《2019年上半年Web應用安全報告》釋出:90%以上攻擊流量來源於掃描器,IP身份不再可信
Web應用安全依然是網際網路安全的最大威脅來源之一,除了傳統的網頁和APP,API和各種小程式也作為新的流量入口快速崛起,更多的流量入口和更易用的呼叫方式在提高web應用開發效率的同時也帶來了更多和更復雜的安全問題。一方面,傳統的SQL注入、XSS、CC攻擊等傳統攻擊手段和各種新爆出的web漏洞無時無刻不在考驗著web應用安全方案的健壯性、靈活性和安全團隊的快速反應能力,另一方面隨著大資料技術和流量產業的成熟,網際網路中來自自動化程式的流量佔比也在迅速增長,爬蟲也隨之成為一個不容忽視的存在,伴隨而來的資料洩露、流量作弊等問題也為各類業務帶來了非常頭痛的費用浪費、業務不可用以及各類業務安全類問題。
作為防禦Web應用安全的基礎設施,Web應用防火牆(WAF)依舊扮演著極其重要的角色,而其中雲WAF又具備漏洞響應快、功能迭代迅速、支援彈性擴容、快速容災等優勢。本報告根據阿里雲WAF和防爬團隊對2019年上半年雲上流量的分析情況,為您帶來最新的攻擊趨勢、漏洞應急情況以及一線安全專家的核心觀點和防護建議。
報告發現:
1. 90%以上攻擊流量來源於掃描器
掃描器往往是攻擊者的開路利器,在大規模批量掃描中被嗅探到大量漏洞的web站點更容易成為攻擊者下手的物件。通過特徵、行為等維度識別並攔截掃描器請求,可以有效降低網站被攻擊者盯上的概率,同時有效緩解批量掃描行為帶來的負載壓力。
從目前的資料來看,攔截的攻擊中,掃描器產生的請求數量在90%以上,除去掃描器自動化產生的攻擊,剩下的10%手工測試行為,0day,廣度低頻等攻擊則是需要花上90%精力來解決,如圖3-1所示。
2. 利用編碼繞過防護的行為愈發普遍
隨著WAF對網站的防護越來越普及,針對基礎web攻防來說,利用諸如MySQL、JavaScript語言特性進行各種編碼、變形,從而繞過WAF防護的攻擊payload也越來越多,攻防是一個持續對抗升級的過程。根據雲上資料顯示,當前已有近1/3的攻擊資料採用了不同程度或型別的編碼、變形手段,以期繞過雲盾WAF的防護,其中甚至不乏使用多維度的複合變形、編碼手段實施攻擊。
雲盾WAF新一代引擎架構,支援多種常見HTTP協議資料提交格式全解析:HTTP任意頭、Form表單、Multipart、JSON、XML;支援常見編碼型別的解碼:URL編碼、JavaScript Unicode編碼、HEX編碼、Html實體編碼、Java序列化編碼、base64編碼、UTF-7編碼;支援預處理機制:空格壓縮、註釋刪減,向上層多種檢測引擎提供更為精細、準確的資料來源。
該架構主要特徵包括:在準確性上,優化引擎解析HTTP協議能力,支援複雜格式資料環境下的檢測能力;抽象複雜格式資料中使用者可控部分,降低上層檢測邏輯的複雜度,避免過多檢測資料導致的誤報,降低多倍的誤報率;在全面性上,支援多種形式資料編碼的自適應解碼,避免利用各種編碼形式的繞過。
3. IP身份不再可信
IP地址是傳統防護中一個非常重要的手段,很多經典的防護手段,如限速、名單、異常行為識別、威脅情報等都是基於IP地址實現的。但隨著現在黑灰產對大規模代理IP池,特別是秒撥IP的廣泛使用,IP地址已經變得不再可信。同一個IP地址,在10分鐘前還被合法使用者小白用於瀏覽A網站,在10分鐘後已經被黑產人員小黑用作撞庫攻擊的代理IP,一個IP背後的身份開始變得極其複雜,黑與白交接的灰色地帶比例在迅速擴大,這對於很多傳統安全方案(不論是黑名單機制還是白名單機制)都帶來了顛覆性的威脅,帶來的相應誤報和漏報也在迅速增長。
相應的,防護一方也應該做出改變。我們建議在做安全防護方案時,一方面將IP的身份或信譽輔助以其他維度的情報資訊或者二次校驗手段綜合判斷;另一方面降低對於IP的依賴,從更多維度去標識一個“客戶端”或者“使用者”,如裝置指紋、業務中打點的token、cookie等等。
原文連結
本文為雲棲社群原創內容,未經