信息化时代,当你在某网站购物的时候,页面中会有诸如“购买此商品的顾客同时也购买了......”的推荐,或者当你在某APP听歌的时候,应用里会有类似“猜你喜欢”的栏目。以上这些,都是通过分析顾客的喜好习惯来达到营销目的的。他们是怎么知道人们的需求的呢?答案是对方掌握了一定的规律,然后进行关联分析得出的结果。
规律,是事物之间的内在的必然联系。例如:天体有运行规律、社会有发展规律、个体有行为规律等等。如果违背这个规律,要么碰到钉子,要么碰出动静,碰到钉子的会受挫,碰出动静的多是新思路、新认识的迸发。同理,Web安全也有规律可言。
针对Web安全规律特征,51CTO记者采访了来自江南天安的安全研究员sm0nk ,他表示:“我们要做的,一方面是基于已有的规律去制定规则,从而完善应用层防火墙(WAF),另一方面是不断地用推理和想象去创新去创造。”
sm0nk认为:“数据是防御者的核心,漏洞是攻击者的核心。分析和归纳漏洞是为了关联分析进而找准保护数据的策略和方法。” 关联分析主要包括行为分析和特征分析,是指如果两个或多个事物之间存在一定的关联,那么其中一个事物就能通过其他事物进行预测,它的目的是为了挖掘隐藏在数据间的相互关系。
通过对Web攻击规律的梳理,他向记者展示了以下 典型的漏洞原理与防护 :
针对已有的规律和逻辑的创新,猎户实验室应市场需求开发了彩虹Web 攻击溯源平台,应内部测试需求开发整合了轩辕剑自动攻击平台。
在攻击技术不断朝着高端精密的方向发展态势下,依靠单一的、静态的防护设备来实现一劳永逸的Web防护是不现实的,必须实现全方位的、动态的防护解决方案。猎户实验室依靠上述研究开发出了彩虹Web攻击溯源平台,再加上专家团队、大数据溯源中心的支撑,实现了威胁分析、攻击溯源、策略改进三方面的持续闭环防护,并在防护过程中实现指纹积累和溯源数据的积累,以不断增加威胁分析和攻击溯源的准确性,能够在传统安全设备的防护基础上,明显改进Web防护的效果。
彩虹Web攻击溯源平台是以大数据为基础,联动为主线,实现攻击溯源的下一代智能安全防御系统。主要用于防御,它能够基于流量进行舆情监控和溯源取证。然后以结果为导向,只要有外部链接、有命令执行流,均可定位漏洞点和还原过程,直至联动到云端数据中心,处理攻击事件。
sm0nk表示:“对于彩虹Web攻击溯源平台,我们核心定位两种,一个是定位流动情况,另外一个是联动处理,了解这个攻击来自哪儿,然后进一步加固。有两个亮点,一个是可视化,一个是联动。一个是关于联动的情况,首先是以旁路的方式介入,接通所有的流量,这种过程不会对网络架构造成什么影响。通过联动结果来阻止恶意的攻击或者访问者。第二点亮点针对这个可视化,我们会比较直观的不管是向领导汇报,还是向运维人员展示的时候,可以让他们了解攻击来自哪里,对哪里造成了威胁。”
此外,sm0nk还向记者介绍了另外一个产品:轩辕剑。轩辕剑是猎户实验室自主研发的辅助渗透的基于攻击模型的自动化平台,主要功能是对资产的梳理(例如各大网站的架构指纹)、漏洞的收集、自动化;毕竟大多数渗透工作还是考量对已知漏洞的积累, APT类攻击,会对0day、社工等充分利用。
最后,他分享了通过工作中积累的一些渗透方法,具体如下:
sm0nk,猎户攻防实验室资深安全研究员,CISP专家。主攻攻防对抗、数据建模、关联分析、溯源反制等领域。