亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

如今，電子政務、電子商務、網(wǎng)上銀行、網(wǎng)上營業(yè)廳等依托Web應用，為廣大用戶提供靈活多樣的服務。在這之中，流量攻擊堪稱是Web應用的最大敵人，黑客通過流量攻擊獲取利益、競爭對手雇傭黑客發(fā)起惡意攻擊、不法分子通過流量攻擊癱瘓目標后勒索高額保護費，往往會對業(yè)務造成嚴重損害。

對于開發(fā)者和企業(yè)網(wǎng)站管理人員來說，數(shù)據(jù)爬取、暴力破解和撞庫等Web攻擊手段日益復雜，均需要建立強大且實時的防御能力，避免業(yè)務乃至企業(yè)因防護脆弱“失血過多”而死。部署WAF成為公認的最基礎且有效的防御手段，但由于攻擊手段的多樣化和企業(yè)業(yè)務的復雜性，傳統(tǒng)的本地部署WAF已經(jīng)越來越難以發(fā)揮預想的防御效果。

云WAF恰恰能夠解決本地部署WAF的缺陷，成為大量中小型企業(yè)以及個人網(wǎng)站的新選擇。云WAF部署簡單、維護成本低，無需安裝任何軟件或者部署任何硬件設備即可將網(wǎng)站部署到云WAF的防護范圍之內。云WAF的防護規(guī)則都處于云端，新漏洞爆發(fā)時，由云端負責規(guī)則的更新和維護，用戶無需擔心因為疏忽導致受到新型的漏洞攻擊。

在日常的部署中，網(wǎng)站負責人員如何選擇與自身業(yè)務屬性和發(fā)展規(guī)劃匹配的云WAF產(chǎn)品？如何確保其能夠為現(xiàn)階段業(yè)務提供高可用的產(chǎn)品與服務？又如何為未來業(yè)務發(fā)展中安全防護的持續(xù)性和可擴展性做好冗余？

我們邀請到騰訊云應用安全專家劉吉赟，與大家分享在云WAF產(chǎn)品選擇、部署和使用過程中的實戰(zhàn)經(jīng)驗。

劉吉赟，騰訊安全 WAF研發(fā)負責人。近十年安全研發(fā)經(jīng)驗和應用安全攻防實戰(zhàn)經(jīng)驗，主導了多個網(wǎng)絡安全防御產(chǎn)品的研發(fā)，構建了騰訊新一代云WAF防御體系。

以下為采訪實錄：

Q：如今Web應用安全依然是互聯(lián)網(wǎng)安全的最大威脅來源之一，Web應用安全目前的新局面是什么，企業(yè)需要面對怎樣的新挑戰(zhàn)？

劉吉赟：目前的Web應用逐步API化，除了傳統(tǒng)的Web攻擊，API的安全問題、網(wǎng)絡中的機器人流量的問題也日趨嚴重，Web應用安全從傳統(tǒng)的SQL、XSS防護等，逐步開始向API安全，Bot機器人行為防護等防護技術過渡。

在Web攻防實戰(zhàn)中最受關注的有四種攻擊方式：一是植入webshell，控制管理后臺然后拖庫；二是Web內容被惡意替換成違法違規(guī)的圖片和文字；三是掛入黃賭網(wǎng)頁、私服或跳轉頁面等倒量引流；四是競品發(fā)動DDoS攻擊致使業(yè)務癱瘓。

攻擊技術、漏洞披露等日趨成熟，特別是針對Web安全相關漏洞的利用日趨產(chǎn)業(yè)化，企業(yè)需要更加重視如何在安全運營中進行快速響應，構建與之適應的安全運營體系。企業(yè)首先應該做好自查，全面完整的自我了解是企業(yè)實現(xiàn)Web應用安全防護的基礎。同時，更應該嘗試和接納新興技術，以顯著提高對新型威脅和未知威脅的檢測、防御效果。

Q：電商行業(yè)是網(wǎng)絡攻擊的高發(fā)行業(yè)，針對電商的常見攻擊手段有哪些？

劉吉赟：一種是典型CC攻擊，這是一種針對網(wǎng)頁的攻擊，原理是模擬多個用戶正常訪問目標網(wǎng)站，例如制造大量后臺數(shù)據(jù)庫的查詢動作占用正常請求資源。“雞賊”之處在于，這種“訪問”本身屬于正常請求，但當這種“正常請求”達到一定程度的時候，服務器就會反應不過來直到宕機，也就是App會出現(xiàn)反應慢、賬號登錄不成功、無法下單、白屏等現(xiàn)象。這也是為什么每次購物節(jié)當大家忙著剁手的時候，各大電商的機房燈火通明，程序員軟件硬件都用上外加緊張觀察，就是怕服務器崩掉了帶來慘重損失。

CC攻擊往往只是敵人的先行兵，更可怕的是后續(xù)可能會出現(xiàn)的慢BOT攻擊。這種戰(zhàn)術更有耐心且隱蔽，敵人會仔細偵查對外開放的每一個接口，對開銷較大的接口，以較慢的速度長時間“掛”在你家的網(wǎng)上，消耗大量資源。黑產(chǎn)可能會肆無忌憚地使用注冊軟件和隨時號碼反復調用接口，同時發(fā)動羊毛黨把調用次數(shù)進行幾何級放大，像一群虎視眈眈又極有耐心的禿鷲，終有一天你會扛不住，那就是黑產(chǎn)啄食的時機。這樣對網(wǎng)站的損傷也非常大。

在某電商平臺促銷季的一場攻防戰(zhàn)中，黑產(chǎn)通過四條“小路”發(fā)起猛攻，首先是狂刷用戶行為采集的接口，頻率高達300-400次每秒，這個接口主要是記錄用戶訪問APP的行為，再寫入數(shù)據(jù)庫；二是瞄準APP版本檢查接口，也就是模仿一個過分焦慮的強迫癥者，一遍遍刷新查詢版本有沒有更新，每天超過幾百萬次，導致APP帶寬被惡意消耗掉；三和四分別是查看商品庫存和查看購物車，派機器人一遍遍去看商品還剩多少、購物車里有啥，讓數(shù)據(jù)庫讀寫高到爆滿。

Q：能夠分享一個實戰(zhàn)中遇到的典型攻擊案例以及應對的策略？

劉吉赟：去年10月，某旅游網(wǎng)站被爆全網(wǎng)站2100萬條“真實點評”中有85%的評論是通過爬蟲 Bot 機器人程序從競爭對手平臺抄襲而來，“點評抄襲造假”的輿論風波一時驟起，使網(wǎng)站深陷質疑；同年2月，某視頻網(wǎng)站遭遇大量原創(chuàng)內容和用戶數(shù)據(jù)被非法網(wǎng)絡爬蟲盜取侵權；航空公司遭爬蟲惡意低價搶票等事件層出不窮，無一不在挑戰(zhàn)著各行業(yè)網(wǎng)站業(yè)務的安全防線。

近期有一家知名的電商遭遇了競爭對手的CC攻擊，流量非常大，攻擊手法也很罕見。黑產(chǎn)通過短信炸彈發(fā)動攻擊，短信網(wǎng)關并發(fā)量突然超過平時的十倍，造成企業(yè)為短信接口的濫用付出了巨額“通道費”。

騰訊云WAF第一時間對遭受攻擊的短信接口做了“前剎車”防護，也就是設置了CC防護的規(guī)則，把對短信接口訪問上限定為每分鐘150次，超過這個閾值的IP，騰訊云WAF會根據(jù)算法第一時間判斷究竟是真人還是機器訪問，被判斷為機器的IP將會被封禁訪問，這也是騰訊云WAF自帶可選的懲罰機制。同時， BOT管理功能啟用，使用BOT行為管理進行安全策略定制，將每個用戶每天訪問短信端口次數(shù)超20次以上的會話統(tǒng)統(tǒng)攔截，相當于開啟了“后剎車”。在整個防護過程中，我們幫助客戶通過行為分析和對具體業(yè)務場景設置動態(tài)防護策略，在不斷對抗過程中，摸清黑產(chǎn)的攻擊策略，將其置之死地。同時幫助客戶梳理清楚業(yè)務邏輯，為業(yè)務調整優(yōu)化提供依據(jù)，這就是騰訊云WAF使用策略中的三道防線。

騰訊云WAF的架構

Q：如何準確的識別BOT流量，既確保業(yè)務正常運轉，又避免惡意BOT流量對業(yè)務造成威脅？

劉吉赟：傳統(tǒng)上用于檢測和防護惡意BOT流量的訪問頻率限制、IP黑名單設置、CAPTCHA驗證人類用戶等方法和規(guī)則已無法有效應對不斷升級的威脅形勢。而從BOT實際運作的模式不難看出，BOT（機器人行為）訪問流量的好壞實際是由實際操控者所決定。如何對網(wǎng)站訪問的BOT流量進行有效行為甄別與安全管理，成為各行業(yè)開展線上業(yè)務共同面臨的安全挑戰(zhàn)，是全網(wǎng)發(fā)力破解的重要痛點之一。

針對BOT行為友好與惡意雜糅并存的特征，企業(yè)在防御惡意BOT流量訪問與攻擊時，不應采用“一刀切”簡單方式進行封堵，而應在精準區(qū)分BOT程序和人類訪問流量、友好BOT和惡意BOT流量的基礎上，形成差異化響應策略，助力企業(yè)真正實現(xiàn)高效防護惡意BOT流量攻擊的目標，繼而夯實全網(wǎng)Web安全線。

基于“精準流量監(jiān)測技術是解決惡意BOT攻擊識別問題關鍵”的基本思路，騰訊云WAF上線了基于“規(guī)則+AI”雙引擎，打造的BOT行為管理解決方案，可幫助企業(yè)有效甄別友好及惡意機器?程序并采取針對性流量管理策略。策略思路方面，該方案主張采用溫和管理而非直接杜絕的策略，以在保障友好BOT運行的前提下，確保風險管控響應的精準性。

騰訊云WAF負載均衡WAF的兩個工作模式

Q：SaaS模式的WEB應用安全產(chǎn)品有何優(yōu)勢？應當如何針對企業(yè)規(guī)模做出選擇？

劉吉赟：SaaS模式的WEB應用安全產(chǎn)品憑借其便捷的應用部署、靈活的訂閱方式、強大的可擴展性、輕量的運維負擔等諸多優(yōu)勢，越來越普遍地被企業(yè)級客戶，尤其是網(wǎng)絡運維人員緊缺、安全預算有限或業(yè)務變化較快的中小型企業(yè)所接受，成為企業(yè)構建業(yè)務安全防護體系時的一項重要選擇。

國內主要公有云和私有云服務提供商均為租戶提供了全面的云原生安全防護產(chǎn)品，用戶可以很便利地按需訂閱符合自身業(yè)務需求的Web應用安全產(chǎn)品。同時，在公有云/私有云平臺的云市場中也提供了第三方安全廠商專為云平臺打造的虛擬化Web應用安全產(chǎn)品，企業(yè)用戶可以靈活選擇信賴的品牌產(chǎn)品，以實現(xiàn)云端業(yè)務的全面安全保護。

Q：是否能夠預見一下潛在的技術趨勢以及行業(yè)變化對于網(wǎng)絡安全帶來的影響？

首先是產(chǎn)業(yè)互聯(lián)網(wǎng)時代企業(yè)上云，對安全能力帶來的全新需要。在構建云安全防御體系時，利用云服務商提供的一整套安全解決方案和推薦產(chǎn)品，更快捷，更加系統(tǒng)地構建自己的防御體系；減少利用非原生安全產(chǎn)品造成的架構復雜、安全數(shù)據(jù)無法共享、運營成本高等問題。同時利用云原生的基本安全能力和最新安全技術能力,構建主動防御體系，如利用基礎DDoS、安全組、IPv6轉換、VPC Peer等構建可靠的網(wǎng)絡體系，利用AI技術、威脅情報、API安全、賬號安全體系等，搭建更符合云上應用的安全運營系統(tǒng)。

其次是5G可能帶來的影響。5G網(wǎng)絡的普及可能會極大的擴展應用的邊界和形態(tài)，包括從TOC向TOB的發(fā)展，邊緣計算的興起等等。另外可能5G應用的場景的多樣化，客戶對安全的需求也會大幅增加。在未來，我們可能很難通過標準的產(chǎn)品來滿足客戶的安全需求，這里面可能就需要客戶來自己通過開放的平臺來編程實現(xiàn)自己的功能，整體上就是產(chǎn)品去和邊緣計算去做結合，然后實現(xiàn)用戶可編程的安全。