随着数字化转型浪潮的深入推进,企业和信息安全也迎来了新兴挑战。根据全球智能边缘平台技术公司阿卡迈的调研报告:由于数字化转型而产生的大量App,高达83%的网络流量已经转换为API调用,API流量正成为新的攻击面;“撞库”攻击(攻击同一个用户在不同网站类似的帐户和密码)高企,全球的零售网站在2018年5月到12月经受了超过100亿次的“撞库”。而新型云和互联网攻击,也对企业建立“零信任”网络带来新的挑战。
“现在的网络安全防护不仅仅是企业自己业务的网络防护。同时,还需要云上的边缘防护战略,才能够应对互联网的新型大范围、大批量网络攻击。”这是阿卡迈亚太区云安全区域副总裁Unmesh Deshmukh在2019年4月26日的“企业安全‘新’技术峰会”上所强调的。作为全球最大的云和边缘计算交付平台公司,阿卡迈每天分发超过50TB/秒的Web流量,因此比任何其它厂商都更早地发现和意识到了新安全态势。
(阿卡迈亚太区云安全区域副总裁Unmesh Deshmukh)
作为全球最大的第三方独立CDN交付商,阿卡迈在全球130多个国家部署了近24万台服务器、连接近1600个超大型骨干网络和中小ISP等,帮助互联网公司、云公司、电信运营商和企业等就近向用户交付互联网内容和APP应用等。随着云时代的安全挑战兴起,阿卡迈的云安全、企业安全和网络及移动性能解决方案等逐渐丰富并且营收猛增。阿卡迈区域副总裁暨大中华区总经理李昇强调,新时期的企业安全必须要从边缘计算的防护开始,形成无处不在的安全堡垒。
(阿卡迈区域副总裁暨大中华区总经理李昇)
API攻击:云安全的新挑战
自2014年开始,阿卡迈就开始调查互联网上的HTTPS流量中,有多少是HTML流量,有多少是API流量。所谓API流量,就是各类移动应用程序、企业级SaaS云应用等通过互联网对后端云服务的调用。之前,互联网上流经的多为人为点击和调用的媒体内容,而2014年前后开始大规模兴起的云计算为互联网增加了海量的应用程序,这导致了由程序自动调用的API流量成为新兴互联网承载流量。
2014年的时候,阿卡迈估算互联网上47%的流量为API调用,主要包括json和xml两种内容形式;到了2018年的时候,互联网上高达83%的流量为API流量。阿卡迈认为这是一个重大信号,也是整个企业和信息安全产业的分水岭。承载API流量的主要为ESSL服务(Enhanced SSL),为满足支付卡产业数据安全标准(PCI-DSS)的网络,主要服务零售和金融机构等。阿卡迈专门部署了独立的网络,提供额外的控制手段以承载符合监管和合规要求的ESSL流量。
在新兴的API流量中,json占据了绝大多数。json是Javascript语言,为一种轻量级数据交换格式。根据软件开发工具公司JetBrains的“2018年中国开发者生态报告”,64%的受访者选择Javascript作为最常用的编程语言,而不论是在中国还是全球,Java和Javascript都是最受欢迎的编程语言。而在阿卡迈的调查中,以json为代表的API流量主要集中在媒体、企业、游戏、高科技、电商等行业。其中,媒体行业的API流量最高,几乎占据了63%的API点击;次高的API流量则来自高科技行业。
然而,并不是所有的现有安全工具都能应对针对API的威胁,特别是那些不能把json流量纳入监控范围或忽视了json流量。关于API的攻击,李昇强调,API本身是由原生APP发起的请求,不是通过人机交互、浏览器/点击/翻页/进入而产生的请求,API请求能够形成高频请求,而且带有更多的参数。现在很多原生应用APP的后台不是传统的网络服务器而是微服务,可以通过API的表达式进行操控,比如增加参数的数量以及增加嵌套的层数,导致攻击请求到达后台后对资源的消耗更大。而从黑客角度来说,希望用最低成本达到最大化结果,也就是把计算资源快速耗尽,所以API攻击的危害更大,而传统的防范手段已经不适应于针对API类型的攻击。
2018年9月,阿卡迈发布的一项针对亚太区的调查显示:此前的一年中,亚太区企业的Web应用平均遭受大约4次DoS攻击,遭受攻击之后的平均宕机时间为7.45小时,而仅仅是抵御一个DoS攻击所花的时间就超过1小时。在数字化转型的过程中,企业正在大规模利用API来推动新的客户体验并创造新的收入来源,阿卡迈认为API的保护需要采用面向治理、管理和安全性的专用解决方案,阿卡迈现在支持API流量自动保护、Web应用程序防火墙上的新攻击组以及API网关解决方案中的高级节流功能。
“撞库”升级:各行业的大隐患
所谓“撞库”攻击,就是因为很多用户在不同网站使用相同的帐号密码,因此黑客可以通过获取用户在一个网站的账户和密码并尝试登录另一个网址,这就是“撞库”攻击。李昇强调,云和网络安全已经从传统DDoS粗犷型攻击,转向应用层攻击,特别是“撞库”攻击。
早在2017年的时候,阿卡迈的一项调研就显示,当时有54%的受访者表示撞库攻击不仅呈现出上升趋势,还变得越发严重,68%的受访者表示对撞库攻击缺乏足够的可见性,70%的受访者根本不相信现有解决方案足以预防和化解这些攻击。而自2017年之后,“撞库”攻击更加肆虐。以前认为“撞库”对电商或金融行业的危害较大,但从阿卡迈最新的报告数据中发现,互联网视频、互联网社交等媒体行业网站被攻击的概率也非常高,从数据上来看几乎是对半开。
李昇介绍说,2018年最高峰的“撞库”攻击发生在视频媒体行业中,这些攻击体现出了“黑产业”的特点,形成了产业链——一旦某个网站用户的帐号和密码组合被泄露,往往在第二天或者是几个小时之后,互联网上就会发起巨量的“撞库”尝试。因为攻击者从网上或黑市购买到这些信息后,马上会到其它类似的网站上尝试。“撞库”的成功率非常高,因为大多数用户会在不同的网站和APP上使用相同的密码。
从阿卡迈的报告中,可以看到2018年出现的三次最大规模的撞库攻击均针对流媒体服务,规模介于1.33亿次到2亿次攻击尝试,而且都是在被报告数据泄露后不久发生的,这表明黑客可能在出售被盗证书之前对其进行测试。
而进入到2019年,“撞库”攻击的形式也在发生变化。阿卡迈的另一项研究发现,“撞库”攻击正从海量(volume-based)攻击,转向“低可见度慢速(low and slow)”隐形攻击。“低可见度慢速”的僵尸网络能够在安全雷达下隐藏其活动,并跨越较长时间段、指向多个目标地进行“撞库”攻击。这类攻击的一个案例是2018年早些时候发现的针对一家信用机构的系列袭击,这家机构发现有三个僵尸网络将其网站作为攻击目标:一个异常巨大的僵尸网络引起他们注意的同时,另一个僵尸网络却在非常缓慢却有条不紊地试图侵入网站。值得注意的是,在此类攻击的背后存在着专业的网络犯罪组织。
“撞库”攻击的另一个结果是恶意登录尝试,被黑客窃取的登录信息通过大规模的自动登录请求,获得对客户账户未经授权的访问。自2017年11月初至2018年6月底,阿卡迈的研究分析结果显示,恶意登录尝试在8个月内超过300亿次。在恶意登录之外,阿卡迈还观察到2019年即将到来的威胁,是越来越多的、高度复杂的网络爬虫正在模仿人类的行为,旅游业和银行业将更多地看到这一趋势。
Unmesh Deshmukh强调,需要从三个层面看待爬虫管理:首先判断到底是不是爬虫;其次分析是否为“好的爬虫”,包括公司自己的爬虫、合作伙伴的爬虫等,然后再区分恶意爬虫;第三是采取行动,特别是应对运行恶意爬虫的黑客,黑客总让爬虫更智能、更难防范。一旦爬虫攻击变成了“撞库”攻击的话,对很多公司来说就成为大问题,恶意爬虫隐藏在网络里,获取了用户名和密码后再进行随意组合,因此要升级针对爬虫攻击的措施,及时应对此类“撞库”攻击。
混合云:从边缘建立“零信任”企业网络
API攻击和“撞库”攻击带来的另一个挑战,就是企业如何建立“零信任”网络。现在很多企业都在执行混合云策略,把对时间响应敏感度高的业务放到“云”上,也有些企业应用不会上云,特别是证券类企业。混合云是企业数字化转型的折中方案,而且多家市场调查机构的数据也都显示传统企业上云过程中,普遍采用了混合云的模式。
混合云环境中,需要解决企业内部应用的互联网化挑战,包括如何互联网化、如何让外部能够有效并且安全访问内部应用等。所谓“零信任”,即不论用户在企业内部或是外面访问,企业都不认为这是安全的访问。不能因为访问的物理位置在企业内网,就100%信任该访问。企业对访问的物理地点与信任程度之间没有相关性,企业只能通过访问ID管理来进行初步认证。
阿卡迈企业安全产品资深总监Nick Hawkins表示,过去很多网络应用是由下而上的防护,就是说在TCP或者UDP层建立网络防护措施,这种方法在传统的有“内外”之分的场景中仍可适用。然而,这样的应用场景已经在很多公司不复存在了。企业应用的设备在云环境无处不在,而应用设备的用户也无处不在。在这个新的环境,用户和应用程序无处不在,这是当前“零信任”的挑战。
(阿卡迈企业安全产品资深总监Nick Hawkins)
Nick Hawkins认为,对于“零信任”架构有三大重要原则适用:第一,要一直假设网络是不安全的,时刻警惕威胁的存在;第二,不再允许或者是不再提供基于地点的任何“优先”,那么也就意味着在公司内外的网络上网,相比没有任何优势;第三,所有的通讯都需要经过身份验证并且被授权,才能够进行通讯。基于这三点重要原则,应用程序防护措施是“自上而下”的,而不是像之前“自下而上”的。
什么意思呢?用户需要验证自己的身份成功后,才能获得授权,才有权利被连接到企业APP。Nick Hawkins强调,这对于传统的应用VPN连接来说,是一个巨大的转折。现在这样一种方式——“身份”是用户唯一的验证方式,使他们能够成功地获得授权并进入访问。在用户无处不在、应用程序无处不在的情况下,就需要“边缘保护”平台,才能够更好地执行“零信任”措施。
在5G、人工智能、区块链和物联网等即将大规模到来的2019年,企业和信息安全也在经历巨大的转折期。特别是当企业向多云环境迁移,意味着要保护多云架构。如果说迁移到一个云环境将导致攻击目标的拓展,那么多个云环境将使其进一步放大。如何跨平台建立并实行一致的安全策略,面临着严峻的挑战。正如阿卡迈所提供的解决方案——从边缘开始保护整个云环境,形成一致的用户体验和安全边界,将是战略性选择。(文/宁川)
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
