BOT是Robot(机器人)的简称,一般指无形的虚拟机器人、软件机器人,也可以看作是自动完成某项任务的智能软件,BOT流量,即自动化程序流量。 面对真人+真设备防护的升级对抗要求,WAF-BOT提供了基于行为特征、威胁情报和设备ID的防护策略。 通过在应用端集成行为分析SDK,对行为进行签名,保证行为可信;应用威胁情报,将全网已经受到的攻击云及时同步到业务端进行自动防护;识别真实设备,进行精准防护和拦截。 可以对经过WAF的指定请求进行风险值评估,并通过威胁等级和风险类型标签帮助网站对账号、用户行为及环境存在的风险进行辅助分析,从而实现快速拦截威胁请求,保护网站业务安全。 不断发展的恶意BOT,持续需要复杂的产品解决方案,腾讯云WAF基于腾讯安全超过20年的安全能力积累,从威胁检测、攻击响应、威胁研究三个方面,全面提升恶意BOT对抗能力,切实帮助用户以更加高效的方式解决BOT
在赛门铁克《互联网安全威胁报告》中,对2018年全球威胁活动、网络犯罪趋势和攻击者动机进行了深入剖析,提出了自己的最新见解。其中,分析数据来自全球最大的民用威胁情报网络,即赛门铁克全球情报网络。 该网络覆盖全球1.23亿个攻击传感器,日均拦截威胁数量达1.42亿个,有效跟踪全球157多个国家/地区的威胁活动。 上一篇介绍了大致的威胁来源,本篇将针对威胁具体案例的分析结果进行解析,前序请见:【赛门铁克2019年互联网安全威胁报告】 本篇仍旧是从以下几个方面入手。 这些设备包括已破解或越狱的设备,以及很可能已被安装恶意软件的设备。 在2018年间,平均每天就能够拦截10573个恶意移动应用程序。 这些价格基本来自可公开访问的地下论坛和网络黑市Tor网站,其中封闭式私人论坛的价格可能会更低。 我们无法验证商品以及其价格的真实性,其中也包含虚假价格或商品的可能。 ? ? ?
提供包括云服务器,云数据库在内的90+款云计算产品。打造一站式的云产品试用服务,助力开发者和企业零门槛上云。
1110.jpg 爬虫对电商平台的威胁由来已久。电商行业中,商品、交易、会员等信息的价值极高,往往是黑产重点觊觎的目标。 数据迁移到腾讯公有云后,云集会重点关注以下几个方面: 安全产品自身稳定 安全产品需要不影响云集自身业务运行,做旁路镜像时又能及时拦截威胁; 灵活应对爬虫攻击 针对电商行业的爬虫往往变化多端,反复性强 定义的十大 Web安全威胁攻击。 30线BGP IP高速接入防护 支持防护节点30线独享 BGP IP链路接入,节点智能调度,有效解决访问延迟问题,保障1-18线城市用户的站点访问速度,实现对网站访问速度影响无感知的安全防护部署。 商业价值 腾讯云不仅让企业数据服务器和人工维护的成本大幅降低,Web应用防火墙还能一键接入防御,精准拦截 Web攻击,保证网站正常运行和信息数据安全。
企业组织通过部署腾讯云网站管家服务,将 Web 攻击威胁压力转移到腾讯云网站管家防护集群节点,分钟级获取腾讯 Web 业务防护能力,为组织网站及 Web 业务安全运营保驾护航。 点击进入腾讯云Web应用防火墙「网站管家」优惠地址》》 AI 引擎+威胁情报 独家基于 AI 引擎 WAF,融合腾讯亿级威胁情报,打造更聪明的威胁识别大脑,精准有效拦截 Web 威胁 业务风险防护 更有价值 安全威胁攻击。 30线 BGP IP 接入防护 腾讯云 WAF 独家支持防护节点30线独享 BGP IP 链路接入, 节点智能调度,有效解决访问延迟问题,保障1-18线城市用户的站点访问速度,实现对网站访问速度影响无感知的云 电商 O2O 站点 在高并发抢购及各类营销活动场景下,智能过滤恶意攻击及爬虫垃圾访问,保障业务访问流畅。
就算我们明确知道攻击源,要进行拦截也是有问题的,我们在服务器上部署了WAF,但前端服务还有CDN和LVS,可以在后端分析出威胁,但不能在这些设备上进行ip block阻断。 但就算WAF可以拦截一部分威胁,当小规模的机房和服务器还是有带宽上限的,一旦请深求拥堵带宽大于这个上限,还是一样无响应。 假设整个网络结点的抽象结构是下面这样: 机房网络设备-> 防火墙->CDN->WAF->WEB服务 1.什么做不到 1.1 不能在机房和CDN层面时行拦截 那机房网络设备、防火墙是没法干预的,拦截策略也是不知道的 就算我们自己从WEB服务中分析出异常的访问, 也没有办法在机房设备上拦截。 如果CDN提供商也不支持IP封禁接口,也不能在cdn上进行拦截。 2.1 做日志分析 Openresty落地的HTTP日志都是可以分析,如是不是通过大流量的网络聚合日志,一般的ELK对单个WEB日志的数据就可以分析,分析出威胁可疑的IP,发现其中的集团攻击行为,也可以与威胁情报库碰撞
面对“资产数量庞大难管理”这一难题,腾讯云防火墙可一键自动梳理公网资产、内网资产、数据库资产等云上资产和重要业务资源,实现智能分组管理并自动识别业务的端口暴露、漏洞暴露和Web组件暴露,同时借助小时级别的 对于“主动外联管控难精细”这一难题,借助10亿+域名信誉库、20亿+IP信誉库、90亿+DNS信誉库、100亿+全球文件样本库及18年+Who is信息,腾讯云防火墙可实现秒级别的云端威胁情报更新,并基于域名 目前已成功拦截利用Jenkins未授权访问漏洞针对云主机的攻击、利用Freakout僵尸网络控制智能设备针对云主机的攻击,成功阻断BuleHero挖矿蠕虫攻击,并隔绝了该攻击事件对客户IT资产造成的影响 、收敛暴露面、利用小时级别的虚拟补丁,实时拦截漏洞利用。 未来,腾讯云防火墙还将在集成腾讯云原生的全网威胁情报能力、基于攻击者视角的漏扫能力、恶意代码检测能力上不断更新迭代,运用腾讯团队20余年攻防实战经验和数千客户的最佳实践,为上云企业提供更具细粒度的安全技术
而层出不穷的DDoS、云出血、高级 Flash 漏洞等针对业务流程的自动化、复杂化攻击事件,使得Web应用面临着更为复杂、多变的安全威胁态势。 (腾讯云CLB-WAF架构) 作为腾讯云为客户提供一站式Web应用安全解决方案的最新架构,CLB-WAF能通过域名和负载均衡(监听器)集群的联动,借助旁路威胁检测和清洗,进行威胁拦截或放行,实现业务转发和安全防护分离 搭载的AI引擎能够通过智能加码和多种深度学习模式及算法策略的应用,有效识别和检测异常威胁;并能结合IP威胁情报数据,有效检测和拦截Web攻击行为; 三是囊括基础防护和高级对抗的BOT行为管理。 在CC防护和黑白名单判定中应用了腾讯自有的威胁情报服务,能通过AI学习平台定期输出威胁情报源到内部平台,有效减低使用门槛,提升CC防御效果。一键联动腾讯云高防,构建完整网站DDOS攻击防护方案。 腾讯云发布《2019年DDoS威胁报告》,黑客攻击依然硬核、游戏行业最受伤…… 年关将至,看腾讯安全重保如何排兵布阵 购物节火热大促,零售电商如何做好安全防护?
这些欺骗点能够在客户有需要时立即生效,锁定攻击者并持续跟进,获得有价值的威胁情报,随后该工具独自展开追踪行动或与Splunk这样的SIEM联动,将其从受保护的网络中删除。 详情戳这里。 2. 该WAF的功能类似于反向代理,位于数据通路的前端,能够拦截所有流量,检查该流量是否受到攻击,防止恶意流量进入服务器。无论是出站还是入站流量,只有符合安全策略,才能正常通过。 详情戳这里。 4. 对网络中的每一个进程、应用程序、用户与服务,以及他们的权限、交互方式进行授权,并且拦截所有授权之外的行为。 Lacework能够顺利地帮我们处理所有疑难杂症,消除误报,为负责保护云安全的IT团队输出实时的可操作的威胁情报。 详情戳这里。 14. 传统的杀毒软件会拦截一些最为常见的威胁,而Minerva的作用是拦截一切试图绕过这些保护程序的安全威胁。 详情戳这里。 15.
通过动态防护技术,前期自动化工具均被及时有效地拦截;黑产被迫重新编写自动化脚本尝试突破。 结合AI智能规则匹配及行为分析技术,形成“动态安全”+“AI智能威胁检测”双引擎协同工作机制,根据威胁态势对各类网站应用及业务交易的全过程进行动态感知、分析与预测。 传统防护技术就是对所有访客进行特征识别,只有对匹配到已知威胁特征的人,才会进行拦截或者告警;因此,许多伪装成正常人的高端黑客便得以乘虚而入。 动态安全则不然,它更像是在房子前面部署了一个安检设备,在访客真正进入房门前便提前进行检查,而且动态安全并不被某些固定的威胁特征所束缚,只要访客携带“武器“,也就是“工具”,就可以对其进行及时识别和拦截, 、智能人机识别、智能威胁检测、全息设备指纹等的AI技术。
凭借云原生能力接入、大数据分析及人工智能等技术支撑的天然基因,云WAF市场超越传统硬件WAF市场,跃居该领域首位。 其中,垂直企业因Web应用层业务功能和页面交互带来的更多攻击威胁,对云WAF安全防护有着更为丰富的定制化部署和场景应用需求。 凭借腾讯在数据处理、黑产对抗方面积累的近20年经验,依托安全大数据威胁情报平台,腾讯云WAF能够通过贯穿核心、接入和拓展功能层的产品架构,以三大创新能力为支撑,帮助企业高效应对各类 Web 业务安全防护问题 ,帮助企业解决业务连续性与安全对抗之间的矛盾;其次,通过集中式AI引擎构建基础安全能力运营体系,利用威胁情报和定制深度学习引擎,帮助客户实现安全自主管理,提升安全运营效率和实时对抗能力;此外,结合BOT 行为管理+天御业务风控能力提供完整反爬防刷解决方案,有效识别、拦截恶意流量的同时,嫁接天御风控应对交易异常行为威胁,达到一次性解决企业网站业务安全问题的目的。
图片1.png 腾讯云基础安全产品负责人周荃受邀出席分论坛,发表题为《如何实现云环境下的流量可信、可控、可溯源》的主题演讲,解读腾讯云防火墙的核心能力与用户价值,分享基于云防火墙打造云原生安全体系的最佳实践 腾讯云防火墙是腾讯云原生的新一代防火墙产品,与腾讯云网络架构和IT架构强关联,是用户业务上云的第一个网络安全基础设施:支持云环境下的SaaS化一键部署,为企业用户提供互联网边界、NAT边界,VPC 边界的网络访问控制;同时集成全网威胁情报 而腾讯云防火墙恰好能够为用户提供入侵防护、威胁实时测、威胁向移动防护等基于云环境开发的云原生安全防护功能,为企业打造上云的第一道安全防线。 现场周荃结合为腾讯云客户提供云端基础安全防护的实践,分享了腾讯云防火墙的四大核心价值:构建云环境下的DMZ区部署、基于攻击视角的威胁情报能力、集“事前检测-事中拦截-事后追溯”于一身的高级威胁防护能力, 区别云平台自带的安全组,腾讯云防火墙能为上云企业提供包括基于SaaS的互联网资产梳理、集成IPS智能入侵防御系统拦截网络攻击、威胁情报联动与主动外联控制、安全日志审计满足等保合规等多元化功能,一站式解决企业上云后的基础网络安全问题
当Openresty的拦截分析功能,发现用户的请求含有威胁的意图时,直接将用户的请求进行了拦截。这时的请求,实际上不会被发送给业务服务器。 现在还有一种基于日志分析的WEB防护系统,这种系统依赖与日志的产生,在请求交给业务服务器,产生日志以后,对日志进行分析,当发现有异常攻击行为在请求当中,会从下次请求的时进行拦截。 这种模式,最大限度减少代理服务器对业务服务器的响应损耗,某些业务对应影响业务所消耗的时间严格的限制,并且对已上线的业务来说,压测准确率不能交十分好的把握,如果处理不好,出现正则风暴的可能性也都是有的,同样的问题是拦截相对第一时间拦截响应的模式 WAF系统的拦截规则不是万能的,即使是同样的异常拦截规则,也不是可以简单的移植到别的系统上的。一种是规则解释模块的功能问题,还有性能问题,核心的引擎平台怎么样。 对于反爬系统来说,滞后的发现多次的数据爬取是可以理解的,用于精准的威胁攻击请求,可能访问请求,在产生访问日志之前的阶段就产生了效果,可能就完成了攻击或是探测,发现了威胁漏洞点。
实际上,传统 WAF 的威胁检测判定的防护方式在面对黑客复杂 Web 攻击及 0day 威胁频发的形势下,越发显得捉襟见肘,已经无法有效检测并拦截攻击。 亟需变革的 Web 攻击检测技术 要保障 WAF 有效拦截黑客入侵,关键在于 Web 攻击检测的有效性。 如果能将“被动应对”变为“主动进化”,WAF 的防护能力可以进一步得到提升: 获取威胁自学习能力:基于规则 WAF的检测能力通过安全专家编写,检测能力局限在安全专家维护的规则能力上,不能通过获取的威胁样本和攻击手法自行学习和训练 ; 获取防护自进化能力:传统 WAF 在部分威胁响应上,只能采用人工添加黑白名单对 WAF 进行防护策略调整,而实际防护能力并未实际提升,缺乏防护自进化能力,本质上无法有效解决对未知威胁检测问题; 获取业务自适应能力 然而“异常流量大部分并不是威胁”,将“异常流量”全部识别成攻击拦截是不可行的,会有大量的“误判”带来的误报; AI 检测处理时间带来的“延迟”问题: 机器学习需要相对较长的处理时间,如相对复杂的算法理论上可以实现更加精准的识别
火绒安全根据对2021年全网威胁的研究分析和服务用户时处置的安全事件,结合“火绒威胁情报系统”、“火绒在线支持和响应中心”等平台产生的真实数据,重磅发布《火绒安全2021终端安全情报年鉴》(以下简称“年鉴 ”),分别从终端“威胁与攻击趋势”、“火绒安全响应服务”、“火绒防护体系”三个方面阐述2021终端安全面临的威胁,以及相应的解决方案。 1.png 上升 全网终端遭遇攻击24亿次 根据“火绒威胁情报系统”监测和评估,2021年火绒安全拦截终端遭遇的攻击高达24亿次。 2.jpg 3.jpg 新增 截获病毒新增样本超千万 新增样本的数量与增长趋势显示黑客攻击的强烈程度,能够更真实的反映全网的安全状况。 7.jpg 侵扰 拦截弹窗广告45亿次 2021年中,火绒安全共拦截(不含用户手动拦截)45亿次拦截弹窗。
随着威胁情报的广泛应用,如何让威胁情报在不同产品中发挥出最优价值也成为了一个值得探索的问题。 除了基础阻断能力以外,有很多信息是可以利用的,比如危险等级可以结合WAF的策略进行分级的拦截与告警。由于入站情报的实时性要求比较高,所以每天会对全量数据进行回扫。 场景五:威胁分析 很多时候客户会问WAF厂商,为什么把这个IP给拦了?或许是因为WAF给的那些证据不够多,有可能这些证据是不足以让客户理解和信服,威胁情报可以在这上面给出更多的举证信息。 微信图片_20210701113531.png 同时业内常见的是帮助用户建设整体威胁情报能力,赋能整网,提升安全水位的情报订阅服务,与帮助定位威胁的高级威胁追溯系统等等。 威胁情报作为安全的核心能力,与实际场景的结合与价值挖掘,将是提升安全能力的一大利器。
image.png 腾讯云上月发布了全新 AI 引擎的网站管家(WAF),宣传点是AI引擎,“采用自研基于概率图的威胁AI技术”,“借助腾讯平台海量威胁攻击及正常访问的数据训练”“提升威胁AI识别能力” image.png 最后这是国内第一款融合了定制威胁检测模型机器学习的WAF产品,这符合用户对“更智能”的WAF的需求——如前文所述,较高的维护管理成本是传统WAF越来越不受待见的一大原因。 1.初步设置及攻击日志 在已经添加好的域名中进行防护配置,基础设置选项并不多,主要包括 WAF防护状态的开关,包括规则使用模式的“观察”和“拦截”模式——基于规则的流量检测与拦截,是传统WAF项目。 腾讯云网站管家WAF的BOT行为管理的设置页面可以看到腾讯云网站管家已知BOT类型的罗列,及其控制——可设定仅监控或拦截。 比如针对漏洞扫描器,可设置拦截(但不能针对不同的漏洞扫描器分别设置拦截)。 这的确提升了识别和响应Web应用威胁的能力,但在精度上仍然是有问题的,尤其表现在误报率上,它可能会阻止非恶意流量——AL无法适应常规应用的各种变化。
WebIDS:也是专注于Web应用安全的检测产品,相比于WAF,WebIDS不具备拦截功能,市场上玩家厂商较少,从笔者的使用效果来看,WebIDS在Web攻击的HTTP请求包、返回包的展示方面比较直观, 威胁情报检测:相比于传统的IDS产品,最初主要由某几个威胁情报厂商在推动,依托于强大的云端威胁情报库和情报产生能力,在检测产品中增加了基于恶意域名、恶意IP地址、恶意文件等IOC(情报指标)检测方法,并能提供一些溯源能力 APT检测:相比于传统的IDS、WAF等设备,APT检测一般会是各类检测能力的集大成,比如基于特征的检测、基于异常的检测、沙箱检测、Web攻击检测、威胁情报检测、上下文关联分析、攻击回溯等。 但是,检测能力相对于其他类产品也是有一定的提升。在这顺便提两点:一是,传统的IDS产品也在集成威胁情报库。 (六)异构部署的问题 在网络安全检测实践中,往往存在一种思路就是异构部署的问题,主要思考就是防止单个设备检测能力失效而导致威胁漏报。
与传统意义上的被动防御不同,瑞数不仅利用威胁情报,更是通过“动态安全”的主动防御理念跟攻击者玩起了非同寻常的套路。 除此之外,瑞数的安全理念,已经逐渐摒弃了单一维度的行为判断即决定“非黑即白”的做法,而是增加了采用建立“威胁信誉”的方式,每一次访问行为的威胁识别和判定,都会对威胁值有影响,通过多维多次的评分,动态建立起的威胁值 在这种机制下,充分运用大数据分析和机器学习,可以让动态安全的拦截更加智能化,尽可能减少误报、误拦截。 也就是说,瑞数的技术可以将传统的风控前移到网站入口,在对客户端进行精准采集的同时,生成客户端指纹,实现对客户端访问的机器学习,在攻击威胁到达交易系统之前就进行精准的识别;随后再与风控部门联动,迅速拦截攻击 最终,瑞数Botgate动态应用保护系统将与动态威胁透视技术协同工作,通过大数据对所有的前端行为进行聚类分析,以机器学习来透视行为风险,能够成倍提升安全价值,提前精准识别模拟业务操作的工具行为,再结合风控进行拦截
腾讯云 Web 应用防火墙(WAF)帮助腾讯云内及云外用户应对 Web 攻击、入侵等网站及 Web 业务安全防护问题。企业组织将 Web 攻击威胁压力转移到腾讯云网站管家防护集群节点,分钟级获取腾讯 Web 业务防护能力,为组织网站及 Web 业务安全运营保驾护航……
扫码关注云+社区
领取腾讯云代金券
云服务器
测试服务 WeTest
文件存储
云数据库 MongoDB
SSL 证书