作为油气行业数字化技术的年度盛筵,本次大会汇聚了来自中国石油天然气集团有限公司数字和信息化管理部、中国石油化工集团有限公司信息和数字化管理部、中国海洋石油集团有限公司科技信息部、国家石油天然气管网集团有限公司科技数字本部、国家能源投资集团有限责任公司信息化管理部、中国中化集团有限公司信息技术中心、陕西延长石油(集团)有限责任公司科技与信息化管理部、中国石油学会等领域的顶级专家和行业代表,超过4000位嘉宾齐聚一堂,围绕石油石化企业数字化转型、智能化发展需求,结合信息技术发展趋势和“十四五”信息化战略规划,共同探讨新一代数字化技术与石油石化行业融合创新的凯发在线的解决方案,分享数字化应用的先进经验。
在会上,瑞数信息技术高级安全顾问张凡发表了题为“从人防到技防 从已知到未知”的演讲,介绍了油气行业面临的web安全新挑战,并展示如何通过瑞数信息“动态安全技术”,助力油气企业构建真正的主动防护体系。
一、网络攻击手段升级 油气行业面临三大挑战
随着全球数字化、智能化程度的日益提高,石油石化等能源类企业的网络安全问题已到了无法回避的关头。据德勤发布的报告称,能源行业已成为全球第二大易受网络犯罪攻击的行业,且其中近半数企业在2016年年内至少普遍遭遇过一次重大网络事故。
由于石油石化企业关系到国计民生,一旦被黑客攻破重要基础设施,将导致意想不到的严重后果,甚至会影响国家安全。近年来,很多石油石化企业已经开始增强网络风险防范意识,将网络安全提高到集团战略高度。
但对于石油石化企业内部的安全运营人员而言,面对日益升级的网络攻击,依然会有一种“攻易守难、亡羊补牢、疲于奔命”的感受。在瑞数信息技术高级安全顾问张凡看来,主要来自三个方面的挑战:
一是,网络攻击手段日益升级,攻击效率大幅提升。目前,网络攻击中有90%为自动化攻击,自动化的黑客工具不仅攻击成本低,且攻击效率远超过手动攻击,堪称“网络攻击的工业化革命”。在自动化工具快速传播的情况下,零日漏洞攻击成为常态,几乎所有漏洞利用会在1天内就被广泛传播利用,企业很难进行及时有效的防御。
二是,高级定制化工具泛滥,传统防护手段失效。此前,哥斯拉、冰蝎等高级定制化工具的出现,震惊了整个安全圈。这些webshell采用动态加密方式,碾压市面上所有基于签名和规则匹配的传统waf。同时,高级定制化工具还会集成多种0day/nday漏洞利用工具,全家桶式打击,扫描、利用一步完成。
而在传统防护思路中,封ip是最主要的防护手段之一。当封ip地址达到上限时,企业会出现业务无法正常运行的情况。不仅如此,自动化攻击还会通过多源低频的方式,绕过封ip、限频等传统防护手段,让传统防护工具彻底失效。
三是,安全运维成本与日俱增,安全人员紧缺。面对网络攻击在数量和效率上的成倍增长,企业安全运维成本也在相应增长,而企业安全人员仅凭有限的人力和传统安全防护工具,很难维持常态化的安全防护。
二、从人防到技防 瑞数信息“动态安全”构建主动防护体系
日益猖獗的新型网络攻击,使得沿用传统waf防护的企业普遍响应滞后。那么,企业应该如何应对新的网络安全挑战?
对此,瑞数信息技术高级安全顾问张凡认为,网络攻防双方的对抗是永不停歇的,新的技术、规则、漏洞会层出不穷,如果一直采用围绕对手的传统视角,通过“挖掘漏洞、匹配特征、设置规则”进行防护,永远会被黑客牵着鼻子走。
“攻防双方对抗的本质,其实是成本的对抗,用自己最低的成本,增加黑客最高的成本”,张凡表示,企业在安全防护中应采用创新视角,彻底改变“游戏规则”,即围绕自身,通过“隐藏漏洞、变换自身、验证真伪”等方式提高黑客的攻击成本,倒逼黑客放弃攻击,从而降低企业管理负担,加快防护响应速度。
正是基于这种创新的主动防护理念,瑞数信息彻底转换了传统防护的思路,推出了一项颠覆性技术 - 动态安全技术,即不再依靠攻击特征库、异常特征库的匹配来进行攻击的识别,同时也无需依赖攻击频度和工具类别来识别,实现更加主动和有效的主动防护。
据悉,瑞数信息的动态安全架构由四大核心技术构成:
动态封装,对网页底层代码做动态封装,隐藏攻击入口,升攻击难度;
动态验证,运行环境验证,有效甄别“人”还是“自动化”攻击,打击自动化攻击的有效工具;
动态混淆,对客户端敏感数据进行混淆,保护数据传输安全,保护终端请求内容及交易内容;
动态令牌,一次性动态令牌,确保执行正确的业务逻辑,保障业务安全运行。
例如,瑞数信息的动态封装技术,采取将网页原始代码动态变形的技术,增加目标系统行为的“不可预测性”,使黑客无法找到入侵网页的入口与漏洞。由于攻击者无法预知目标系统行为,必须通过大量人工分析找寻被保护目标系统可能的突破口,但即使找到突破口,最多也只能使用一次,因此大幅提升攻击难度与成本,从而迫使攻击者放弃攻击,将攻击抑制在源头。
在企业颇为头疼的零日漏洞防护方面,通过瑞数信息独有的动态验证、封装、混淆、令牌四大动态安全技术,从0day漏洞利用工具请求的固有属性出发,只要识别到是工具行为,就可以直接对0day攻击进行阻断,从而实现对业务的动态保护。
除了零日漏洞,瑞数信息动态安全技术能够有效应对各类自动化攻击,如:漏洞扫描、撞库、爬虫、应用ddos、高级定制工具、多源低频等等,直击黑产最底层,让自动化工具无法使用。
随着对抗的升级,基于规则和特征的传统安全设备防护效率将越来越低。对于人工攻击,不妨换个思路,从干扰攻击行为的角度出发进行防护。作为动态安全技术的代表厂商,瑞数信息拥有多种动态干扰功能:web代码混淆、js混淆、前端反调试、cookie混淆、中间人检测等,能够不基于任何特征、规则的方式进行有效防护。
总体而言,瑞数信息彻底转换了传统防护的思路,通过独特的动态安全技术,以多维度“分级分层”的对抗策略,让攻击者无法轻易发现攻击入口,大幅提升攻击难度与成本。同时,通过对终端环境和设备指纹的多维度画像,可以有效识别各类恶意访问行为,并能实时追踪通过大量跳板隐藏攻击来源的恶意终端。
据张凡介绍,作为国内前沿的互联网应用安全防护企业,瑞数信息首创的“动态安全”主动防护技术,已保护了上万亿企业客户资产和5亿多账户,为企业客户阻挡了99%的自动化攻击,将安全运营效率提升了81%,节省了54%的系统资源。
自成立以来,瑞数信息获得了政府相关主管机构、大型企业、媒体及社会团体的广泛认可,无论是中国的三大运营商、排名前五位的大型银行、最顶级的十大电商以及中国前三大在线支付公司中都可以找到瑞数信息的客户身影。经过多年在国内各行业标杆用户中的持续应用和推广,瑞数信息的动态安全技术正逐渐成为网站/app/h5等应用安全建设的标配。
对于石油石化企业而言,基于瑞数信息的动态安全技术,能够有效抵御各类自动化攻击,实现防护能力升级、运维成本降级、防御更主动、对抗更智慧、追踪溯源的更精准,真正做到从“人防”到“技防”,构建真正意义上的主动防护体系。