三板斧+必杀技，瑞数信息助力构建安全可信的数字世界

近日，以“安全生长，重启一夏”为主题的“CIS大会 夏日版·Summer live”正式开启。二十余位资深网安专家进行线上分享，共话后疫情时代下实网攻防对抗、网络安全行业零信任等前沿话题。

实网对抗与攻防演练专场中，瑞数信息技术总监吴剑刚发表了题为《改变：从人防到技防》的主题演讲。

主要围绕攻防演练手法的变化趋势、攻击阶段、防护方法进行观点分享，以提出“拦工具、扰人工、断跳板”的整体防护思路，展示如何通过瑞数信息动态安全技术，助力企业构建真正的主动防护体系。

攻防实战下 网络攻击手段全面升级

在网络安全升级为数字安全的时代背景下，实战攻防对抗是检验安全能力的最终标准。

吴剑刚表示，从0day攻击、自动化攻击、安全意识攻击到供应链打击，攻击规模和攻击技术都在不断升级演进。如今，自动化攻击、武器化攻击越来越多，大量通用和定制工具用于漏洞扫描、0day探测、撞库、敏感文件探测等，攻击范围进一步扩大、攻击效率进一步提升。

防护“三板斧”构筑网络安全防线

对于网络攻击，应该如何有效识别和防止呢？

吴剑刚介绍了“网络杀伤链”的概念。“网络杀伤链”主要分为三大阶段：信息收集和武器构建，漏洞利用和后门植入，后门利用和渗入。

瑞数信息在不依赖传统特征库的情况下，通过动态防护、主动防御等技术，针对攻击过程中这三个不同阶段的特点进行“三板斧”针对性防护，真正做到从“人防”到“技防”的全面升级。

拦工具：

拦截工具类的探测利用，降低攻击者效率

基于主动防护理念，瑞数信息改变了传统网络安全的“游戏规则”，推出动态安全技术，不再依靠攻击特征库、异常特征库的匹配来进行攻击识别，而是通过隐藏漏洞、变换自身、验证真伪等多种方式提高黑客攻击成本，倒逼黑客放弃攻击。

在0day漏洞防护方面，瑞数信息从0day漏洞利用工具请求的固有属性出发，通过动态安全技术，无需依赖规则特征，只要识别到是工具行为，就可以直接对0day攻击进行阻断。在2021年攻防演练中，瑞数信息公开90多个0day漏洞，其中80个与Web相关，全部被实时拦截。

在漏扫防护方面，瑞数信息提供漏洞隐藏功能，将所有的高危、中危漏洞、网页目录结构做隐藏，并通过敏感信息隐藏、针对扫描器做重放性检测、动态挑战等方式来进行防护，让攻击方扫描不到任何有价值的信息。

扰人工：

迷惑干扰人工渗透行为，提升分析难度

随着网络对抗升级，基于规则和特征的传统安全设备防护效率将越来越低。对于人工攻击，还可以从干扰攻击行为的角度出发进行防护。

瑞数动态安全，利用动态封装和动态混淆这两大瑞数创新技术对攻击者实施动态干扰。灵活运用Web代码混淆、JS混淆、前端反调试、cookie混淆、中间人检测等多种动态干扰功能，采用不基于任何特征、规则的方式进行有效防护，为业务安全和用户数据筑起了一道坚不可摧的防护墙。

断跳板：阻断WebShell等跳板工具

WebShell是攻击者经常使用的一种恶意脚本，通常被用来获取对应用服务器的某些操作权限。攻击者通过渗透系统或网络，然后安装WebShell，就可以在应用服务器上执行敏感命令、窃取数据、植入病毒，危害极大。同时，WebShell隐蔽性极强，传统的流量侧方案对其防御效果不佳。对于动态加密类的Webshell，如哥斯拉Godzilla、冰蝎等，同样可以采用瑞数信息的动态安全技术，通过令牌等方式判定为非法访问，并直接进行阻断，而不依赖于攻击特征的识别。

攻击面管理成为数字时代网络安全的基石

在数字化时代，对于攻击面的管理成为数字时代安全运营技术的基石。吴剑刚表示，网络安全团队不仅要站在防御视角来看待安全，更要用攻击者视角来监测完整的数字攻击面。瑞数信息通过“六大必杀技”等综合安全技术手段尽可能缩小攻击面，将网络安全风险化解于萌芽。

必杀技一：按需拦截、实时对抗

利用可编程对抗技术，通过客户端采集到的超过300个信息字段进行规则编程，可以针对设备特征、输入事件、访问行为等场景进行攻防对抗微秒级实施响应，并且可以提供软拦截能力，灵活配置各种动态响应策略，如拦截、重定向、延时、发起挑战等，让系统无懈可击。

必杀技二：URL白名单

通过全面的URL资产梳理，建立URL访问白名单，拦截所有不在白名单路径内的非法路径访问。同时从静态和动态两条路径，对URL路径进行细分，静态路径如列表，动态路经精准到动态目录和绝对路径使用的字符和位数，防止没有审核和不清楚的路径访问，从而实现最大化的收敛入口和最小化的访问授权。

必杀技三：组合维度频率控制

利用全网高频监测、攻击建立连接监测、聚焦登录路径等方式对拦截异常进行监测。同时，通过设置高频访问规则、监测域名、监测频率等，对潜在风险进行主动防御，限频除IP地址外，还有设备指纹、令牌等，实现准确定位和细粒度处置。

必杀技四：高危文件精细化管理

对于脚本文件猜解用户提前发现并拦截，拦截不允许文件类型请求操作。针对不同站点设置常见木马类型，对php、asp、aspx、jsp等进行拦截，同时还可以针对不同站点设置请求文件类型，对sql、py、sh、zip、rar、gz、tar进行拦截。检测文件支持正则表达式，拦截动作丰富、灵活。

必杀技五：交互行为拦截

通过设置用户的登陆交互行为异常规则，可以检测页面是否存在键盘和鼠标行为，有效拦截各种无交互行为的工具。

必杀技六：网站护盾

通过一键断网、网站静态化、网站锁、地域锁等多重保护，可以避免恶意脚本、代码上传和执行，只允许访问静态资源以及配置地域IP来源访问，将其余请求直接拦截，进一步将风险阻隔于千里之外。

吴剑刚表示，在严峻的网络安全形势下，面对层出不穷的攻击手段和潜在的安全威胁，网络安全防护必须实现从“人防”到“技防”的全面跃迁，才能彻底将人员从安全对抗的值守中解放出来。

基于独特的动态安全+AI技术，瑞数信息将自动化攻击保护、0day防护、多源低频防护、多维度分层分级对抗等多种安全防护策略和手段进行综合运用，推出了瑞数WAAP超融合平台，支持WAF、Bots防护、0day攻击防护、应用DDoS防护、API安全防护等多项安全产品单独或联合部署，能够覆盖Web、移动App、H5、API及IoT全应用渠道，提供多层级的联动防御机制，令企业在各类复杂的环境中，都可以轻松实现应用安全一体化防御。

目前,瑞数WAAP平台已广泛应用在运营商、金融、政府、教育、医院、企业客户中,帮助各类组织机构真正实现网站/APP/小程序/API的安全防护,降低其安全风险和经济损失。同时,瑞数信息参与了大量网络安全重保工作,并取得了良好的成绩。

吴剑刚表示，瑞数信息通过动态安全+AI技术，针对自动化攻击建立全方位纵深防御体系，从而形成事前、事中、事后安全风险闭环，能够消除企业用户信息安全体系建设中的“安全孤岛”问题。由此，企业在面对复杂多变的网络和应用环境时，可以真正实现网络安全从“被动”变“主动”，构筑起网络安全的“护城河”。