5大Bots自動化威脅來臨,石油石化企業該如何應對?

近日,中國石油石化企業資訊技術交流大會暨油氣産業數字化轉型高峰論壇在京召開。本屆大會由中國石油學會、中國石油、中國石化、中國海油、國家管網、國家能源、中國中化、中國航油、延長石油、中國地質調查局等單位共同主辦。

作為我國石油石化行業的盛會,此大會已連續舉辦了十余屆,為推動石油石化企業數字化轉型、智慧化發展發揮了重要積極作用。在會上,瑞數資訊高級安全顧問張凡發表了題為《自動化威脅的趨勢與應對》的主題演講,為石油石化企業應對自動化威脅帶來了創新安全技術方案。

瑞數資訊高級安全顧問張凡

數字化時代 企業面臨5大Bots自動化威脅

數字化時代,Bots自動化攻擊已經演變為網路安全領域的頑疾,不斷升級的Bots自動化威脅持續牽動著行業的神經。

瑞數資訊高級安全顧問張凡表示,瑞數資訊作為Bots自動化攻擊防護領域的專業廠商,多年來持續輸出Bots自動化威脅報告,現階段觀察到5大Bots自動化威脅趨勢:

•趨勢1:Bots攻擊趨於常態化

在“十四五”規劃以及數字化浪潮的驅動下,伴隨著大數據、5G、雲計算、人工智慧等技術發展,各行各業都開始“網際網路 +”的服務。同時在疫情的持續影響下,遠端辦公、線上教育、線上醫療、直播帶貨、社區團購等産業快速崛起,Bots的攻擊態勢也趨於常態化。

據瑞數資訊《2022 Bots自動化威脅報告》顯示,綜合各行各業的網路請求流量來看,Bots産生的流量明顯高於正常訪問流量,2021年Bots訪問佔比持續上升至59.71%。在能源行業,惡意機器人的比例高達31.62%,這個比例還在進一步提升。

•趨勢2:零日漏洞攻擊持續深化

0day漏洞利用數量和攻擊流量持續增長,漏洞攻擊和影響面逐步擴大,0day漏洞攻擊越來越常態化。

根據CVE和CNNVD披露的數據顯示,2021年新增漏洞超過20000個,相比2020年漏洞數量進一步增加。除數量之外,開源和第三方組件的0day漏洞影響面擴大,軟體供應鏈安全問題嚴峻。特別是在2021年底爆發的Log4j核彈級漏洞,給整個JVM生態圈帶來致命打擊,影響至今。

在零日漏洞攻擊持續深化的背後,是駭客組織進一步加大投入在各種自動化工具上,使攻擊武器庫更加龐大,發現和利用漏洞一體化,網路犯罪更加高效。

•趨勢3:API攻擊持續走高

API已成為企業數字業務生態系統的支柱,但同時也給了攻擊者可乘之機。有數據顯示,每個企業平均管理超過350種不同的API,其中69%的企業會將這些API開放給公眾和他們的合作夥伴。隨著API調用數量的增多和自動化工具的興起,涉及的數據泄漏和欺詐風險正對企業的業務安全構成新的挑戰。

•趨勢4:數據爬蟲依然氾濫

惡意數據爬蟲是自動化攻擊請求中佔比最大的一類,無論是傳統行業、網際網路行業,還是政企、醫療、能源、教育等,都遭受持續不斷的爬蟲訪問。2022年瑞數資訊監測到的惡意爬蟲攻擊達到1000億以上,各個行業的資訊服務業務是爬蟲光顧的重災區。在公開數據方面,惡意爬蟲主要關注企業資訊、公示資訊、敏感數據等。

•趨勢5:AI武器更聰明

AI驅動的進攻性網路威脅的發展正在重新定義企業安全,特別是ChatGPT的出現,使得網路安全從現階段的人與人對抗、人機對抗,向基於AI攻防對抗的演化趨勢愈加明顯。目前,人類的應對措施已經落後於Bots攻擊。

瑞數動態安全助力石油石化企業應對Bots自動化威脅

能源是國民經濟發展的重要支撐,其中石油石化安全直接影響國家安全、可持續發展以及社會穩定,保護石油石化企業的資訊安全至關重要。面對Bots自動化工具已成為攻擊常態手法的挑戰,石油石化企業該如何應對?

對此,瑞數資訊高級安全顧問張凡表示,在Bots自動化威脅發展的新趨勢下,石油石化企業可從四大安全防護重點出發,並採用創新性的安全技術來應對新挑戰。

第一,隨著Bots自動化攻擊趨於常態化,Bots自動化威脅防護體系應成為企業標配。

第二,API調用數量的增多和自動化工具的興起,其涉及的數據泄漏等安全問題對業務安全構成新的挑戰,API合規和安全應成為企業安全防護重中之重。

第三,如今企業業務應用形態從早期的Web到如今的APP、H5、小程式、API,呈現多樣化趨勢,因此支援WAF、Bots管理、API防護等多種安全能力的整合性防禦機制勢在必行。

第四,面對越來越複雜的自動化攻擊,過去以人力為主的被動防禦已徹底失效,企業應借助AI、自動化響應機制等新手段,築高智慧型主動安全防禦門檻,實現攻防對抗能力持續升級。

據張凡介紹,作為中國動態安全技術的創新者和Bots自動化攻擊防護領域的專業廠商,瑞數資訊提供涵蓋Web、App和API的全渠道應用安全、業務安全、數據安全、雲安全等在內的專業網路安全産品及服務。

瑞數資訊的核心技術在於獨特的動態安全技術,轉換了傳統安全防護的視角,不再依靠攻擊特徵庫、異常特徵庫的匹配來識別Bots自動化攻擊,而是通過“隱藏漏洞、變換自身、驗證真偽”等方式提高駭客的攻擊成本,從而實現更加主動和有效的主動防護。

據悉,瑞數資訊的動態安全架構由四大核心技術構成:

•動態封裝,對網頁底層代碼做動態封裝,隱藏攻擊入口,提升攻擊難度;

•動態驗證,運作環境驗證,有效甄別“人”還是“自動化”攻擊,打擊自動化攻擊的有效工具;

•動態混淆,對客戶端敏感數據進行混淆,保護數據傳輸安全,保護終端請求內容及交易內容;

•動態令牌,一次性動態令牌,確保執行正確的業務邏輯,保障業務安全運作。

基於瑞數資訊獨特的動態驗證、封裝、混淆、令牌四大動態安全技術,企業可實現多種動態干擾功能:web代碼混淆、JS混淆、前端反調試、Cookie混淆、中間人檢測等,大幅提升攻擊難度與成本,有效進行人機識別。

針對困擾企業的0day漏洞,瑞數動態安全技術可利用工具請求的固有屬性出發,一旦識別到是工具行為,就可以直接對0day攻擊進行阻斷,實現對業務的動態保護。

除了0day漏洞,瑞數資訊動態安全技術以多維度“分級分層”的對抗策略,能夠有效應對各類自動化攻擊,如:漏洞掃描、撞庫、爬蟲、應用DDOS、高級定制工具、多源低頻等等,直擊黑産最底層,讓自動化工具無法使用。

隨著攻防對抗的升級,基於規則和特徵的傳統安全設備防護效率將越來越低。同時,僅憑企業有限的安全人力,也難以維持常態化的安全防護。基於瑞數資訊的動態安全技術,無需依賴規則和特徵庫,就能夠讓自動化駭客工具失效,扭轉攻防不對稱的局面,真正做到從“人防”到“技防”。

張凡指出,動態安全與傳統安全所代表的並非是不同品牌的安全産品,而是完全不同的技術、不同的防護原理,因此企業構建真正意義上的異構立體防護體系,實際上是要把動態安全防護與傳統安全防護有機結合起來。

目前,瑞數資訊“動態安全”主動式防護技術,已經保護了上萬億企業客戶資産和5億多賬戶。綜合瑞數資訊在多家客戶進行的測試結果,瑞數資訊可以為企業客戶阻擋99%的自動化攻擊,將安全運營效率提升超過80%,節省約21%的頻寬和54%的系統資源。

結語

安全攻防是一場此消彼長、永不落幕的戰爭。在Bots自動化攻擊氾濫、0day漏洞攻擊不斷升級的今天,企業需徹底轉換傳統被動式的防護思路,將防護重心由“人防”向“技防”轉變。基於瑞數資訊的動態安全技術,石油石化企業能夠有效抵禦各類自動化攻擊,實現防護能力升級、運維成本降級,建立起智慧型主動安全防禦體系。