報告下載:添加199IT官方微信【i199it】,回復關鍵詞【2019年Web應用安全年度報告】即可
近日,阿里雲聯合FreeBuf重磅發布《2019年Web應用安全年度報告》,以下簡稱「報告」。2019年 Web應用安全威脅不斷升級,從用戶信息洩露到羊毛黨的狂歡,無時無刻不在考驗著每一個行業每一個Web應用的安全水位。本報告從整體攻擊態勢、攻擊手法、攻擊目標、攻擊變形、爬蟲管理等維度,以場景剖析、技術分析、案例說法的方式,對2019年Web應用安全行業整體情況做了梳理,希望給安全從業者和企業決策者帶來一定的參考。
一、2019年Web安全行業五大核心問題剖析
1.機器流量在黑灰產攻擊鏈路上作用「舉足輕重」?
報告結合過去一年全網機器流量的分析與對抗,從技術角度和鏈路上下遊角度總結了過去2019年機器流量產業結構與趨勢,並指出,在技術層面,黑灰產從不吝惜於將新興技術用於攻擊,機器流量產業正進一步向著技術垂直化、分工明確化、攻擊精細化方向發展;在鏈路層面,機器流量產業內部上下遊分工進一步明確,且擁有了更多的下遊產業需求。
2.重要活動保障我該如何準備?
報告從攻擊者和防禦者雙方視角分享了在Web安全領域如何在重保活動中進行防禦。對於防禦方而言,要在攻擊者進行信息收集和攻擊兩個階段做好充分準備。
報告指出,針對攻擊者進行0day漏洞攻擊,解決辦法是採用白名單基線的方式進行防護,即事先對重要系統建立一套合法的流量基線,例如參數的類型(比如整型、字符串、字符集範圍)、長度範圍等手段,一旦某欄位有異常輸入即可告警或者攔截,此方法已經被阿里雲WAF成功在某重保活動發現並防護某java框架的0day漏洞。
3.如何在降低誤漏報的路上越走越遠?
對WAF或者任何安全產品來講,都離不開兩個核心指標,漏報率和誤報率。漏報低代表著防護效果好,誤報率低則是為了將對正常業務的影響降到最低。
報告指出,對於漏報最理想的狀態是針對每個用戶的業務都能夠防住所有攻擊,並且不產生誤報幹擾正常業務。要達到或者說接近這種理想狀態,現有的防護機制最大問題是是一套通用防護機制已經不適用于越來越多樣化和複雜的客戶業務場景,防護機制未來應該是針對不同用戶業務場景能夠自動適應並調整防護策略,類似於淘寶的「千人千面」推薦,未來安全也是「千人千面」,在有通用防護策略的基礎上,每個用戶還要有適合自己業務的定製的安全策略。同時報告給出了阿里雲WAF的最佳實踐。
此外本章節還從「什麼才是電商和遊戲行業風控的基石?」「你的API還在裸奔嗎?「兩大問題進行詳細剖析,詳情可以文後下載報告了解更多。
二、Web攻擊態勢分析
報告從攻擊類型分布、攻擊源分布、漏洞應急響應、攻擊時間變化趨勢、重點行業分布等維度對2019年Web攻擊整體態勢進行了分析。報告指出,從攻擊現象趨勢來看除了春節期和小長假期間攻擊量明顯減少,其它時間基本處於一個平穩中略有上升的狀態。
同時,報告從攻擊流量特徵、重點攻擊目標、攻擊變形等維度對攻擊手法進行了剖析。報告顯示,在針對Web服務的攻擊中,掃描器及各類自動化攻擊工具佔據絕大部分比例。根據當前的數據保守計算,在所有針對Web服務的攻擊流量中,自動化工具佔比超過70%。這些工具的攻擊方式涵蓋了目錄掃描、SQL注入、XSS、命令執行、漏洞探測等多種威脅類型。
三、爬蟲分析
報告從爬蟲的流量分析、爬蟲分級和典型案例三個部分做了詳細分析。報告顯示,房產交易、交通、遊戲、電商、資訊論壇幾個行業中惡意爬蟲的佔比都超過了50%。
這些行業的用戶有一個顯著的特點是,他們往往對外提供的服務內容有著很強的時效性,比如不同城市的新上房源、不同線路的票務信息、商品價格、簡歷信息等等,所以會吸引大量爬蟲持續的爬取以獲取最新的資訊。比較特殊的一個是遊戲行業,爬蟲則總是聚焦在虛假帳號和掛機兩個經典場景。
從2019全年度Web安全報告我們可以看到如下情況:
1.電商等行業面臨的黑灰產鏈條更加完整和專業,利益驅動+更加先進的攻擊技術利用將會讓企業付出更多的安全和風控成本來進行防禦;
2.傳統Web防禦隨著API、加密流量等環境的變化而面臨更多的挑戰;
3.2020年各個行業在面臨更多更嚴峻的外部Web安全威脅的同時,內部對安全水位的要求以及來自藍軍的模擬攻擊也會越來越專業化,這對企業自身的安全能力提出了更大的挑戰。
在這種情況下,藉助雲上最新的威脅情報、安全技術、最佳實踐等來構建或是加強自身安全體系,是一種相對低成本而高效率的方式,能更好的跟上攻擊者的進化,更迅速的緩解風險,同時更專注於自身業務的發展。
報告下載:添加199IT官方微信【i199it】,回復關鍵詞【2019年Web應用安全年度報告】即可