數字經濟時代打造新基建的安全基石

馬蔚彥

隨著數字化浪潮的奔涌而至，新興產業(yè)的發(fā)展將大量依賴于數據資源，各種數字化線上業(yè)務和應用的快速發(fā)展，物聯(lián)網、車聯(lián)網、工業(yè)互聯(lián)網的推廣應用都將令數據指數級增長，更廣泛的應用及數據安全將成為從國家到企業(yè)再到每一位用戶都必須關注的重要維度，重要程度不言而喻。而在新互聯(lián)網時代，大量新興安全威脅接踵而至，其中勢頭最猛的當屬自動化攻擊。

“新型基礎設施”自2015年左右提出相關概念，到2018年12月中央經濟工作會議明確了5G、工業(yè)互聯(lián)網、大數據中心、物聯(lián)網、人工智能等“新型基礎設施”的定位，新基建經過多年的醞釀，在2019年被正式寫入政府工作報告中。

2020年開年，首場國務院常務會議再次提到的“新基建”時聚焦在了七大領域：5G基建、特高壓、城際高速鐵路和城際軌道交通、新能源汽車充電樁、大數據中心、人工智能和工業(yè)互聯(lián)網。

“新基建”迅速成為熱點話題，各地紛紛出臺了諸多拉動“新基建”的措施，市場也普遍看好“新基建”在拉動經濟中的“挑大梁”作用。在政府的大力支持和資本市場的資金熱捧之下，“新基建”正式進入了快車道。

自新冠肺炎疫情爆發(fā)后，政府對新基建的重視程度有了顯著提升，并強調“新型基礎設施是以新發(fā)展理念為引領，以技術創(chuàng)新為驅動，以信息網絡為基礎，面向高質量發(fā)展需要，提供數字轉型、智能升級、融合創(chuàng)新等服務的基礎設施體系”。有別于“鐵公機”等傳統(tǒng)基礎設施，“新基建”本質上是立足于科技端的基礎設施建設，涉及到通信、電力、交通、數字等多個社會民生重點行業(yè)。在數字化飛速發(fā)展的今天，“新基建”已經逐漸取代傳統(tǒng)基建，引領社會經濟發(fā)展。

隨著數字化浪潮的奔涌而至，新興產業(yè)的發(fā)展將大量依賴于數據資源，各種數字化線上業(yè)務和應用的快速發(fā)展、物聯(lián)網、車聯(lián)網、工業(yè)互聯(lián)網的推廣應用都將令數據指數級增長，數據的增長速率已達到了前所未有的高水平。在數字經濟時代下，數據已成為一種“新能源”，是提升企業(yè)能力的“富礦”。

而隨著數字化應用種類、數量和訪問接口的豐富，讓數據和業(yè)務被訪問和獲取的途徑迅速膨脹，更廣泛的應用及數據安全將成為從國家到企業(yè)再到每一位用戶都必須關注的重要維度，重要程度不言而喻。

而在新互聯(lián)網時代，大量新型安全威脅接踵而至，其中勢頭最猛的當屬自動化攻擊。為了提高攻擊效率和殺傷力，攻擊者大量采用使用簡單、能力驚人的自動化攻擊工具，對網站和數據進行攻擊和竊取。據權威機構報告顯示，全球90%以上的網絡攻擊流量都來自于自動化工具，每年造成超過萬億的經濟損失。

自動化攻擊借由新技術資源而日新月異

攻防技術的發(fā)展，讓攻擊者開始放棄了部分無效的攻擊手段，轉而采用了更多新型自動化攻擊手段，由此催生了更具擬人特點的高級機器人攻擊。它們可以發(fā)起模擬真人、符合正常業(yè)務邏輯的惡意行為，通過龐大的IP資源池，以及花樣翻新的技術平臺和手段，如使用模擬器、偽造瀏覽器環(huán)境、UA和分布式IP等，讓攻擊深度隱藏于正常流量，黑客甚至比企業(yè)更高效率地使用了AI技術，提升攻擊效率被檢測的難度，給企業(yè)安全帶來了極大威脅。

企業(yè)需要盡快將自動化攻擊管理納入到企業(yè)應用和業(yè)務威脅管理架構中，部署多種防范自動化攻擊威脅的新技術，將安全防御重心從網絡上升到應用，從傳統(tǒng)網絡邊界，遷移到各種應用API。借助涵蓋動態(tài)安全（見圖2）、機器學習、智能人機識別、智能威脅檢測、全息設備指紋、智能響應等的AI技術，加強對自動化攻擊的識別，并對潛在和更加隱蔽的攻擊行為進行更深層次的分析和挖掘，實現精準攻擊定位和追蹤溯源。

AI技術引發(fā)自動化攻擊類型日益廣泛

伴隨著AI技術、自動化工具的應用及平臺化趨勢的加強，自動化攻擊已經成為網絡安全的新常態(tài)。復雜自動化攻擊的手段和覆蓋范圍正在不斷增加，安全攻擊變得更具侵略性，我們使用的每一個在線業(yè)務和應用都可能成為攻擊者的目標，攻擊方式不斷翻新，由自動化工具發(fā)起的高效大規(guī)模攻擊（惡意爬蟲、撞庫、虛假注冊、交易篡改、內部竊密、API濫用、零日攻擊等）等新興自動化攻擊幾乎覆蓋了各渠道、各行業(yè)的各個場景，大幅增加了企業(yè)和政府機構在業(yè)務、應用和數據層面的安全風險。

企業(yè)需要盡快將自動化攻擊管理納入到企業(yè)應用和業(yè)務威脅管理架構中，部署多種防范自動化攻擊威脅的新技術，將安全防御的重心從網絡上升到應用，從傳統(tǒng)網絡邊界，遷移到各種應用API，構建集中于商業(yè)邏輯、用戶、數據和應用的可信安全架構，全面抵擋新的安全威脅。

自動化攻擊與安全防護

上文提到黑客可以發(fā)起模擬真人、符合正常業(yè)務邏輯的惡意行為，通過使用模擬器、偽造瀏覽器環(huán)境和UA、分布式IP等給企業(yè)安全帶來了極大威脅。此外，更容易獲取的自動化攻擊工具顯著降低了攻擊門檻。

在自動化攻擊與安全防護之間的對抗中，企業(yè)應借助涵蓋動態(tài)安全、機器學習、智能人機識別、智能威脅檢測、全息設備指紋、智能響應等的AI技術，加強對自動化攻擊的識別，持續(xù)監(jiān)控并分析流量行為，實現精準攻擊定位和追蹤溯源，并對潛在和更加隱蔽的攻擊行為進行更深層次的分析和挖掘。從而實現由被動向主動、由靜態(tài)向動態(tài)的整體安全防御。

網絡漏洞曝光和利用效率提升

受疫情影響，遠程辦公、在線教育持續(xù)火熱，其他行業(yè)也在這種極端環(huán)境下開始思考數字化轉型。許多企業(yè)紛紛加快了上云的步伐，各類服務和數據不斷向云端遷移，但層出不窮的Web應用、移動應用漏洞，以及可以利用各種新型攻擊手段并繞過傳統(tǒng)安全防護措施的自動化攻擊，讓企業(yè)面臨著嚴峻的業(yè)務和數據安全挑戰(zhàn)。

因此，具備防漏洞探測、防零日漏洞攻擊、防應用DDoS等功能的主動防御措施是Web和移動應用安全最佳的基本防護選擇。利用“動態(tài)安全”提供的主動式防御技術，可以通過識別攻擊是否為腳本、程序、工具等發(fā)起，從而在無規(guī)則防護升級的情況下對自動化攻擊進行有效阻斷，實現迅速響應，防范于攻擊之前。

數據泄露事件防不勝防

近年來，數據泄露事件泛濫，網絡爬蟲和內鬼防不勝防，個人信息、賬戶憑證、內部敏感的企業(yè)數據頻繁被盜。同時，線下的非法數據售賣也非常猖獗，這就更增加了企業(yè)及公民信息外泄和被利用、被偽造的風險，給企業(yè)帶來了巨大的安全隱患。

然而，自動化工具攻擊并不是一成不變的，爬蟲技術也在不斷發(fā)展，手段越來越“高明”。它們不再是簡單的腳本或程序，而是在一定程度上能模擬人的行為或瀏覽器行為。因此依賴簽名與規(guī)則等的傳統(tǒng)安全防御技術，已經無法抵御新興的安全威脅。

IDC報告明確提出，移動目標的動態(tài)防御技術已經成為與機器學習、行為分析、威脅情報技術一樣在主動防御領域的重要技術（見圖3）。

運用“動態(tài)安全”技術進行人機識別，通過機器學習、智能威脅檢測等AI技術，嚴密檢查運行環(huán)境、瀏覽器指紋、疑似攻擊行為等因素，高效甄別并阻攔高級模擬人或者高級爬蟲工具發(fā)起的訪問需求。通過動態(tài)響應機制建立主動防御和持續(xù)對抗的能力，持續(xù)為企業(yè)數據安全保駕護航。

賬號安全亟待提升

攻擊者廣泛利用自動化攻擊工具模擬合法用戶操作并利用大量跳板快速更換IP，讓基于特征比對及行為規(guī)則的傳統(tǒng)安全防護機制幾乎束手無策，這就讓依靠IP黑名單攔截攻擊的企業(yè)面臨著重大的安全挑戰(zhàn)。

不僅如此，隨之而來的敲詐勒索才是黑產利益的更大來源。擁有大量用戶的平臺，如航旅酒店、電商、網銀更是感受到威脅甚巨，一旦被撞庫成功、遭遇敲詐勒索，部分企業(yè)為了避免事態(tài)不斷惡化造成難以估計的負面影響，會傾向于先向攻擊者提供金錢來解決問題。

為了有效克服傳統(tǒng)安全機制在對抗撞庫攻擊時面臨的重大挑戰(zhàn)，改變傳統(tǒng)的被動式安全防護策略，企業(yè)需要以創(chuàng)新的主動防御技術高效甄別偽裝成正常行為的已知和未知自動化攻擊，阻擋撞庫、惡意注冊等自動化攻擊，防止數據泄漏，防止黑客利用已經泄漏的用戶信息及密碼進行批量登錄，全面保障企業(yè)的數據安全和賬號安全。

業(yè)務欺詐風險日益增加

攻擊者可以利用自動化工具，通過偽裝成正常交易的業(yè)務欺詐行為，例如盜刷、套現、薅羊毛、黃牛搶購、刷單、短信轟炸及違反業(yè)務邏輯操作等業(yè)務欺詐行為達到攫取經濟利益的目的。從商業(yè)角度來說，這些攻擊行為擾亂了申請數據、轉化率、毛利率等商業(yè)分析指標，歪曲了業(yè)務增長的真實水平。從用戶體驗來說，真實用戶很難在與自動化工具的較量中勝出，直接導致部分客戶的流失。

面對業(yè)務和網絡威脅相混合、應用防護和業(yè)務反欺詐相交疊的安全現狀，企業(yè)需要具有前瞻性的“風控前置”意識，在攻擊威脅到達系統(tǒng)之前就對業(yè)務欺詐風險進行精準甄別和攔截，動態(tài)安全技術，可以在傳統(tǒng)風控之前實現對惡意工具行為的前置識別和威脅感知，從而最大限度地主動透視風險，更高效準確地實現業(yè)務風險防護。

總結

有效防御自動化攻擊是未來安全防護的趨勢，能夠賦予企業(yè)更高等級的安全保護。未來，隨著新基建的普及，數字化將成為企業(yè)發(fā)展的“核心動能”，安全也將成為企業(yè)核心競爭優(yōu)勢之一。面對層出不窮的自動化攻擊，企業(yè)比以往任何時候都更加需要主動、有效的安全防御措施，在自動化攻擊對企業(yè)產生負面影響之前實現快速檢測、響應和阻擋，充分保護企業(yè)網絡、業(yè)務、應用和數據的安全！

隨著我國企業(yè)數字轉型增速加快，信息呈現指數級增長，而當價值信息聚集的時候，威脅也在凝視，利益所在處就是黑產聚集處。瑞數信息認為可以以動態(tài)防護、人工智能、可編程對抗和業(yè)務威脅感知四大核心技術為基礎，將安全防御范疇由Web端進一步拓展到移動端、云端、API、IoT領域，并通過將應用與業(yè)務間的多維度安全手段聯(lián)動起來，消除信息安全體系建設中的“安全孤島”問題。

形成針對應用和業(yè)務威脅的事先預防、事中響應、事后分析三者聯(lián)動的安全風險閉環(huán)，同時縱深加大業(yè)務威脅感知和數據透視，深度賦能多場景的業(yè)務與應用安全，為企業(yè)的風險管理、安全防護打造出一套多維度、多手段、多能力的全縱深防御體系，在當前復雜多變的網絡和應用環(huán)境下，為企業(yè)應用與業(yè)務提供了長期、有效、靈活的信息安全防護。

在瑞數信息看來，安全威脅充滿未知和不確定，只有持續(xù)不斷的對抗變化，才能應對未知。瑞數信息希望通過動態(tài)安全策略和自動化手段來對抗不確定的、海量的攻擊，從而拉升攻擊成本，實現企業(yè)用戶以較低的成本達到高標準的安全基線。

未來，隨著新基建的不斷深入，瑞數信息將一如既往地加強技術創(chuàng)新，全力為每一位用戶提供全面的網絡安全保障。同時，也將持續(xù)為構建安全、健康、有序的網絡環(huán)境做出積極貢獻。

責任編輯：馮垚

fangyao@staff.ccidnet.com