如果舉辦一屆安全運維人員吐槽大會，想必會收到很多人的共鳴。

人少活多，活忒多；

漏洞無窮盡，補丁補不完；

掏空我的不是愛情，是漏洞

……

拿Web應(yīng)用舉例，Web應(yīng)用除了要應(yīng)對OWASP TOP10穩(wěn)居前列的SQL注入、跨站腳本XSS、認證和Webshell木馬上傳等傳統(tǒng)攻擊，還要應(yīng)對大量新興安全威脅及漏洞，例如Bots攻擊、API數(shù)據(jù)泄露、零日漏洞等。

也就是即使應(yīng)用代碼中移除了所有已知漏洞，威脅也會以零日攻擊的形式繼續(xù)存在。（這句話出自Forrester Wave的報告）

這些新興安全威脅可以輕松繞過傳統(tǒng)驗證碼的人機識別技術(shù)，也使傳統(tǒng)WAF的防護瓶頸愈加凸顯：

只能通過規(guī)則更新阻攔零日漏洞，過于滯后和被動；

只能通過信譽庫、黑名單、限頻規(guī)則設(shè)定等手段防御應(yīng)用DDoS；

只能通過策略規(guī)則識別和阻攔OWASP Top10 Web安全威脅，誤報多，運維工作量大。

運維狗情不自禁哭出聲。

這時候開始有人思考，漏洞是補不完的，但是不是可以隱藏漏洞？

 主動式防護

《Gartner 2018 年WAF魔力象限報告》指出全球Web Application Firewall的市場高達8.5億美元，亞太地區(qū)增長率為13.5%，超過全球11.9%的增長率，而中國WAF市場也以14% - 15%的速度在逐年增長。企業(yè)Web 應(yīng)用最有效的技術(shù)中，WAF已處于首位（占73％）。

但是傳統(tǒng)Web安全技術(shù)卻并不完美，諸多安全廠商開始尋找最佳防護姿勢。

靜態(tài)防不住換動態(tài)，規(guī)則防不住就用智能，瑞數(shù)就是這么做的。

不久前，瑞數(shù)信息發(fā)布全球第一款雙引擎動態(tài)WAF——瑞數(shù)靈動River Safeplus，這款動態(tài)WAF采用瑞數(shù)獨有的“動態(tài)安全引擎” + “AI智能威脅檢測引擎”，內(nèi)建智能模型，不依賴于規(guī)則，即可精確識別Bots和各類攻擊，為Web安全提供主動式的安全防護。

怎么個主動法？

瑞數(shù)信息的副總裁趙曄宇舉了個例子，2017年時候有個厲害的零日漏洞Struts2-045，其破壞力超強堪稱王者。更牛X的是它爆發(fā)時間正好在2017年3月初兩會期間，很敏感的時間。（圍觀群眾露出了你懂我也懂的眼神）據(jù)說瑞數(shù)的一個用戶也在這個時候受到了攻擊。

趙曄宇

趙曄宇告訴雷鋒網(wǎng)，那次攻擊第一波出現(xiàn)在公安部或其他國家權(quán)威機構(gòu)公布這個零日漏洞的前兩天。如果要等機構(gòu)通報，那第一波的黑客攻擊已經(jīng)完事了，換句話說，黑客一定是比通報機構(gòu)更早知道這個零日漏洞，所以他才能更早的去利用，所以第一波是正式公布的前兩天。

但是機構(gòu)公布后就會引發(fā)第二波超強攻擊，為什么呢？

這就像新的傳染病爆發(fā)出來后，要需要一段時間去研究疫苗，那在這段空窗期內(nèi)，基本就是感染必死，唯一的辦法就是拔線，沒錯，就是這么簡單粗暴。 

這時候安全廠商能做什么？只能打補丁，瘋狂打補丁?！拔矣浀媚莻€時候有些友商一個團隊的技術(shù)人員覺都沒睡。”

但奇怪的是，明明打好了補丁這家倒霉客戶又遭到了第三波攻擊，進一步研究了這次攻擊特征后，才發(fā)現(xiàn)黑客利用的是Struts2-032這個漏洞（爆發(fā)出來的是045）。也就是，Struts2是一個零日漏洞的家族，這個家族包含1、2、4……45（當(dāng)時）這些漏洞，當(dāng)然截止現(xiàn)在這個家族還在擴大。

黑客在進行攻擊的時候，比任何一家企業(yè)都要講效率，他們不會一次只用一個攻擊，攻擊工具往往是一個家族。所以喪心病狂的黑客可能是把Struts2這個攻擊家族，從Struts2-01一直到045全部去試一遍，來找到你存在的漏洞。

這個事例說明了什么？

傳統(tǒng)的WAF防護，是滯后的、被動的，存在時間差的，依靠規(guī)則的更新，依靠打補丁去防御攻擊，永遠都是百密一疏。怎么讓這種防御主動起來？ 

瑞數(shù)動態(tài)安全引擎會對當(dāng)前頁面內(nèi)的合法請求地址授予一定時間內(nèi)有效的動態(tài)令牌，并為每個客戶端生成不依賴于設(shè)備特征的唯一標識。令牌的動態(tài)變換，加上客戶端唯一標識，可防止攻擊者通過偽造客戶端環(huán)境、偽造令牌的方式繞過追蹤，阻攔非法的自動化攻擊請求。

同時，動態(tài)安全引擎通過在頁面中隨機自動插入動態(tài)驗證腳本，實現(xiàn)對訪問客戶端的人機識別，從而阻攔腳本、程序等自動化攻擊行為，并保障應(yīng)用邏輯的正確運行。

動態(tài)驗證包含真實瀏覽器形態(tài)驗證、瀏覽器指紋及異常行為模式監(jiān)測三大模塊。動態(tài)驗證的過程中，還會根據(jù)威脅態(tài)勢生成不同的檢測代碼，提升攻擊者或自動化工具假冒合法客戶端的難度，有效克服現(xiàn)有終端感知產(chǎn)品使用靜態(tài)采集代碼、被逆向后易于被繞過的安全難題。

更“人性化”

為了更“人性化”，River Safeplus 采用了AI智能威脅檢測引擎，可以做到深度識別 ， 精準溯源。

具體來說，這個智能引擎基于大數(shù)據(jù)分析技術(shù)，對客戶端到服務(wù)器端所有的請求日志進行全訪問記錄，并利用機器學(xué)習(xí)進行深度行為分析。通過智能規(guī)則匹配，持續(xù)監(jiān)控并分析流量行為，從而深入檢測威脅攻擊。

AI智能威脅檢測引擎在用戶和應(yīng)用程序交互的過程中采集環(huán)境和行為特征信息，并利用統(tǒng)計模型來確定HTTP請求的異常。另外，還會基于IP/設(shè)備指紋/瀏覽器形態(tài)/操作事件/會話對象等上百個維度進行應(yīng)用層威脅建模和數(shù)據(jù)訓(xùn)練學(xué)習(xí)，區(qū)分正常用戶及攻擊者操作序列，及時阻攔異常行為的訪問請求。

總之有了AI神器加持，檢測引擎等于有了揪出隱蔽攻擊的“千里眼”和實現(xiàn)精準攻擊溯源的“順風(fēng)耳”。

那么八卦的編輯好奇發(fā)問，靈動上線真的有幫小哥哥們減輕負擔(dān)嗎，會有什么不一樣的感覺？

 90%的外部攻擊都是黑客通過一個程序、工具掃描企業(yè)網(wǎng)站尋找可攻擊的漏洞，以往的攔截方式是在自己的安全產(chǎn)品上增加規(guī)則，也就是可能這款產(chǎn)品可以攔截10種漏洞，發(fā)現(xiàn)沒攔住的新品種需要手動增加規(guī)則，變成可以攔截11種漏洞。而靈動做的是從源頭抓起，惡意工具首次訪問就被攔下，至于之后的N種漏洞就無計可施了。

當(dāng)然，小哥們也不可能什么都不做，畢竟這是個長期對抗過程。

賽博世界，攻防之戰(zhàn)永遠是道高一尺魔高一丈，止步于前只會將企業(yè)安全置于無處不在而不斷升級的威脅之中。如果把安全廠商比作戰(zhàn)斗在黑暗中的鐵甲騎兵，這群沖在最前面的兵將們似乎需要升級武器，更加動態(tài)，更加智能。

雷鋒網(wǎng)宅客頻道（微信公眾號：letshome），專注先鋒科技，講述黑客背后的故事，歡迎關(guān)注雷鋒網(wǎng)宅客頻道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。