2021年12月10日,網絡安全領域規模大、影響力強的年度重要行業盛會——“2021年(第十一屆)電信和互聯網行業網絡安全年會”在武漢召開。來自全國31個省、自治區、直轄市通信管理局、省通信行業協會、基礎電信運營企業、互聯網企業、網絡安全企業和科研機構等相關單位的領導和代表近400人參加了會議,共同關注網絡安全領域重點、熱點話題,探索“十四五”時期行業網絡安全發展新路徑。
在會上,瑞數信息技術專家關福君發表了“構建應用數據安全主動防御體系”的主題演講,介紹了數據時代運營商應用數據安全面臨的威脅,并展示了瑞數信息如何運用“動態安全技術”,助力運營商企業解決應用系統的數據安全風險。
數據時代,運營商應用數據安全面臨五大威脅
近年來,隨著各種應用系統的增加,運營商信息安全事件頻發,如:違規操作導致用戶核心數據泄露,被不法分子盜取牟利;非法出售用戶個人信息,發送垃圾短信;系統漏洞被勒索病毒攻擊,導致企業損失高達千萬級等等。
由于運營商積累并掌握著大量的用戶信息、生產數據和運營信息,導致在對數據進行應用時會遭遇各種內外部風險,一旦核心應用被攻擊,對于用戶個人隱私、運營商自身發展乃至國家安全都會造成巨大影響。
對此,瑞數信息技術專家關福君表示,在數據時代,運營商應用數據安全必須關注的五大安全威脅,分別是:數據篡改、用戶憑證泄露、API接口濫用、勒索軟件、外掛及爬蟲。
具體而言,在網絡通信中,明文傳輸的數據容易被劫持或篡改,如果在傳輸用戶隱私數據過程中,如賬號、密碼、交易內容等關鍵數據被不法分子截取或篡改,就可能導致用戶受到傷害,比如被詐騙、財產受到損失等。因此,運營商應用系統在數據傳輸過程中應重視數據被篡改的風險。
在用戶憑證保護方面,運營商則面臨被黑客攻擊的威脅:一方面,Cookie被惡意竊取后,攻擊者利用Cookie直接獲取系統操作權限及個人信息;另一方面,攻擊者使用手中已收集到的賬號和密碼信息,批量嘗試登錄網站/APP等應用,通過撞庫攻擊可以獲取用戶的合法身份,導致用戶身份、賬號、交易等隱私信息被泄露。
目前越來越多的應用將自己的數據通過API的方式提供給第三方應用系統使用,API的應用形式得到了高速發展,同時API也成為攻擊者重點關注的目標之一。據Gartner預測,到2022年,API濫用將成為企業應用程序數據泄露的罪魁禍首。因此,保護API對于運營商變得越來越重要。
2021年以來,勒索軟件攻擊仍然呈上升趨勢,隨著勒索軟件即服務(RaaS)等模式的出現,勒索攻擊門檻越來越低,對于核心應用的攻擊也變得愈發頻繁。傳統基于規則和特征的安全解決方案已經無法有效抵御勒索軟件攻擊,而傳統備份和容災系統面對勒索軟件也充滿了無奈,因無法判斷數據是否被感染而盲目完成備份/容災任務,反而會加重感染范圍,造成雙重勒索的后果。因此,勒索軟件攻擊也成為運營商面臨的重大威脅之一。
此外,攻擊者通過爬蟲非法獲取用戶隱私信息、通過外掛程序模擬人工訪問進行業務辦理等相關業務安全隱患,也嚴重影響著運營商平臺的正常運營和口碑聲譽。
動態安全技術,瑞數信息構建應用數據安全主動防御體系
日益猖獗的新型網絡攻擊,使得傳統數據防護手段逐漸失效。那么,運營商應該如何應對新的應用數據安全挑戰?
瑞數信息技術專家關福君表示,隨著《數據安全法》和《個人信息保護法》的相繼實施,運營商在面臨各類安全威脅的同時,也受到了來自監管合規的巨大壓力。根據《數據安全法》對于數據處理的定義,數據安全涉及到多個環節:收集、存儲、使用、加工、傳輸、提供、公開,成為數據安全目前關注的重點。
因此,瑞數信息基于數據的傳輸、提供、公開、使用、存儲關鍵生命周期節點,推出了基于多種安全技術打造的應用數據安全解決方案,助力運營商構建應用數據安全的主動防御體系。
數據傳輸環節
瑞數信息以“動態防護”技術為核心,采用一次一密技術進行數據混淆,分別從應用代碼混淆、傳輸數據混淆和Cookie混淆三個層面進行處理,使得傳輸內容的混淆結果每次不同,從而提高攻擊者的破解難度,實現安全傳輸。
其中,應用代碼混淆包括:Web、H5代碼混淆、APP加固、小程序加固;數據傳輸混淆包括:端到端傳輸數據防護、請求內容混淆、返回內容混淆;
數據提供環節
瑞數信息的API動態安全方案,可以從敏感數據的接口識別、攻擊檢測、異常行為處置、行為審計四大方面,實現API的風險分類、評級和處置,避免因API濫用導致的敏感數據泄露。
首先,通過梳理API資產,實現對API資產的生命周期管理;其次,綜合利用智能規則匹配及行為分析的智能威脅檢測引擎,持續監控并分析流量行為,有效檢測威脅攻擊。一旦確定異常情況,智能引擎就會使用機器學習獲得的多種威脅模型來確定異常攻擊。再次,對API傳輸中的敏感數據進行識別,針對敏感數據可以進行脫敏或者實時攔截,防止敏感數據泄露。最后,對API接口的訪問行為進行分析,通過多維度建立API訪問基線、API威脅建模,發現惡意訪問行為,避免API被濫用。
數據公開環節
瑞數信息能夠通過人機識別、行為分析、按需攔截等技術,對Web、APP、小程序、H5、微信、API等全業務接入渠道,實現外掛和數據爬蟲的防護。
其中,人機識別是指通過一次性令牌、客戶端真實性驗證、客戶端行為識別對訪問客戶端進行人機識別;行為分析是指通過AI技術進行用戶行為分析、生成信譽庫、威脅建模;按需攔截包括多種攔截模式、多種采集字段、全圖形化配置。
例如:瑞數信息能夠驗證瀏覽器的真實性、驗證是否為自動化攻擊、檢查動作的真實性等,并隨機選取檢測項目與數量,增加不可預測性和攻擊難度,應對應對非授權訪問、非受控訪問、撞庫攻擊和數據爬取風險。同時,增加“灰度”攔截功能,根據業務情況按需攔截,如:發起二次動態挑戰,延時回包和按比例攔截等等,在保護數據安全的同時也不影響業務的正常運轉。
數據使用和存儲環節
瑞數信息的智能數據安全檢測與應急響應系統(簡稱River DDR),采用了基于創新AI人工智能的快速數據檢測與響應技術,以數據安全底座為支撐,提供數據風險管理、實時智能檢測、威脅驗證和快速恢復等功能。在全球勒索攻擊高發的趨勢下,為企業賦予有效反擊黑客勒索、防止批量數據泄露和破壞的安全能力,構筑起事前、事中、事后三道防線的縱深防御體系。
總體而言,瑞數應用數據安全主動防御體系中采用了瑞數核心的“動態安全+AI”技術,比如每次請求授予一次性令牌,對客戶端進行合法性驗證和行為識別,實現人機識別;通過客戶運行環境偵測來判斷環境是否一致,最后通過行為分析來透視未知的威脅和風險。從而最終解決數據傳輸保護、API敏感數據管控、身份信息防護和數據防爬、數據安全使用和存儲的問題。
作為國內前沿的互聯網應用安全防護企業,瑞數信息創新的“動態安全”主動防護技術,已保護了上萬億企業客戶資產和5億多賬戶,無論是中國的三大運營商、排名前五位的大型銀行、最頂級的十大電商,還是中國前三大在線支付公司中都可以找到瑞數信息的客戶身影。
對于運營商而言,基于瑞數信息的動態安全技術,能夠有效抵御各類自動化攻擊,全面提升自身核心應用、業務及數據風險防范能力,構建面向數字時代的新一代主動防護安全體系。
