如果舉辦一屆安全運(yùn)維人員吐槽大會(huì)，想必會(huì)收到很多人的共鳴。

人少活多，活忒多；

漏洞無(wú)窮盡，補(bǔ)丁補(bǔ)不完；

掏空我的不是愛情，是漏洞

……

拿Web應(yīng)用舉例，Web應(yīng)用除了要應(yīng)對(duì)OWASP TOP10穩(wěn)居前列的SQL注入、跨站腳本XSS、認(rèn)證和Webshell木馬上傳等傳統(tǒng)攻擊，還要應(yīng)對(duì)大量新興安全威脅及漏洞，例如Bots攻擊、API數(shù)據(jù)泄露、零日漏洞等。

也就是即使應(yīng)用代碼中移除了所有已知漏洞，威脅也會(huì)以零日攻擊的形式繼續(xù)存在。（這句話出自Forrester Wave的報(bào)告）

這些新興安全威脅可以輕松繞過(guò)傳統(tǒng)驗(yàn)證碼的人機(jī)識(shí)別技術(shù)，也使傳統(tǒng)WAF的防護(hù)瓶頸愈加凸顯：

只能通過(guò)規(guī)則更新阻攔零日漏洞，過(guò)于滯后和被動(dòng)；

只能通過(guò)信譽(yù)庫(kù)、黑名單、限頻規(guī)則設(shè)定等手段防御應(yīng)用DDoS；

只能通過(guò)策略規(guī)則識(shí)別和阻攔OWASP Top10 Web安全威脅，誤報(bào)多，運(yùn)維工作量大。

運(yùn)維狗情不自禁哭出聲。

這時(shí)候開始有人思考，漏洞是補(bǔ)不完的，但是不是可以隱藏漏洞？

 主動(dòng)式防護(hù)

《Gartner 2018 年WAF魔力象限報(bào)告》指出全球Web Application Firewall的市場(chǎng)高達(dá)8.5億美元，亞太地區(qū)增長(zhǎng)率為13.5%，超過(guò)全球11.9%的增長(zhǎng)率，而中國(guó)WAF市場(chǎng)也以14% - 15%的速度在逐年增長(zhǎng)。企業(yè)Web 應(yīng)用最有效的技術(shù)中，WAF已處于首位（占73％）。

但是傳統(tǒng)Web安全技術(shù)卻并不完美，諸多安全廠商開始尋找最佳防護(hù)姿勢(shì)。

靜態(tài)防不住換動(dòng)態(tài)，規(guī)則防不住就用智能，瑞數(shù)就是這么做的。

不久前，瑞數(shù)信息發(fā)布全球第一款雙引擎動(dòng)態(tài)WAF——瑞數(shù)靈動(dòng)River Safeplus，這款動(dòng)態(tài)WAF采用瑞數(shù)獨(dú)有的“動(dòng)態(tài)安全引擎” + “AI智能威脅檢測(cè)引擎”，內(nèi)建智能模型，不依賴于規(guī)則，即可精確識(shí)別Bots和各類攻擊，為Web安全提供主動(dòng)式的安全防護(hù)。

怎么個(gè)主動(dòng)法？

瑞數(shù)信息的副總裁趙曄宇舉了個(gè)例子，2017年時(shí)候有個(gè)厲害的零日漏洞Struts2-045，其破壞力超強(qiáng)堪稱王者。更牛X的是它爆發(fā)時(shí)間正好在2017年3月初兩會(huì)期間，很敏感的時(shí)間。（圍觀群眾露出了你懂我也懂的眼神）據(jù)說(shuō)瑞數(shù)的一個(gè)用戶也在這個(gè)時(shí)候受到了攻擊。

趙曄宇

趙曄宇告訴雷鋒網(wǎng)，那次攻擊第一波出現(xiàn)在公安部或其他國(guó)家權(quán)威機(jī)構(gòu)公布這個(gè)零日漏洞的前兩天。如果要等機(jī)構(gòu)通報(bào)，那第一波的黑客攻擊已經(jīng)完事了，換句話說(shuō)，黑客一定是比通報(bào)機(jī)構(gòu)更早知道這個(gè)零日漏洞，所以他才能更早的去利用，所以第一波是正式公布的前兩天。

但是機(jī)構(gòu)公布后就會(huì)引發(fā)第二波超強(qiáng)攻擊，為什么呢？

這就像新的傳染病爆發(fā)出來(lái)后，要需要一段時(shí)間去研究疫苗，那在這段空窗期內(nèi)，基本就是感染必死，唯一的辦法就是拔線，沒(méi)錯(cuò)，就是這么簡(jiǎn)單粗暴。 

這時(shí)候安全廠商能做什么？只能打補(bǔ)丁，瘋狂打補(bǔ)丁。“我記得那個(gè)時(shí)候有些友商一個(gè)團(tuán)隊(duì)的技術(shù)人員覺(jué)都沒(méi)睡?！?/p>

但奇怪的是，明明打好了補(bǔ)丁這家倒霉客戶又遭到了第三波攻擊，進(jìn)一步研究了這次攻擊特征后，才發(fā)現(xiàn)黑客利用的是Struts2-032這個(gè)漏洞（爆發(fā)出來(lái)的是045）。也就是，Struts2是一個(gè)零日漏洞的家族，這個(gè)家族包含1、2、4……45（當(dāng)時(shí)）這些漏洞，當(dāng)然截止現(xiàn)在這個(gè)家族還在擴(kuò)大。

黑客在進(jìn)行攻擊的時(shí)候，比任何一家企業(yè)都要講效率，他們不會(huì)一次只用一個(gè)攻擊，攻擊工具往往是一個(gè)家族。所以喪心病狂的黑客可能是把Struts2這個(gè)攻擊家族，從Struts2-01一直到045全部去試一遍，來(lái)找到你存在的漏洞。

這個(gè)事例說(shuō)明了什么？

傳統(tǒng)的WAF防護(hù)，是滯后的、被動(dòng)的，存在時(shí)間差的，依靠規(guī)則的更新，依靠打補(bǔ)丁去防御攻擊，永遠(yuǎn)都是百密一疏。怎么讓這種防御主動(dòng)起來(lái)？ 

瑞數(shù)動(dòng)態(tài)安全引擎會(huì)對(duì)當(dāng)前頁(yè)面內(nèi)的合法請(qǐng)求地址授予一定時(shí)間內(nèi)有效的動(dòng)態(tài)令牌，并為每個(gè)客戶端生成不依賴于設(shè)備特征的唯一標(biāo)識(shí)。令牌的動(dòng)態(tài)變換，加上客戶端唯一標(biāo)識(shí)，可防止攻擊者通過(guò)偽造客戶端環(huán)境、偽造令牌的方式繞過(guò)追蹤，阻攔非法的自動(dòng)化攻擊請(qǐng)求。

同時(shí)，動(dòng)態(tài)安全引擎通過(guò)在頁(yè)面中隨機(jī)自動(dòng)插入動(dòng)態(tài)驗(yàn)證腳本，實(shí)現(xiàn)對(duì)訪問(wèn)客戶端的人機(jī)識(shí)別，從而阻攔腳本、程序等自動(dòng)化攻擊行為，并保障應(yīng)用邏輯的正確運(yùn)行。

動(dòng)態(tài)驗(yàn)證包含真實(shí)瀏覽器形態(tài)驗(yàn)證、瀏覽器指紋及異常行為模式監(jiān)測(cè)三大模塊。動(dòng)態(tài)驗(yàn)證的過(guò)程中，還會(huì)根據(jù)威脅態(tài)勢(shì)生成不同的檢測(cè)代碼，提升攻擊者或自動(dòng)化工具假冒合法客戶端的難度，有效克服現(xiàn)有終端感知產(chǎn)品使用靜態(tài)采集代碼、被逆向后易于被繞過(guò)的安全難題。

更“人性化”

為了更“人性化”，River Safeplus 采用了AI智能威脅檢測(cè)引擎，可以做到深度識(shí)別 ， 精準(zhǔn)溯源。

具體來(lái)說(shuō)，這個(gè)智能引擎基于大數(shù)據(jù)分析技術(shù)，對(duì)客戶端到服務(wù)器端所有的請(qǐng)求日志進(jìn)行全訪問(wèn)記錄，并利用機(jī)器學(xué)習(xí)進(jìn)行深度行為分析。通過(guò)智能規(guī)則匹配，持續(xù)監(jiān)控并分析流量行為，從而深入檢測(cè)威脅攻擊。

AI智能威脅檢測(cè)引擎在用戶和應(yīng)用程序交互的過(guò)程中采集環(huán)境和行為特征信息，并利用統(tǒng)計(jì)模型來(lái)確定HTTP請(qǐng)求的異常。另外，還會(huì)基于IP/設(shè)備指紋/瀏覽器形態(tài)/操作事件/會(huì)話對(duì)象等上百個(gè)維度進(jìn)行應(yīng)用層威脅建模和數(shù)據(jù)訓(xùn)練學(xué)習(xí)，區(qū)分正常用戶及攻擊者操作序列，及時(shí)阻攔異常行為的訪問(wèn)請(qǐng)求。

總之有了AI神器加持，檢測(cè)引擎等于有了揪出隱蔽攻擊的“千里眼”和實(shí)現(xiàn)精準(zhǔn)攻擊溯源的“順風(fēng)耳”。

那么八卦的編輯好奇發(fā)問(wèn)，靈動(dòng)上線真的有幫小哥哥們減輕負(fù)擔(dān)嗎，會(huì)有什么不一樣的感覺(jué)？

 90%的外部攻擊都是黑客通過(guò)一個(gè)程序、工具掃描企業(yè)網(wǎng)站尋找可攻擊的漏洞，以往的攔截方式是在自己的安全產(chǎn)品上增加規(guī)則，也就是可能這款產(chǎn)品可以攔截10種漏洞，發(fā)現(xiàn)沒(méi)攔住的新品種需要手動(dòng)增加規(guī)則，變成可以攔截11種漏洞。而靈動(dòng)做的是從源頭抓起，惡意工具首次訪問(wèn)就被攔下，至于之后的N種漏洞就無(wú)計(jì)可施了。

當(dāng)然，小哥們也不可能什么都不做，畢竟這是個(gè)長(zhǎng)期對(duì)抗過(guò)程。

賽博世界，攻防之戰(zhàn)永遠(yuǎn)是道高一尺魔高一丈，止步于前只會(huì)將企業(yè)安全置于無(wú)處不在而不斷升級(jí)的威脅之中。如果把安全廠商比作戰(zhàn)斗在黑暗中的鐵甲騎兵，這群沖在最前面的兵將們似乎需要升級(jí)武器，更加動(dòng)態(tài)，更加智能。

雷鋒網(wǎng)宅客頻道（微信公眾號(hào)：letshome），專注先鋒科技，講述黑客背后的故事，歡迎關(guān)注雷鋒網(wǎng)宅客頻道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。