金融数字化进程不断加速,为了方便客户接入、快速发展客户,银行为客户提供了多种接入渠道,包括手机银行App访问、Web访问、H5访问、微信访问、小程序访问和API访问。伴随流量的提升,API业务带来的Web敞口风险和风险管控链条的扩大,不仅各种利用Web应用漏洞进行攻击的事件正在与日俱增,各类拟人化自动化攻击、API业务攻击、0day攻击对金融数字化业务的影响也在快速攀升,攻击手段愈发多元化。
瑞数动态安全超融合平台主要目标是应对Web业务、App应用和API应用交付在混合架构中面临的威胁,提升业务快速部署能力、应对未知威胁、区分并防护自动化与人类流量、对抗来自API的业务攻击,保障接口安全,构建并实现应用安全的一体化防护体系。
一、项目介绍
通过动态技术实现对手机银行App、Web网站、H5页面、微信、小程序和API接口的统一防护,在动态安全超融合平台上实现对各类接入客户端数据的融合,并通过来源IP、账号信息对各平台访问数据进行关联与信誉评分,实现多平台业务信息联动与威胁感知,达到精准识别与拦截恶意自动化非法请求的目的。
动态安全超融合平台体系架构图如下所示:
瑞数动态安全超融合平台实现了“三个统一”:
1.全渠道访问的统一防护 实现了全渠道业务(手机银行App、Web网站、H5页面、微信、小程序和API接口)统一防护,实现了网页代码隐藏和自动化工具防护,对网站的网页代码进行隐藏,防止恶意攻击者分析网站代码,从而发起针对性攻击;实现对各种自动化工具攻击的高效识别和防护,如对网站的漏洞扫描工具、批量金融业务欺诈工具的识别和防护。
2.跨渠道数据统一融合分析 在动态安全超融合平台上实现对各类接入客户端数据的融合,并通过来源IP、账号信息对各平台访问数据进行关联与信誉评分,实现多平台业务信息联动与威胁感知,达到精准识别与拦截恶意自动化非法请求的目的。通过完整的数据记录,可以透视用户的访问轨迹,追踪用户的访问行为。系统实现数据在各个业务之间的共享,形成银行的风控数据积累,提升整体风控防护能力,实现统一数据输出和融合。
3.构建应用安全的统一标准 建立快速上线部署标准安全,在整个安全流程规范化的同时,实现异构集成,满足安全能力的无缝对接,降低了金融业务创新成本。异构集成能够快速融合新安全能力,提高兼容性,分别实现安全能力的快速集成和前台应用的快速调用。
二、项目创新点
1.Web应用协同防护 融合传统架构及云上应用多场景的适配和可扩展性,从传统网络边界,迁移到各种Web应用、APP应用和API云服务,构建集中于业务逻辑、用户、数据和应用的可信安全架构,全面抵挡新的安全威胁。系统部署后,大幅提升对欺诈来源的识别及追踪能力,且能全程掌控攻击全貌,建立对抗网络空间威胁的全方位立体作战能力。
2.安全技术变革,化被动为“主动防御” 动态安全技术,无需依赖规则和补丁,为网站安全提供主动式安全防护。以“动态防护”技术为核心,增加服务器行为的“不可预测性”;提供面向业务层的主动防御,高效甄别伪装和假冒正常行为的已知和未知自动化攻击,拦截未知威胁。
3.基于AI技术的新思路 AI智能威胁引擎,通过使用机器学习的多种威胁模型来确定异常攻击,并阻拦确定的攻击请求。每个威胁模型都代表特定的攻击类别(SQL注入,跨站点脚本,OS命令注入等)。这些威胁模型使用来自各种来源的数十万个真实攻击样本,包括如CVE和Exploit DB以及威胁情报,及第三方漏洞扫描程序收集的数据,进行了广泛训练和测试,从而发现高度隐蔽的攻击,有效提高检测速率,降低误报、错报率。进一步过滤了自动化攻击的噪音,让大数据风控变得更加精确高效,大幅降低线上交易欺诈风险,为行业树立了新标杆。
4.强化对新兴Bots威胁防护 Bots防护能力可以高效抵御由自动化工具发起的高效大规模攻击,如恶意爬虫、撞库、虚假注册、交易篡改、内网安全、API滥用、零日攻击等,保障在业务、应用和数据层面的安全升级。动态验证技术是基于动态算法技术,每次派发的终端检查代码的逻辑与形态均不同,攻击者无法预知检查内容,难以绕过;即使企图逆向代码,也只有当次有效,下次必须重新逆向,攻击成本极为高昂。动态验证技术解决了全球同类型方案中,易于逆向及绕过的问题;更通过真实运行环境验证及终端攻击行为模式分析等技术,完整掌握攻击全貌,并能精确描绘攻击者画像。这些技术上的创新,让本项目的防护能力处于全球领先水平。
三、项目成效
目前,动态安全超融合平台目前已稳定运行近两年时间,没有出现过任何故障,运行情况良好。自动态安全超融合平台上线以来,有效拦截了各种CC攻击及自动化攻击行为。并且具备对未知攻击的防护能力,保障客户免受零日漏洞攻击,给安全运维提供了足够的时间进行漏洞修复,让客户更加从容应对。
同时,通过将所有的Web、App和API应用全部接入到该平台,利用动态安全技术实现对访问客户端信息的收集,结合全访问记录,利用大数据技术统一汇总访问日志,进行综合关联安全分析,发现可能的攻击行为,有效拦截了各种自动化攻击行为,防止了黑产发起的各种业务攻击,如:自动化工具发起的批量查询和异常交易行为被有效阻拦,境外IP使用多个账号进行频繁登陆和交易的异常行为等。
另外,瑞数动态安全技术具备对未知攻击的防护能力,保障业务系统免受零日漏洞攻击,给安全运维提供了足够的时间进行漏洞修复,让我们更加从容应对,为相关一线部门提供自动化工具拦截、安全告警、数据输出,并给出处理建议,实现统一的安全威胁防护和分析。
四、客户认可
某国有银行安全负责人对瑞数动态安全超融合平台给予了高度评价:“使用瑞数动态安全超融合解决方案,我行的个人网银、手机银行、企业网银、招聘网站等核心业务系统全部纳入该防护之中,帮助我们有效解决了以下三大问题:一是统一威胁防护;二是跨渠道数据融合分析;三是构建应用安全的统一标准。”
“瑞数动态安全超融合解决方案”在“鑫智奖·第三届金融数据智能优秀解决方案评选”活动中荣获“专家推荐 TOP10 优秀解决方案”和“网络安全创新优秀解决方案”双重大奖
五、经验总结
动态安全超融合平台正式上线已稳定运行了近两年,将客户所有核心业务全部纳入了保护,并且开启拦截模式,实时拦截各种自动化攻击行为。系统已经覆盖客户的多个数据中心,在每个数据中心部署了多个节点,通过负载均衡设备实现业务高可用。推广经验主要有以下几方面:
一是在金融行业获得了良好的示范效应。 Web、APP、API业务全渠道防护、跨渠道数据融合、业务安全、应用安全统一管理问题是所有金融企业同样面临的严峻风险;该项目的防护效果和获得的收益,对广大金融企业具有很好的借鉴意义,在金融行业具有很大的推广价值。
二是降低金融企业经济损失。 金融企业为了提升经济效益,经常组织促销活动,大量的羊毛党利用自动化工具也随之而来,将金融企业大量的促销投入薅走,给企业带来了巨大的经济损失。另外通过本平台可以清晰了解到真实用户对那些业务比较热衷,那些业务参加的用户数量多,那些活动可以吸引到更多的注册用户数,从而辅助业务推广;通过用户画像了解用户的行为模型,可以实现精准营销,增加收入。
三是助力金融行业抗击黑色产业链。 该项目的成功经验,为金融行业探索了一条全新的抗击黑产的道路,首先其从黑色产业链的最核心部分“自动化工具”发起,让所有的自动化工具无法运行,从而打破黑色产业链;其次基于Web、APP、API业务全渠道防护、跨渠道数据融合、业务安全透视、应用安全统一管理,形成安全联防态势,大幅提高安全成力。为所有金融企业抗击黑产树立了成功案例,可以在金融企业内部大力推广。
四是取得跨行业示范效应。 本方案包含了智能WAF防御能力、Bots管理与防御能力、应用层DDoS防护能力、API管理与安全防护能力、安全可视化、统一安全管理等多维度的安全能力于一体的综合防护平台,构建了统一的安全标准,这些能力也是政府、运营商等行业缺乏的,该项目可以给各行业做一个参考,起到良好的跨行业示范效应。
目前,此解决方案已在国内金融、运营商、政府和企业客户中广泛应用。同时,瑞数信息参与了多次攻防实战演练、进博会保障、建国70周年保障等国家级网络安全重保工作,在近两年的攻防实战演练中参与了30多家国家重要部门、大型银行的防守工作,并且取得了良好的成绩,得到了用户的广泛认可。