一、引言
在数字化浪潮席卷全球的今天,网络空间早已成为国家安全、经济发展和社会稳定的战略高地。然而,这片看似平静的虚拟世界,实则暗流涌动,网络攻击层出不穷,手段日益翻新,给网站的安全运营带来了前所未有的挑战。
近年来,随着云原生概念的兴起和发展,互联网上暴露的云原生服务越来越多,大量企事业单位、个人用户已逐步将鸽子业务以云原生的部署形式上云,这一方面也说明了云原生正在大规模落地和普及,另一方面,逐渐增多的云原生服务也为攻击者提供了更多的攻击面。
面对网络攻击,我们不能坐以待毙,更不能抱有侥幸心理。我们必须清醒地认识到,网络安全是一项系统工程,需要我们从技术、管理、法律等多个层面进行全方位的防范和应对。只有构建起坚不可摧的网络安全防线,才能在日益激烈的网络竞争中立于不败之地。
二、需要面对的挑战
挑战一:云环境下威胁剧增,传统安全能力难以应对
●云计算各类新技术的迭代造成进一步使得各种新漏洞层出不穷、更多攻击方式应运而生,传统的规则防护模式在威胁高速迭代的云环境下难以支撑。
●云计算环境的弹性伸缩特性使得网络边界和基础设施的边界变得模糊和动态,而传统安全通常是基于固定的网络边界和物理设备的保护。
挑战二:攻击者更具伪装性和迷惑性,难以识别
●当攻击者的目的是获取权限时,攻击者可能会采取多种策略和技术来混淆攻击的本质,以便隐藏其恶意行为并绕过防御机制。
●当攻击者的目的是获取数据或者业务的关键信息时,针对业务缺陷的攻击,如利用越权、业务乱序、认证缺陷、数据泄露等逻辑漏洞进行的越权操作、刷单、模拟登录攻击,此类行为在传统模式下难以检测和防御。
●当攻击者的目标是干扰目标业务正常运行时,如 C&C 攻击举例,当前 C&C 攻击通过 Headless 浏览器伪装成正常浏览器的请求,因为不包含攻击特征,再通过 IP 池以及海量肉鸡,就可以绕过常见验证防御机制。
●传统的 WAF 可以通过限制 API 访问速率应对部分高频 CC 攻击,拒绝服务攻击,限制 HTTP 请求的 User-Agent 来阻挡部分低级爬虫。面对慢速拒绝服务攻击、高级爬虫时,传统 WAF 只能视而不见,坐以待毙。
●面对关键数据泄露时,传统的 WAF 可以通过限制 HTTP 响应内容中的关键词,来阻止部分信息泄漏,但是会影响正常的业务,而且也仅仅是治标不治本的临时缓解方案。面对错综复杂的 API 接口脆弱性和 API 接口业务逻辑漏洞时,传统的 WAF 直接不知所措,无计可施。
三、网站安全面临的攻击类型
1.跨站点脚本(XSS)攻击:是一种精心设计的策略,它巧妙利用用户对特定网站的信任感。黑客通过向无辜用户发送包含恶意代码的网站链接,诱使他们的浏览器执行这些代码。一旦代码被接受,黑客就能轻易获取用户的cookie、会话令牌,以及他们与网站共享的任何敏感个人信息,严重侵犯了用户的隐私和安全。
2.SQL注入:是攻击者通过在网站输入字段中插入恶意的SQL代码,利用系统安全漏洞。通过这种方式,他们能够欺骗系统,进而识别、访问、篡改甚至销毁现有数据,甚至获取数据库服务器的管理员权限,对网站安全构成极大威胁。
3.跨站点请求伪造(CSRF)攻击:通过发送伪装成来自受信任网站的请求,诱使用户执行某些操作,如更改电子邮件地址、密码或点击表单按钮。用户在不知情的情况下执行这些操作,为攻击者提供了渗透网站的机会,凸显了信任在网络安全中的双刃剑特性。
4.拒绝服务(DDoS)攻击:一种更为直接的手段,旨在通过向网站发送大量流量或触发崩溃的信息,使其无法正常运行,从而阻断合法用户的访问。尽管这种攻击不直接涉及数据盗窃,但它会严重损害客户对企业的信任,并可能导致高昂的恢复成本。
5.文件包含漏洞:是那些允许用户上传文件到服务器的网站所特有的安全隐患。如果网站缺乏足够的安全防护,攻击者便可以利用这一漏洞,通过用户上传的文件作为渗透网站的跳板。这不仅暴露了用户数据的风险,还为攻击者提供了在服务器上执行恶意代码的机会。
6.点击劫持:是一种更为隐蔽的攻击方式,攻击者将恶意超链接隐藏在看似合法的可点击内容之下。当用户点击这些看似无害的内容时,他们会在不知不觉中被重定向到恶意的URL。这种技术常被用于窃取用户的敏感信息,如登录凭据。
7.目录遍历:是一种HTTP攻击手段,它允许黑客访问受限制的目录并执行恶意命令。通过利用这种攻击,攻击者能够深入探索Web服务器文件系统的敏感区域,进一步威胁网站的安全性。
8.命令注入:是攻击者利用应用程序的安全漏洞,在主机操作系统上执行任意系统命令。一旦攻击成功,攻击者便能以被劫持应用程序的权限执行恶意命令,对系统造成严重的安全威胁。
9.网络钓鱼:是一种更为普遍的诈骗手段,攻击者冒充合法的业务联系人,通过发送伪造的电子邮件来诱骗用户提供个人信息,如密码和信用卡详细信息。这种攻击利用了人们对常见通信方式的信任,对个人信息安全构成了极大的挑战。
四、披肩斩棘,寻一线生机
云上安全纵深防护体系:安全加速(SCDN)
德迅云安全加速提供稳定、低成本、高可用安全内容分发服务,以“AI+安全”为理念、UEBA(用户实体行为分析)为核心、WAAP(Web 应用与 API 防护)为框架构建的云上纵深防御体系能,集合网络加速、高可用、Web 应用防火墙、API 安全防护、Bot 防护、DDos防护六大功能,帮助云上用户有效解决云环境下攻击层出不穷、难以防御的痛点。守护用户云上资产安全。
基于 AI 的行为分析发现异常活动并及时响应处置,除针对常见网络攻击的防护外,还可发现并防御 APT 攻击、高伪装 CC 攻击、逻辑漏洞攻击等传统防护无法发现的攻击行为,结合德迅安全预警中心实时更新的威胁情报库。变被防护为主动防御,先于攻击发现异常行为并及时响应处置。
架构模式
●基础安全能力层:提供 CDN 的基础能力如负载均衡,请求、响应转发、JS Hooker、访问 IP
●采集层:采集 HTTP、TCP、UDP 流量并获取访问者的各类信息,为分析层提供数据支撑
●分析层:对访问数据进行分析,通过鼓励森林、K-Mesns、异常检测、时序检测、变异检测等方式发现指标异常、时序异常、序列异常、模式异常等情况。
●聚合层:对多种分析模型的结果进行加权聚合,形成统一的风险评分。
●应用层:根据下层所提供数据,形成 Web 攻击防护、API 防护、 Bot 防护等多项核心能力。
多点网络加速能力
●全网加速:全球分布式抗 D 节点,主流运营商支持;电信、联通和移动单线节点均直连运营商骨干网络,全国访问延迟均小于50ms 以及全球 50+国家地区覆盖,为各类型业务保驾护航,提供高速、稳定的业务访问体验
●智能调度:全网链路进行实时监控,结合德迅自研的调度体系和智能路由技术,实现最优接入、最优回源、最优链路,全球负载,避免单点故障,保障网站运营高可靠。
●高性能缓存:采用新型的 AICache 技术+多级缓存调度,实时跟踪全局热度,超高速、大容量 SSD 存储,有效提升缓存命中率、减少用户访问等待时间。各节点具备高速读写固态硬盘 SSD 存储,配合 SSD 加速能力,大幅减少用户访问等待时间,提高可用性;均衡使用 CPU 多核处理能力,高效合理使用和控制内存,最大化 SSD IOPS 和吞吐;自定义指定资源内容的缓存过期时间规则,支持指定路径 /test/... 或者文件名后缀如 *.html 方式,不同规则间通过优先级确定匹配顺序(数字越大优先级越高),满足不同场景的缓存需求。
●负载均衡:德迅云安全加速-DLB 负载均衡技术是德迅云安全自主研发的负载自动化调度算法技术构成,它能对多台源机实时状态信息进行智能分析,构建了一套强大的负载机制,DLB 将请求路由至已启用可用区中的正常源服务器。当某台源端服务器健康检查出现异常时,DLB 会自动将新的请求分发到其它健康检查正常的源服务器。当该服务器恢复正常运行时,DLB 会将其自动恢复到负载均衡服务中。服务器必须通过一次健康检查才会被视为正常。在完成每次健康检查后,DLB 将关闭为健康检查而建立的连接。也可为不同源站设置取源权重,实现不同流量分配比重,提升网站可用性和灵活性。
●全链路加密:全链路数据传输均支持 HTTPS 加密技术,防劫持、防篡改、防泄密,仅需对加速域名开启 HTTPS 安全加速,并上传证书/私钥,即可实现客户端访问 HTTPS 加密(无需源站支持 HTTPS)加速域名开启“HTTPS 安全加速”的前提下,支持自定义设置,将用户的原请求方式进行强制 HTTPS 跳转和 HSTS ;没有证书的用户还可通过自动获取方式申请免费 SSL 证书,享受企业级可靠HTTPS 加速服务。
抗DDoS 防护能力
●DDoS 防护:1000+全球分布式抗 D 加速节点,单节点具备 100G+以上的防御,集群防御高达 4Tbps,采用德迅 Anti-DDoS 流量攻击清洗引擎,从多维度对异常流量进行实时检测分析,对流量特征进行智能学习建模,提供近百种智能防护算法与检测策略配置, 实现对 SYN Flood、UDP Flood、ICMP Flood、ACK Flood,TCP/UDP大包反射型,僵尸网络等流量型攻击的全面精准检测和拦截,避免 DDoS 流量对网站的致命攻击,保障业务系统稳定运行。
●C&C 攻击专防:智能 AI 抗 CC引擎,深耕多年的抗 C 经验,基于对海量业务数据的深度学习,能够精准检测每次访问请求,及时发现潜在风险并自动匹配 CC防御策略,实现 CC 攻击防御无上限、自动化、智能化;5S 发现恶意请求 ,10s 快速阻断攻击;还配备自定义防 CC 策略人机验证、频率限制、防代理、防 CSRF,可根据开启时间,加白时长,加黑设置和对指定 URL 进行人机验证,访问频率限制,保护网站,游戏,APP 服务器免受大规模 CC 攻击困扰
●APP 专用防护:APP 专用防 CC 策略,通过配置通信密钥、请求头标示名称以及 HASH 算法。同时将信息部署到 APP 应用程序中,对访问请求进行请求签名,将签名结果配置到请求头中,同请求一起发出。加速节点服务端收到请求后,使用同样的信息对签名信息进行校验,如果校验通过,则直接放行回源,未通过的,则进行拦截,从而达到零误封,解决了 APP CC 攻击的防护误拦截的痛点。
Web 应用防火墙
针对不同的攻击场景,通过规则匹配对已知漏洞攻击检测、语义分析对未知漏洞攻击检测、流量学习深度发现异常攻击等多种防护手段组合,实现主动化和智能化防护。威胁情报帮助快速获取恶意 IP或者域名,从而实现快速拦截。
可防护各类 Web 攻击: