瀏覽器登錄要小心

記者：神州云科為什么會(huì)想到做瀏覽器登錄安全防護(hù)？

陳思：據(jù)2016 McAfee網(wǎng)絡(luò)安全威脅報(bào)告數(shù)據(jù)顯示，36%的網(wǎng)絡(luò)攻擊來源于瀏覽器，在網(wǎng)頁(yè)內(nèi)產(chǎn)生。當(dāng)我們通過瀏覽器購(gòu)物消費(fèi)、登錄網(wǎng)銀、玩游戲、看視頻時(shí)，頻繁的登錄個(gè)人信息，攻擊者只要下發(fā)一個(gè)惡意腳本到瀏覽器中，就可以獲取你的密碼信息，不需要去攻破網(wǎng)站的數(shù)據(jù)中心，SSL加密也沒用。而且國(guó)內(nèi)80%的網(wǎng)站在瀏覽器端均沒有采取加固處理，攻擊者很容易就可以拿到個(gè)人登錄時(shí)的用戶名和密碼。

記者：很多網(wǎng)站登錄有驗(yàn)證碼、短信驗(yàn)證、安裝插件，乃至于USBkey，擁有這些是否就安全了？

神州云科副總裁、云科安全公司總經(jīng)理 陳思

陳思：真實(shí)情況未必，驗(yàn)證碼只能實(shí)現(xiàn)降頻，不解決安全問題；至于短信驗(yàn)證碼，SIM卡復(fù)制、基站信號(hào)壓制等都可以輕松搞定；插件/控件只解決一個(gè)參數(shù)的保護(hù)（密碼），其他關(guān)鍵參數(shù)仍然以明文的狀態(tài)暴露在互聯(lián)網(wǎng)上，而且大量APP無法直接安裝插件/控件；至于USBkey，價(jià)格昂貴，且應(yīng)用范圍太過于受限。

記者：神州云科是如何解決瀏覽器端信息泄露問題的？

陳思：達(dá)爾動(dòng)態(tài)應(yīng)用加固系統(tǒng)（DAR）是神州云科安全公司推出的一款基于WEB端的動(dòng)態(tài)應(yīng)用加固保護(hù)系統(tǒng)，同時(shí)也是一款可編程防御架構(gòu)系統(tǒng)，采用獨(dú)特的“動(dòng)態(tài)應(yīng)用加密”方式，不僅可以使關(guān)鍵信息從明文變?yōu)槊芪?，并且密文狀態(tài)高頻變化，使得攻擊者信息獲取成本和難度直線上升，從而有效降低甚至根絕該場(chǎng)景下的個(gè)人信息泄露可能。DAR通過代理的模式部署在web服務(wù)器與終端用戶之間，通過JavaScript腳本加密終端與服務(wù)器端傳輸敏感信息，通過加密用戶端賬號(hào)、密碼信息可避免有惡意腳本竊取用戶信息，同時(shí)也可防御對(duì)撞庫(kù)等此類基于應(yīng)用場(chǎng)景的安全威脅。而且攻擊者也無法輕易進(jìn)行漏洞利用的掃描與嘗試，為客戶的安全更新爭(zhēng)取時(shí)間，同時(shí)利用DAR可編程防御接口，云科安全技術(shù)服務(wù)人員可及時(shí)下發(fā)安全補(bǔ)丁，幫助企業(yè)進(jìn)行安全對(duì)抗。

記者：目前達(dá)爾動(dòng)態(tài)加固系統(tǒng)（DAR）主要應(yīng)用在哪些領(lǐng)域？

陳思：銀行、保險(xiǎn)、電商、游戲、政府、視頻網(wǎng)站等行業(yè)，由于存在大量登陸場(chǎng)景，遭受撞庫(kù)等網(wǎng)絡(luò)攻擊可能性最大，需求應(yīng)用也最為迫切。