2021年12月10日,网络安全领域规模大、影响力强的年度重要行业盛会——“2021年(第十一届)电信和互联网行业网络安全年会”在武汉召开。来自全国31个省、自治区、直辖市通信管理局、省通信行业协会、基础电信运营企业、互联网企业、网络安全企业和科研机构等相关单位的领导和代表近400人参加了会议,共同关注网络安全领域重点、热点话题,探索“十四五”时期行业网络安全发展新路径。
在会上,瑞数信息技术专家关福君发表了“构建应用数据安全主动防御体系”的主题演讲,介绍了数据时代运营商应用数据安全面临的威胁,并展示了瑞数信息如何运用“动态安全技术”,助力运营商企业解决应用系统的数据安全风险。
数据时代,运营商应用数据安全面临五大威胁
近年来,随着各种应用系统的增加,运营商信息安全事件频发,如:违规操作导致用户核心数据泄露,被不法分子盗取牟利;非法出售用户个人信息,发送垃圾短信;系统漏洞被勒索病毒攻击,导致企业损失高达千万级等等。
由于运营商积累并掌握着大量的用户信息、生产数据和运营信息,导致在对数据进行应用时会遭遇各种内外部风险,一旦核心应用被攻击,对于用户个人隐私、运营商自身发展乃至国家安全都会造成巨大影响。
对此,瑞数信息技术专家关福君表示,在数据时代,运营商应用数据安全必须关注的五大安全威胁,分别是:数据篡改、用户凭证泄露、API接口滥用、勒索软件、外挂及爬虫。
瑞数信息技术专家关福君
具体而言,在网络通信中,明文传输的数据容易被劫持或篡改,如果在传输用户隐私数据过程中,如账号、密码、交易内容等关键数据被不法分子截取或篡改,就可能导致用户受到伤害,比如被诈骗、财产受到损失等。因此,运营商应用系统在数据传输过程中应重视数据被篡改的风险。
在用户凭证保护方面,运营商则面临被黑客攻击的威胁:一方面,Cookie被恶意窃取后,攻击者利用Cookie直接获取系统操作权限及个人信息;另一方面,攻击者使用手中已收集到的账号和密码信息,批量尝试登录网站/APP等应用,通过撞库攻击可以获取用户的合法身份,导致用户身份、账号、交易等隐私信息被泄露。
目前越来越多的应用将自己的数据通过API的方式提供给第三方应用系统使用,API的应用形式得到了高速发展,同时API也成为攻击者重点关注的目标之一。据Gartner预测,到2022年,API滥用将成为企业应用程序数据泄露的罪魁祸首。因此,保护API对于运营商变得越来越重要。
2021年以来,勒索软件攻击仍然呈上升趋势,随着勒索软件即服务(RaaS)等模式的出现,勒索攻击门槛越来越低,对于核心应用的攻击也变得愈发频繁。传统基于规则和特征的安全解决方案已经无法有效抵御勒索软件攻击,而传统备份和容灾系统面对勒索软件也充满了无奈,因无法判断数据是否被感染而盲目完成备份/容灾任务,反而会加重感染范围,造成双重勒索的后果。因此,勒索软件攻击也成为运营商面临的重大威胁之一。
此外,攻击者通过爬虫非法获取用户隐私信息、通过外挂程序模拟人工访问进行业务办理等相关业务安全隐患,也严重影响着运营商平台的正常运营和口碑声誉。
动态安全技术,瑞数信息构建应用数据安全主动防御体系
日益猖獗的新型网络攻击,使得传统数据防护手段逐渐失效。那么,运营商应该如何应对新的应用数据安全挑战?
瑞数信息技术专家关福君表示,随着《数据安全法》和《个人信息保护法》的相继实施,运营商在面临各类安全威胁的同时,也受到了来自监管合规的巨大压力。根据《数据安全法》对于数据处理的定义,数据安全涉及到多个环节:收集、存储、使用、加工、传输、提供、公开,成为数据安全目前关注的重点。
因此,瑞数信息基于数据的传输、提供、公开、使用、存储关键生命周期节点,推出了基于多种安全技术打造的应用数据安全解决方案,助力运营商构建应用数据安全的主动防御体系。
●数据传输环节
瑞数信息以“动态防护”技术为核心,采用一次一密技术进行数据混淆,分别从应用代码混淆、传输数据混淆和Cookie混淆三个层面进行处理,使得传输内容的混淆结果每次不同,从而提高攻击者的破解难度,实现安全传输。
其中,应用代码混淆包括:Web、H5代码混淆、APP加固、小程序加固;数据传输混淆包括:端到端传输数据防护、请求内容混淆、返回内容混淆;
●数据提供环节
瑞数信息的API动态安全方案,可以从敏感数据的接口识别、攻击检测、异常行为处置、行为审计四大方面,实现API的风险分类、评级和处置,避免因API滥用导致的敏感数据泄露。
首先,通过梳理API资产,实现对API资产的生命周期管理;其次,综合利用智能规则匹配及行为分析的智能威胁检测引擎,持续监控并分析流量行为,有效检测威胁攻击。一旦确定异常情况,智能引擎就会使用机器学习获得的多种威胁模型来确定异常攻击。再次,对API传输中的敏感数据进行识别,针对敏感数据可以进行脱敏或者实时拦截,防止敏感数据泄露。最后,对API接口的访问行为进行分析,通过多维度建立API访问基线、API威胁建模,发现恶意访问行为,避免API被滥用。
●数据公开环节
瑞数信息能够通过人机识别、行为分析、按需拦截等技术,对Web、APP、小程序、H5、微信、API等全业务接入渠道,实现外挂和数据爬虫的防护。
其中,人机识别是指通过一次性令牌、客户端真实性验证、客户端行为识别对访问客户端进行人机识别;行为分析是指通过AI技术进行用户行为分析、生成信誉库、威胁建模;按需拦截包括多种拦截模式、多种采集字段、全图形化配置。
例如:瑞数信息能够验证浏览器的真实性、验证是否为自动化攻击、检查动作的真实性等,并随机选取检测项目与数量,增加不可预测性和攻击难度,应对应对非授权访问、非受控访问、撞库攻击和数据爬取风险。同时,增加“灰度”拦截功能,根据业务情况按需拦截,如:发起二次动态挑战,延时回包和按比例拦截等等,在保护数据安全的同时也不影响业务的正常运转。
●数据使用和存储环节
瑞数信息的智能数据安全检测与应急响应系统(简称River DDR),采用了基于创新AI人工智能的快速数据检测与响应技术,以数据安全底座为支撑,提供数据风险管理、实时智能检测、威胁验证和快速恢复等功能。在全球勒索攻击高发的趋势下,为企业赋予有效反击黑客勒索、防止批量数据泄露和破坏的安全能力,构筑起事前、事中、事后三道防线的纵深防御体系。
总体而言,瑞数应用数据安全主动防御体系中采用了瑞数核心的“动态安全+AI”技术,比如每次请求授予一次性令牌,对客户端进行合法性验证和行为识别,实现人机识别;通过客户运行环境侦测来判断环境是否一致,最后通过行为分析来透视未知的威胁和风险。从而最终解决数据传输保护、API敏感数据管控、身份信息防护和数据防爬、数据安全使用和存储的问题。
作为国内前沿的互联网应用安全防护企业,瑞数信息创新的“动态安全”主动防护技术,已保护了上万亿企业客户资产和5亿多账户,无论是中国的三大运营商、排名前五位的大型银行、最顶级的十大电商,还是中国前三大在线支付公司中都可以找到瑞数信息的客户身影。
对于运营商而言,基于瑞数信息的动态安全技术,能够有效抵御各类自动化攻击,全面提升自身核心应用、业务及数据风险防范能力,构建面向数字时代的新一代主动防护安全体系。