数字化转型背景下的企业业务安全防护思考

一、背景:数字化转型背景下的业务安全形势

        随着信息技术深化高速发展,数字化转型进一步赋能国家、企业、个人,数字化便利、数字资产的价值不断提升,持续引发黑灰产、APT组织关注,窃取信息、爬取数据、业务篡改等业务安全问题已成为新的攻防焦点。

        由于攻防两端的信息不对等,防守方对黑产攻击手段及变化的了解不够深入,造成攻击发现处理滞后、周期长的局面。加之业务系统功能复杂,安全形势不容乐观,存在数据爬取、越权办理、恶意篡改等多种业务安全风险,业务安全防护的需求十分紧迫。

二、特点:有别传统攻击,业务安全类攻击防护难度较大

        1. 攻击无明显特征。

        针对业务安全的攻击有别于传统攻击行为,具体表现为不获取系统权限,不进行大量扫描,不具备明显恶意特征。

        2. 攻击流量难以发现。

        攻击流量隐藏在大量的正常业务流量中,占比较小,利用业务逻辑篡改等方式实现攻击,常见的防护工具、系统无法自动识别业务流量是否正常。

        3. 人工稽核工作量大。

        系统业务功能庞杂,迭代周期较短,而攻击方式广泛复杂,人工稽核存在时效性滞后、工作量大等问题,难以实现准确感知。

三、方案:运用数字化技术,实现精准识别自动处置

        1. 自动化工具防护。

        基于行为识别技术,针对恶意脚本、自动化工具进行防护,具备客户端反调试,请求令牌验证等功能,有效限制批量爬取、请求篡改等恶意行为。

        攻击者在检测、发现、尝试业务安全漏洞时,不可避免要使用各类自动化的工具,通过限制各类非浏览器的恶意工具脚本访问,极大的增加了攻击难度。

        个别情况下,可采用IP、用户白名单机制,进一步限制攻击流量。

        2. 请求精细化抓取。

        针对业务请求进行精细化抓取,覆盖浏览器指纹、操作系统指纹、鼠标轨迹、特定请求参数等信息。

        通过浏览器UA、操作系统类型、屏幕分辨率等信息,使用动态算法形成用户指纹信息,便于行为分析;通过鼠标点击、键盘事件、触摸事件等信息,进一步区分自动化工具和真实用户点击。

        3. 多维度模型检测。

        基于对请求日志数据分析,通过机器学习建立正常、异常模型,计算用户各个维度之间的关联性,通过对关联性的分析识别异常行为。

        通过对用户数据学习到正常用户的访问时长、时序、数据传输量、登录地点、IP等信息,通过AI算法进行正向学习,形成正常用户行为画像,如出现用户的相关数值反向关联,则怀疑为恶意用户。

        4. 定制化对抗策略。

        结合舆情、业务稽核、模型识别,建立细粒度的攻防对抗策略,精准拦截异常业务请求。

        如通过舆情发现,某业务接口访问量突增,存在信息泄露风险,通过模型识别,确定正常用户访问画像,进而对关键业务接口API用户单位时间调用次数设置阈值,超出阈值即判定恶意爬取行为,进行拦截。

四、思考:攻防对抗升级,技术层面需持续跟进提升

        数字化转型不断深化,大幅度提升了生产运营效率,进一步挖掘了数据资产价值,但随之而来的是业务安全风险的不断增大,无论是窃取用户数据、违规办理等,均可获得巨大收益,倍受黑灰产从业人员关注。

        黑灰产攻击产业链不断完善,广泛使用大数据、AI等信息技术,给业务安全防护带来巨大挑战。作为防守方,更要及时关注安全形势演进,了解新型攻击方式、攻防技术,运用数字化思维和技术,针对性的补强完善,确保系统业务安全。

你可能感兴趣的:(企业安全,安全,安全架构)