼,企業需要面對怎樣的新挑戰?
劉吉贇:目前的Web應用逐步API化,除了傳統的Web攻擊,API的安全問題、網路中的機器人流量的問題也日趨嚴重,Web應用安全從傳統的SQL、XSS防護等,逐步開始向API安全,Bot機器人行為防護等防護技術過渡。
在Web攻防實戰中最受關注的有四種攻擊方式:一是植入webshell,控制管理後臺然後拖庫;二是Web內容被惡意替換成違法違規的圖片和文字;三是掛入黃賭網頁、私服或跳轉頁面等倒量引流;四是競品發動DDoS攻擊致使業務癱瘓。
攻擊技術、漏洞披露等日趨成熟,特別是針對Web安全相關漏洞的利用日趨產業化,企業需要更加重視如何在安全運營中進行快速響應,構建與之適應的安全運營體系。企業首先應該做好自查,全面完整的自我瞭解是企業實現Web應用安全防護的基礎。同時,更應該嘗試和接納新興技術,以顯著提高對新型威脅和未知威脅的檢測、防禦效果。
Q:電商行業是網路攻擊的高發行業,針對電商的常見攻擊手段有哪些?
劉吉贇:一種是典型CC攻擊,這是一種針對網頁的攻擊,原理是模擬多個使用者正常訪問目標網站,例如製造大量後臺資料庫的查詢動作佔用正常請求資源。“雞賊”之處在於,這種“訪問”本身屬於正常請求,但當這種“正常請求”達到一定程度的時候,伺服器就會反應不過來直到當機,也就是App會出現反應慢、賬號登入不成功、無法下單、白屏等現象。這也是為什麼每次購物節當大家忙著剁手的時候,各大電商的機房燈火通明,程式設計師軟體硬體都用上外加緊張觀察,就是怕伺服器崩掉了帶來慘重損失。
CC攻擊往往只是敵人的先行兵,更可怕的是後續可能會出現的慢BOT攻擊。這種戰術更有耐心且隱蔽,敵人會仔細偵查對外開放的每一個介面,對開銷較大的介面,以較慢的速度長時間“掛”在你家的網上,消耗大量資源。黑產可能會肆無忌憚地使用註冊軟體和隨時號碼反覆呼叫介面,同時發動羊毛黨把呼叫次數進行幾何級放大,像一群虎視眈眈又極有耐心的禿鷲,終有一天你會扛不住,那就是黑產啄食的時機。這樣對網站的損傷也非常大。
在某電商平臺促銷季的一場攻防戰中,黑產通過四條“小路”發起猛攻,首先是狂刷使用者行為採集的介面,頻率高達300-400次每秒,這個介面主要是記錄使用者訪問APP的行為,再寫入資料庫;二是瞄準APP版本檢查介面,也就是模仿一個過分焦慮的強迫症者,一遍遍重新整理查詢版本有沒有更新,每天超過幾百萬次,導致APP頻寬被惡意消耗掉;三和四分別是檢視商品庫存和檢視購物車,派機器人一遍遍去看商品還剩多少、購物車裡有啥,讓資料庫讀寫高到爆滿。
Q:能夠分享一個實戰中遇到的典型攻擊案例以及應對的策略?
劉吉贇:去年10月,某旅遊網站被爆全網站2100萬條“真實點評”中有85%的評論是通過爬蟲 Bot 機器人程式從競爭對手平臺抄襲而來,“點評抄襲造假”的輿論風波一時驟起,使網站深陷質疑;同年2月,某視訊網站遭遇大量原創內容和使用者資料被非法網路爬蟲盜取侵權;航空公司遭爬蟲惡意低價搶票等事件層出不窮,無一不在挑戰著各行業網站業務的安全防線。
近期有一家知名的電商遭遇了競爭對手的CC攻擊,流量非常大,攻擊手法也很罕見。黑產通過簡訊炸彈發動攻擊,簡訊閘道器併發量突然超過平時的十倍,造成企業為簡訊介面的濫用付出了鉅額“通道費”。
騰訊雲WAF第一時間對遭受攻擊的簡訊介面做了“前剎車”防護,也就是設定了CC防護的規則,把對簡訊介面訪問上限定為每分鐘150次,超過這個閾值的IP,騰訊雲WAF會根據演算法第一時間判斷究竟是真人還是機器訪問,被判斷為機器的IP將會被封禁訪問,這也是騰訊雲WAF自帶可選的懲罰機制。同時, BOT管理功能啟用,使用BOT行為管理進行安全策略定製,將每個使用者每天訪問簡訊埠次數超20次以上的會話統統攔截,相當於開啟了“後剎車”。在整個防護過程中,我們幫助客戶通過行為分析和對具體業務場景設定動態防護策略,在不斷對抗過程中,摸清黑產的攻擊策略,將其置之死地。同時幫助客戶梳理清楚業務邏輯,為業務調整優化提供依據,這就是騰訊雲WAF使用策略中的三道防線。
騰訊安全WAF的架構
Q:如何準確的識別BOT流量,既確保業務正常運轉,又避免惡意BOT流量對業務造成威脅?
劉吉贇:傳統上用於檢測和防護惡意BOT流量的訪問頻率限制、IP黑名單設定、CAPTCHA驗證人類使用者等方法和規則已無法有效應對不斷升級的威脅形勢。而從BOT實際運作的模式不難看出,BOT(機器人行為)訪問流量的好壞實際是由實際操控者所決定。如何對網站訪問的BOT流量進行有效行為甄別與安全管理,成為各行業開展線上業務共同面臨的安全挑戰,是全網發力破解的重要痛點之一。
針對BOT行為友好與惡意雜糅並存的特徵,企業在防禦惡意BOT流量訪問與攻擊時,不應採用“一刀切”簡單方式進行封堵,而應在精準區分BOT程式和人類訪問流量、友好BOT和惡意BOT流量的基礎上,形成差異化響應策略,助力企業真正實現高效防護惡意BOT流量攻擊的目標,繼而夯實全網Web安全線。
基於“精準流量監測技術是解決惡意BOT攻擊識別問題關鍵”的基本思路,騰訊雲WAF上線了基於“規則+AI”雙引擎,打造的BOT行為管理解決方案,可幫助企業有效甄別友好及惡意機器⼈程式並採取針對性流量管理策略。策略思路方面,該方案主張採用溫和管理而非直接杜絕的策略,以在保障友好BOT執行的前提下,確保風險管控響應的精準性。
騰訊安全WAF負載均衡WAF的兩個工作模式
Q:SaaS模式的WEB應用安全產品有何優勢?應當如何針對企業規模做出選擇?
劉吉贇:SaaS模式的WEB應用安全產品憑藉其便捷的應用部署、靈活的訂閱方式、強大的可擴充套件性、輕量的運維負擔等諸多優勢,越來越普遍地被企業級客戶,尤其是網路運維人員緊缺、安全預算有限或業務變化較快的中小型企業所接受,成為企業構建業務安全防護體系時的一項重要選擇。
國內主要公有云和私有云服務提供商均為租戶提供了全面的雲原生安全防護產品,使用者可以很便利地按需訂閱符合自身業務需求的Web應用安全產品。同時,在公有云/私有云平臺的雲市場中也提供了第三方安全廠商專為雲平臺打造的虛擬化Web應用安全產品,企業使用者可以靈活選擇信賴的品牌產品,以實現雲端業務的全面安全保護。
Q:是否能夠預見一下潛在的技術趨勢以及行業變化對於網路安全帶來的影響?
劉吉贇:這裡和大家簡要分析兩點:
首先是產業網際網路時代企業上雲,對安全能力帶來的全新需要。在構建雲安全防禦體系時,利用雲服務商提供的一整套安全解決方案和推薦產品,更快捷,更加系統地構建自己的防禦體系;減少利用非原生安全產品造成的架構複雜、安全資料無法共享、運營成本高等問題。同時利用雲原生的基本安全能力和最新安全技術能力,構建主動防禦體系,如利用基礎DDoS、安全組、IPv6轉換、VPC Peer等構建可靠的網路體系,利用AI技術、威脅情報、API安全、賬號安全體系等,搭建更符合雲上應用的安全運營系統。
其次是5G可能帶來的影響。5G網路的普及可能會極大的擴充套件應用的邊界和形態,包括從TOC向TOB的發展,邊緣計算的興起等等。另外可能5G應用的場景的多樣化,客戶對安全的需求也會大幅增加。在未來,我們可能很難通過標準的產品來滿足客戶的安全需求,這裡面可能就需要客戶來自己通過開放的平臺來程式設計實現自己的功能,整體上就是產品去和邊緣計算去做結合,然後實現使用者可程式設計的安全。