暗黑骑兵武器升级战

如果举办一届安全运维人员吐槽大会，想必会收到很多人的共鸣。

人少活多，活忒多；

漏洞无穷尽，补丁补不完；

掏空我的不是爱情，是漏洞

……

拿Web应用举例，Web应用除了要应对OWASP TOP10稳居前列的 SQL 注入、跨站脚本XSS、认证和Webshell木马上传等传统攻击，还要应对大量新兴安全威胁及漏洞，例如Bots攻击、API数据泄露、零日漏洞等。

也就是即使应用代码中移除了所有已知漏洞，威胁也会以零日攻击的形式继续存在。（这句话出自Forrester Wave的报告）

这些新兴安全威胁可以轻松绕过传统验证码的人机识别技术，也使传统WAF的防护瓶颈愈加凸显：

只能通过规则更新阻拦零日漏洞，过于滞后和被动；

只能通过信誉库、黑名单、限频规则设定等手段防御应用DDoS；

只能通过策略规则识别和阻拦OWASP Top10 Web安全威胁，误报多，运维工作量大。

运维狗情不自禁哭出声。

这时候开始有人思考，漏洞是补不完的，但是不是可以隐藏漏洞？

主动式防护

《Gartner 2018 年WAF魔力象限报告》指出全球Web Application Firewall的市场高达8.5亿美元，亚太地区增长率为13.5%，超过全球11.9%的增长率，而中国WAF市场也以14% - 15%的速度在逐年增长。企业Web 应用最有效的技术中，WAF已处于首位（占73％）。

但是传统Web安全技术却并不完美，诸多安全厂商开始寻找最佳防护姿势。

静态防不住换动态，规则防不住就用智能，瑞数就是这么做的。

不久前，瑞数信息发布全球第一款双引擎动态WAF——瑞数灵动River Safeplus，这款动态WAF采用瑞数独有的“动态安全引擎” + “AI智能威胁检测引擎”，内建智能模型，不依赖于规则，即可精确识别Bots和各类攻击，为Web安全提供主动式的安全防护。

怎么个主动法？

瑞数信息的副总裁赵晔宇举了个例子，2017年时候有个厉害的零日漏洞Struts2-045，其破坏力超强堪称王者。更牛X的是它爆发时间正好在2017年3月初两会期间，很敏感的时间。（围观群众露出了你懂我也懂的眼神）据说瑞数的一个用户也在这个时候受到了攻击。

赵晔宇

赵晔宇告诉雷锋网，那次攻击第一波出现在公安部或其他国家权威机构公布这个零日漏洞的前两天。如果要等机构通报，那第一波的黑客攻击已经完事了，换句话说，黑客一定是比通报机构更早知道这个零日漏洞，所以他才能更早的去利用，所以第一波是正式公布的前两天。

但是机构公布后就会引发第二波超强攻击，为什么呢？

这就像新的传染病爆发出来后，要需要一段时间去研究疫苗，那在这段空窗期内，基本就是感染必死，唯一的办法就是拔线，没错，就是这么简单粗暴。

这时候安全厂商能做什么？只能打补丁，疯狂打补丁。“我记得那个时候有些友商一个团队的技术人员觉都没睡。”

但奇怪的是，明明打好了补丁这家倒霉客户又遭到了第三波攻击，进一步研究了这次攻击特征后，才发现黑客利用的是Struts2-032这个漏洞（爆发出来的是045）。也就是，Struts2是一个零日漏洞的家族，这个家族包含1、2、4……45（当时）这些漏洞，当然截止现在这个家族还在扩大。

黑客在进行攻击的时候，比任何一家企业都要讲效率，他们不会一次只用一个攻击，攻击 工具 往往是一个家族。所以丧心病狂的黑客可能是把Struts2这个攻击家族，从Struts2-01一直到045全部去试一遍，来找到你存在的漏洞。

这个事例说明了什么？

传统的WAF防护，是滞后的、被动的，存在时间差的，依靠规则的更新，依靠打补丁去防御攻击，永远都是百密一疏。怎么让这种防御主动起来？

瑞数动态安全引擎会对当前页面内的合法请求地址授予一定时间内有效的动态令牌，并为每个客户端生成不依赖于设备特征的唯一标识。令牌的动态变换，加上客户端唯一标识，可防止攻击者通过伪造客户端环境、伪造令牌的方式绕过追踪，阻拦非法的自动化攻击请求。

同时，动态安全引擎通过在页面中随机自动插入动态验证脚本，实现对访问客户端的人机识别，从而阻拦脚本、程序等自动化攻击行为，并保障应用逻辑的正确运行。

动态验证包含真实浏览器形态验证、浏览器指纹及异常行为模式监测三大模块。动态验证的过程中，还会根据威胁态势生成不同的检测代码，提升攻击者或自动化工具假冒合法客户端的难度，有效克服现有终端感知产品使用静态采集代码、被逆向后易于被绕过的安全难题。

更“人性化”

为了更“人性化”，River Safeplus 采用了AI智能威胁检测引擎，可以做到深度识别 ， 精准溯源。

具体来说，这个智能引擎基于大数据分析技术，对客户端到服务器端所有的请求日志进行全访问记录，并利用机器学习进行深度行为分析。通过智能规则匹配，持续监控并分析流量行为，从而深入检测威胁攻击。

AI智能威胁检测引擎在用户和应用程序交互的过程中采集环境和行为特征信息，并利用统计模型来确定HTTP请求的异常。另外，还会基于IP/设备指纹/浏览器形态/操作事件/会话对象等上百个维度进行应用层威胁建模和数据训练学习，区分正常用户及攻击者操作序列，及时阻拦异常行为的访问请求。

总之有了AI神器加持，检测引擎等于有了揪出隐蔽攻击的“千里眼”和实现精准攻击溯源的“顺风耳”。

那么八卦的编辑好奇发问，灵动上线真的有帮小哥哥们减轻负担吗，会有什么不一样的感觉？

90%的外部攻击都是黑客通过一个程序、工具扫描企业网站寻找可攻击的漏洞，以往的拦截方式是在自己的安全产品上增加规则，也就是可能这款产品可以拦截10种漏洞，发现没拦住的新品种需要手动增加规则，变成可以拦截11种漏洞。而灵动做的是从源头抓起，恶意工具首次访问就被拦下，至于之后的N种漏洞就无计可施了。

当然，小哥们也不可能什么都不做，毕竟这是个长期对抗过程。

赛博世界，攻防之战永远是道高一尺魔高一丈，止步于前只会将企业安全置于无处不在而不断升级的威胁之中。如果把安全厂商比作战斗在黑暗中的铁甲骑兵，这群冲在最前面的兵将们似乎需要升级武器，更加动态，更加智能。

雷锋网宅客频道（微信公众号：letshome），专注先锋科技，讲述黑客背后的故事，欢迎关注雷锋网 (公众号：雷锋网) 宅客频道。

雷锋网原创文章，未经授权禁止转载。详情见 转载须知 。