站長資訊網(wǎng)5月12日至14日,作為石油石化行業(yè)數(shù)字化、智能化領域,覆蓋全產(chǎn)業(yè)鏈兩化深度融合最權(quán)威、最具影響力、最高品質(zhì)的交流合作平臺,“2021年中國石油石化企業(yè)信息技術(shù)交流大會暨油氣產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型高峰論壇”在北京盛大開幕!
作為油氣行業(yè)數(shù)字化技術(shù)的年度盛筵,本次大會匯聚了來自中國石油天然氣集團有限公司數(shù)字和信息化管理部、中國石油化工集團有限公司信息和數(shù)字化管理部、中國海洋石油集團有限公司科技信息部、國家石油天然氣管網(wǎng)集團有限公司科技數(shù)字本部、國家能源投資集團有限責任公司信息化管理部、中國中化集團有限公司信息技術(shù)中心、陜西延長石油(集團)有限責任公司科技與信息化管理部、中國石油學會等領域的頂級專家和行業(yè)代表,超過4000位嘉賓齊聚一堂,圍繞石油石化企業(yè)數(shù)字化轉(zhuǎn)型、智能化發(fā)展需求,結(jié)合信息技術(shù)發(fā)展趨勢和“十四五”信息化戰(zhàn)略規(guī)劃,共同探討新一代數(shù)字化技術(shù)與石油石化行業(yè)融合創(chuàng)新的解決方案,分享數(shù)字化應用的先進經(jīng)驗。
在會上,瑞數(shù)信息技術(shù)高級安全顧問張凡發(fā)表了題為“從人防到技防 從已知到未知”的演講,介紹了油氣行業(yè)面臨的web安全新挑戰(zhàn),并展示如何通過瑞數(shù)信息“動態(tài)安全技術(shù)”,助力油氣企業(yè)構(gòu)建真正的主動防護體系。
一、網(wǎng)絡攻擊手段升級 油氣行業(yè)面臨三大挑戰(zhàn)
隨著全球數(shù)字化、智能化程度的日益提高,石油石化等能源類企業(yè)的網(wǎng)絡安全問題已到了無法回避的關頭。據(jù)德勤發(fā)布的報告稱,能源行業(yè)已成為全球第二大易受網(wǎng)絡犯罪攻擊的行業(yè),且其中近半數(shù)企業(yè)在2016年年內(nèi)至少普遍遭遇過一次重大網(wǎng)絡事故。
由于石油石化企業(yè)關系到國計民生,一旦被黑客攻破重要基礎設施,將導致意想不到的嚴重后果,甚至會影響國家安全。近年來,很多石油石化企業(yè)已經(jīng)開始增強網(wǎng)絡風險防范意識,將網(wǎng)絡安全提高到集團戰(zhàn)略高度。
但對于石油石化企業(yè)內(nèi)部的安全運營人員而言,面對日益升級的網(wǎng)絡攻擊,依然會有一種“攻易守難、亡羊補牢、疲于奔命”的感受。在瑞數(shù)信息技術(shù)高級安全顧問張凡看來,主要來自三個方面的挑戰(zhàn):
一是,網(wǎng)絡攻擊手段日益升級,攻擊效率大幅提升。目前,網(wǎng)絡攻擊中有90%為自動化攻擊,自動化的黑客工具不僅攻擊成本低,且攻擊效率遠超過手動攻擊,堪稱“網(wǎng)絡攻擊的工業(yè)化革命”。在自動化工具快速傳播的情況下,零日漏洞攻擊成為常態(tài),幾乎所有漏洞利用會在1天內(nèi)就被廣泛傳播利用,企業(yè)很難進行及時有效的防御。
二是,高級定制化工具泛濫,傳統(tǒng)防護手段失效。此前,哥斯拉、冰蝎等高級定制化工具的出現(xiàn),震驚了整個安全圈。這些Webshell采用動態(tài)加密方式,碾壓市面上所有基于簽名和規(guī)則匹配的傳統(tǒng)WAF。同時,高級定制化工具還會集成多種0day/Nday漏洞利用工具,全家桶式打擊,掃描、利用一步完成。
而在傳統(tǒng)防護思路中,封IP是最主要的防護手段之一。當封IP地址達到上限時,企業(yè)會出現(xiàn)業(yè)務無法正常運行的情況。不僅如此,自動化攻擊還會通過多源低頻的方式,繞過封IP、限頻等傳統(tǒng)防護手段,讓傳統(tǒng)防護工具徹底失效。
三是,安全運維成本與日俱增,安全人員緊缺。面對網(wǎng)絡攻擊在數(shù)量和效率上的成倍增長,企業(yè)安全運維成本也在相應增長,而企業(yè)安全人員僅憑有限的人力和傳統(tǒng)安全防護工具,很難維持常態(tài)化的安全防護。
二、從人防到技防 瑞數(shù)信息“動態(tài)安全”構(gòu)建主動防護體系
日益猖獗的新型網(wǎng)絡攻擊,使得沿用傳統(tǒng)WAF防護的企業(yè)普遍響應滯后。那么,企業(yè)應該如何應對新的網(wǎng)絡安全挑戰(zhàn)?
對此,瑞數(shù)信息技術(shù)高級安全顧問張凡認為,網(wǎng)絡攻防雙方的對抗是永不停歇的,新的技術(shù)、規(guī)則、漏洞會層出不窮,如果一直采用圍繞對手的傳統(tǒng)視角,通過“挖掘漏洞、匹配特征、設置規(guī)則”進行防護,永遠會被黑客牽著鼻子走。
“攻防雙方對抗的本質(zhì),其實是成本的對抗,用自己最低的成本,增加黑客最高的成本”,張凡表示,企業(yè)在安全防護中應采用創(chuàng)新視角,徹底改變“游戲規(guī)則”,即圍繞自身,通過“隱藏漏洞、變換自身、驗證真?zhèn)?rdquo;等方式提高黑客的攻擊成本,倒逼黑客放棄攻擊,從而降低企業(yè)管理負擔,加快防護響應速度。
正是基于這種創(chuàng)新的主動防護理念,瑞數(shù)信息徹底轉(zhuǎn)換了傳統(tǒng)防護的思路,推出了一項顛覆性技術(shù) – 動態(tài)安全技術(shù),即不再依靠攻擊特征庫、異常特征庫的匹配來進行攻擊的識別,同時也無需依賴攻擊頻度和工具類別來識別,實現(xiàn)更加主動和有效的主動防護。
據(jù)悉,瑞數(shù)信息的動態(tài)安全架構(gòu)由四大核心技術(shù)構(gòu)成:
- 動態(tài)封裝,對網(wǎng)頁底層代碼做動態(tài)封裝,隱藏攻擊入口,升攻擊難度;
- 動態(tài)驗證,運行環(huán)境驗證,有效甄別“人”還是“自動化”攻擊,打擊自動化攻擊的有效工具;
- 動態(tài)混淆,對客戶端敏感數(shù)據(jù)進行混淆,保護數(shù)據(jù)傳輸安全,保護終端請求內(nèi)容及交易內(nèi)容;
- 動態(tài)令牌,一次性動態(tài)令牌,確保執(zhí)行正確的業(yè)務邏輯,保障業(yè)務安全運行。
例如,瑞數(shù)信息的動態(tài)封裝技術(shù),采取將網(wǎng)頁原始代碼動態(tài)變形的技術(shù),增加目標系統(tǒng)行為的“不可預測性”,使黑客無法找到入侵網(wǎng)頁的入口與漏洞。由于攻擊者無法預知目標系統(tǒng)行為,必須通過大量人工分析找尋被保護目標系統(tǒng)可能的突破口,但即使找到突破口,最多也只能使用一次,因此大幅提升攻擊難度與成本,從而迫使攻擊者放棄攻擊,將攻擊抑制在源頭。
在企業(yè)頗為頭疼的零日漏洞防護方面,通過瑞數(shù)信息獨有的動態(tài)驗證、封裝、混淆、令牌四大動態(tài)安全技術(shù),從0day漏洞利用工具請求的固有屬性出發(fā),只要識別到是工具行為,就可以直接對0day攻擊進行阻斷,從而實現(xiàn)對業(yè)務的動態(tài)保護。
除了零日漏洞,瑞數(shù)信息動態(tài)安全技術(shù)能夠有效應對各類自動化攻擊,如:漏洞掃描、撞庫、爬蟲、應用DDOS、高級定制工具、多源低頻等等,直擊黑產(chǎn)最底層,讓自動化工具無法使用。
隨著對抗的升級,基于規(guī)則和特征的傳統(tǒng)安全設備防護效率將越來越低。對于人工攻擊,不妨換個思路,從干擾攻擊行為的角度出發(fā)進行防護。作為動態(tài)安全技術(shù)的代表廠商,瑞數(shù)信息擁有多種動態(tài)干擾功能:web代碼混淆、JS混淆、前端反調(diào)試、Cookie混淆、中間人檢測等,能夠不基于任何特征、規(guī)則的方式進行有效防護。
總體而言,瑞數(shù)信息徹底轉(zhuǎn)換了傳統(tǒng)防護的思路,通過獨特的動態(tài)安全技術(shù),以多維度“分級分層”的對抗策略,讓攻擊者無法輕易發(fā)現(xiàn)攻擊入口,大幅提升攻擊難度與成本。同時,通過對終端環(huán)境和設備指紋的多維度畫像,可以有效識別各類惡意訪問行為,并能實時追蹤通過大量跳板隱藏攻擊來源的惡意終端。
據(jù)張凡介紹,作為國內(nèi)前沿的互聯(lián)網(wǎng)應用安全防護企業(yè),瑞數(shù)信息首創(chuàng)的“動態(tài)安全”主動防護技術(shù),已保護了上萬億企業(yè)客戶資產(chǎn)和5億多賬戶,為企業(yè)客戶阻擋了99%的自動化攻擊,將安全運營效率提升了81%,節(jié)省了54%的系統(tǒng)資源。
自成立以來,瑞數(shù)信息獲得了政府相關主管機構(gòu)、大型企業(yè)、媒體及社會團體的廣泛認可,無論是中國的三大運營商、排名前五位的大型銀行、最頂級的十大電商以及中國前三大在線支付公司中都可以找到瑞數(shù)信息的客戶身影。經(jīng)過多年在國內(nèi)各行業(yè)標桿用戶中的持續(xù)應用和推廣,瑞數(shù)信息的動態(tài)安全技術(shù)正逐漸成為網(wǎng)站/APP/H5等應用安全建設的標配。
對于石油石化企業(yè)而言,基于瑞數(shù)信息的動態(tài)安全技術(shù),能夠有效抵御各類自動化攻擊,實現(xiàn)防護能力升級、運維成本降級、防御更主動、對抗更智慧、追蹤溯源的更精準,真正做到從“人防”到“技防”,構(gòu)建真正意義上的主動防護體系。
