瑞数动态安全 – 零补丁、零规则 主动抵御未知零日攻击

越来越泛滥的零日攻击

在大多数网络安全从业者意识中，“零日攻击”往往是让人非常头痛的安全威胁。其高威胁性、突发性、高破坏性、大规模性的主要特点，让零日攻击能在网络安全地下黑市历时十多年都长盛不衰。近几年，零日漏洞的披露越来越多，影响面也越来越波及到各行各业，不仅仅是安全界，甚至也成为企业里的难题，究其原因，开源代码的不断扩散，被企业用于业务系统的开发，缩短项目周期，尽快将业务推向市场，是其根源之一。

这些开源组件中的代码被多种设备，多个系统复用，组件中一旦发现零日漏洞，产生的风险往往是成倍增长的。去年到今年，接二连三的Struts S2零日漏洞就证明了这一点。

2016年4月15日，国内安全专家发现并公布了在Struts2上的一个严重远程代码执行漏洞S2-032，黑客可以利用该漏洞轻易攻陷网站服务器，获取网站注册用户的帐号密码和个人资料，通过浏览器在远程服务器上执行任意系统命令，受影响站点可能引发数据泄露、网页篡改、植入后门、成为肉鸡等一系列重大安全事件。该漏洞最直接影响到的就是金融行业、运营商、各大门户和电商。而这些企业机构掌握的核心的数据资产，因此影响极为严重。

传统安全手段力不从心

面对此类新型的互联网安全威胁，尤其是零日攻击，传统的安全防护技术往往显得力不从心。过去针对此类漏洞，通常采用的防护手段是以打补丁和更新软件版本为主。如果通过Web应用防火墙产品进行防护，需要厂家根据漏洞利用的攻击特征，更新其策略规则或者特征库之后，才能进行防御，但显然已经是“滞后于攻击”的防护结果了。

而且，漏洞被发现和公布时，通常已经有漏洞利用工具先行流传和传播于互联网，行业和企业用户的Web应用势必受到影响。这种事后的被动式防御手段，在新的威胁面前处处被掣肘。如果企业大面积使用这些开源组件作为软件基础平台，则大规模的查漏洞、打补丁的工作，会令用户备受困扰。

动态安全 – 先于攻击的主动防御之道

瑞数信息的动态安全技术可以非常好地解决零日漏洞攻击问题。通过针对网页的动态变幻技术实现实时和在线的防护，让攻击程序无法进行漏洞利用的尝试，从而在补丁没有更新、传统防护手段未到位的时候，保护客户的应用不受影响。

“瑞数机器人防火墙的引擎，并不是在零日漏洞被披露后的快速特征库、规则库的更新，其实现机理并非传统靠零日漏洞的攻击特征来识别和阻挡攻击，而是通过识别攻击是否为脚本、程序、工具，以及结合动态令牌及动态验证技术进行的识别和阻挡。因此，假设在零日漏洞被披露之前，漏洞利用的方法和工具被恶意地使用在企业中，瑞数机器人防火墙即可先于零日攻击进行有效阻拦。”

马蔚彦还提到：“实际上，零日漏洞的披露往往伴随着漏洞检测的手法，这些手法的披露是把双刃剑，在检测是否有零日漏洞的同时，也是大量利用漏洞的时机。换句话说，手法本身对攻守两方几乎是对等的，对于企业的安全来讲比的就是谁‘快’。显然，打补丁、设规则是一定滞后于攻击手段的，补丁空窗期的一次漏洞利用的攻击，轻则植入木马，重则信息外泄”。

关键技术主要体现在“变幻”和“动态”两大亮点上。

所谓变幻是指对敏感内容进行变幻，包括客户端输入和提交的数据内容，也包括URL、Cookie、服务器返回页面中可能成为攻击入口的Html参数信息。

而动态是指封装及混淆算法的动态，运用在每一个页面每次返回客户端时动态封装中;令牌随机动态生成，在浏览器应用及环境验证方法也有动态变化。

动态安全的价值：为企业安全提供新的主动防护思路

在零日漏洞面前，在传统安全技术之上的监控、响应、预警尽管是加强主动防御的重要手段，但依然不能根本性地扭转防守方的被动局面，瑞数信息创新动态安全技术可以阻挡多源低频攻击，还能感知和透视到来自客户端浏览器的恶意行为，在漏洞利用时进行的识别和防护，是针对web零日漏洞在技术机理上真正的主动防御。

像上文提到了Struts2 漏洞，瑞数信息在日前就与之交锋，交出了令客户满意的答卷。一家大型企业客户通过瑞数机器人防火墙的动态安全技术，在两会保障期间监控日志发现并阻挡了一年前的S2-032漏洞攻击。当时正值S2-45漏洞刚刚正式发布，企业采用Web应用防火墙升级特征库的手段，抵御了S2-45漏洞。但是黑客并不死心，转而用一年前的S2-032漏洞，恰巧Web应用防火墙并未升级改漏洞的防护规则，造成攻击穿透了WAF防护。幸而瑞数机器人防火墙在线，即便穿透WAF，依然被阻挡。 后来分析发现，事实上，早在S2-45漏洞公布前两天，网站就曾经有过一批利用多种S2漏洞的攻击手段在进行活动。瑞数信息通过动态安全技术，不仅抵御了来自S2-045、S2-032的漏洞攻击，还成功拦截了数千次在漏洞公布前的S2攻击(绕过了该网站所有WAF)，极大地提升了系统的安全防御水平。

事实上，瑞数信息的动态安全技术不仅比传统打补丁的方法更及时、更有效，而且对其他类似零日漏洞利用的攻击，尤其是利用各种漏洞进行业务违规操作也非常有效，例如网页越权访问、中间人攻击、恶意注册、恶意访问等行为都得到了扼制。

此外，不仅仅是零日漏洞，针对已知漏洞的探测和扫描行为这些工具化、自动化的机器人行为，经过瑞数机器人防火墙的防护，令漏洞扫描无法发现web应用的漏洞，在企业客户面临经常性的、甚至常常是紧急的打补丁的繁杂运维工作时，或者打补丁影响业务系统的艰难处境面前，这种漏洞隐藏的方式和零日漏洞的主动防御手段无疑会深受企业的欢迎。

目前在国内众多电信运营商、银行、政府以及大型企业中，动态安全技术得到非常好的实践检验，效果显著，受到客户的青睐的好评。