表1：2015 OWASP Web應用 Top 20自動化威脅

傳統安全防御“心有余，力不足”

面對自動化威脅，現有主流網頁安全技術，應對自動化攻擊均存在不同程度的局限，大致可分為四類：

一是基于規(guī)則和簽名的技術存在空窗期。防火墻、IDS／IPS、Web應用防火墻等技術在現階段都沒有擺脫有防護空窗期的缺陷，規(guī)則和簽名永遠滯后于攻擊的發(fā)生。

二是身份安全面臨挑戰(zhàn)。安全水平參差不齊的互聯網及互聯網金融企業(yè)的興起，在大量的普通用戶群體用戶帳號、密碼一致的現實情況下，以“拖庫”為代表的大量用戶身份信息泄漏事件頻發(fā)，甚至通過“撞庫”方式產生更為嚴重的連鎖反應。出現了抗動態(tài)身份認證技術的工具和服務，如：打碼平臺，專門應對各類動態(tài)驗證碼防護技術。

三是模擬合法操作的自動化攻擊和對未知攻擊的防護薄弱且低效。目前主要依賴應用軟件本身的改進，并無有效的產品和技術應對。這如同發(fā)現應用漏洞一樣，漏洞的修復和應用軟件修改的工作成本和周期都較大，這些改進的工作內容的復制性低，也造成了不能很好適應“互聯網＋”模式的快速性特點。同時，過嚴的安全防護還造成客戶體驗不佳。

四是日志分析和大數據分析技術仍需要時間和驗證。大數據技術運用在安全威脅情報的分析和預測上是潮流和方向，其中海量的事件源采集和數據分析模型是關鍵。然而，自動化攻擊和威脅事件的捕獲手段是目前一個主要的障礙點。

取勝之道：“動態(tài)安全”防御理念動中取勝

在自動化威脅肆虐和傳統安全防御技術亟待提升的嚴峻形勢下，突破傳統安全防御觀念，扭轉被動滯后的局面，成為傳統金融機構和安全廠商的迫切需求。

瑞數信息做到了這一點。

瑞數信息立足信息安全領域的技術創(chuàng)新，面向解決自動化攻擊的威脅趨勢，秉承動態(tài)安全的防御理念，采用創(chuàng)新的“動態(tài)變幻”安全技術（已獲專利），通過對服務器網頁底層代碼的持續(xù)動態(tài)變換，使得服務器對于用戶端訪問請求的響應具有 “不可預測性”，使得成為攻擊者目標的網頁和手機應用，變成“移動標靶”。不僅有效對抗傳統技術部分解決的漏洞利用問題，也更簡便有效地解決了濫用業(yè)務邏輯的自動化威脅，乃至越來越普遍被使用，卻是檢測和防御難點的DDoS?和分布式漏洞掃描?！皠討B(tài)變幻”技術同時也顛覆了傳統安全技術中采用的靜態(tài)和被動（規(guī)則及事后）的模式，轉為動態(tài)和主動方式（變幻及事中）進行保護。

瑞數機器人防火墻Botgate產品通過以下多重“動態(tài)”引擎技術聯合使用，實現其防護能力：

動態(tài)封裝。網頁代碼的底層動態(tài)封裝，封閉攻擊入口。每次的變換均不同，攻擊者難以逆向 。

動態(tài)驗證。對客戶端的人機行為進行驗證，有效判斷自動化攻擊。

動態(tài)混淆。對客戶端提交的重要數據和屬性進行混淆保護，防止中間人攻擊。

動態(tài)令牌。通過對受保護網頁授予一定時間內的有效訪問，確保合法的業(yè)務邏輯。防止越權訪問、拖庫等惡意自動化攻擊。

針對銀行業(yè)面臨的主要安全風險，瑞數產品可以實現三個層面的安全，例如屏蔽業(yè)務安全風險：防止撞庫；防止盜用賬戶、竊取用戶信息、欺詐交易、盜取用戶存款；防止應用層DDoS。還可以避免銀行的商譽受到影響：防止自動化提交垃圾信息或惡意內容、防止自動化投票或評價結果操控、防止中間人攻擊（MITM或MITB）。此外還可以保障網站安全：防止漏洞掃描與漏洞利用、隱藏網站邏輯缺陷、防止各種已知和未知攻擊行為，做到先人一步，以動制動。

更值得一提的是，瑞數機器人防火墻Botgate以虛擬機及軟硬一體機的方式部署于網頁服務器前端，采用反向代理的工作模式。其最主要的特點和優(yōu)勢是無需修改應用的代碼，運維難度小成本低，在一定程度上替換了應用軟件漏洞修補和代碼改進的工作，更適應“互聯網＋”時代的業(yè)務特點。

互聯網金融業(yè)務的風控體系，需要從政策、監(jiān)管、信用機制、身份和交易安全等多方面整體規(guī)劃、通盤考慮。作為即將成為互聯網金融更強大的參與者和推動力的銀行業(yè)，可以結合創(chuàng)新的產品和技術有效彌補傳統安全策略的不足，將應用安全技術納入業(yè)務安全模型，推動銀行業(yè)“互聯網＋”業(yè)務的快速發(fā)展。

zhupb