WAAR報(bào)告顯示，網(wǎng)絡(luò)應(yīng)用中的業(yè)務(wù)邏輯層正遭受到攻擊。作為Imperva黑客情報(bào)計(jì)劃的一部分，WAAR對(duì)2011年6月至11月這6個(gè)月期間現(xiàn)實(shí)的惡意網(wǎng)絡(luò)應(yīng)用程序攻擊提供解決對(duì)策。而黑客情報(bào)匯總報(bào)告則揭示了一個(gè)由黑客組織“匿名者”發(fā)起的攻擊的主要細(xì)節(jié)。

　　數(shù)以千計(jì)世界領(lǐng)先的企業(yè)、政府組織和服務(wù)提供商都依賴于 Imperva 解決方案來(lái)防止數(shù)據(jù)泄漏、符合合規(guī)性要求以及管理數(shù)據(jù)風(fēng)險(xiǎn)。Imperva首席技術(shù)官Amichai Shulman說(shuō)道：“我們相信，這些分析報(bào)告的發(fā)布將幫助組織機(jī)構(gòu)做好應(yīng)對(duì)潛在攻擊的準(zhǔn)備，并讓更大的安全社區(qū)對(duì)黑客操作方式有更深入的了解。”

　　Imperva 網(wǎng)絡(luò)應(yīng)用攻擊報(bào)告(WAAR)

　　Imperva對(duì)40多種不同的應(yīng)用程序攻擊進(jìn)行了監(jiān)測(cè)并分類。WAAR概括了每個(gè)攻擊的頻率、類型及來(lái)源，以此幫助數(shù)據(jù)安全專業(yè)人員更好地按照優(yōu)先次序修復(fù)漏洞。

　　“由于黑客可以通過(guò)合法的途徑跟蹤用戶與應(yīng)用程序的交互，因此業(yè)務(wù)邏輯層的攻擊對(duì)于黑客具有非常大的吸引力，”Imperva首席技術(shù)官Amichai Shulman說(shuō)道，“要做到這一點(diǎn)，需理解具體操作順序?qū)��?yīng)用程序功能的影響是如何實(shí)現(xiàn)的。”因此，黑客可以利用應(yīng)用程序截獲私人信息，進(jìn)行扭曲，并外泄給其他更多的用戶 —— 這些行為通常不受安全控制。”

　　Imperva 發(fā)布的最新網(wǎng)絡(luò)應(yīng)用攻擊報(bào)告一并指出：

　　•自動(dòng)化應(yīng)用攻擊正在繼續(xù)。在2011年6月至11月的六個(gè)月期間，被監(jiān)測(cè)的網(wǎng)絡(luò)應(yīng)用程序每月遭受到130,000到385,000次攻擊。高峰時(shí)，整套應(yīng)用程序系統(tǒng)受攻擊的頻率高達(dá)一小時(shí)近38,000次或每秒10次。

　　•由于黑客有能力逃避監(jiān)測(cè)，他們依賴于業(yè)務(wù)邏輯攻擊： Imperva也研究了兩類業(yè)務(wù)邏輯攻擊： 評(píng)論垃圾廣告和電子郵件提取。評(píng)論垃圾廣告是指在評(píng)論欄里嵌入惡意鏈接來(lái)改變搜索引擎結(jié)果，潛在詐騙消費(fèi)者。電子郵件提取是指對(duì)電子郵件地址進(jìn)行簡(jiǎn)單分類，建立垃圾郵件發(fā)送列表。據(jù)統(tǒng)計(jì)，這些業(yè)務(wù)邏輯攻擊在惡意攻擊流量中占14%。

　　•業(yè)務(wù)邏輯攻擊的來(lái)源是：

　　☆電子郵件提取被非洲國(guó)家的主機(jī)所控制。

　　☆評(píng)論垃圾廣告中的不尋常部分經(jīng)監(jiān)測(cè)是來(lái)自東歐國(guó)家。

　　•黑客利用5種常見的應(yīng)用程序漏洞：這五種常見的應(yīng)用程序漏洞是：遠(yuǎn)程文件包含(簡(jiǎn)稱RFI)、SQL注入(簡(jiǎn)稱SQLi)、本地文件包含(簡(jiǎn)稱LFI)、跨站腳本攻擊(簡(jiǎn)稱XSS)和目錄遍歷漏洞(簡(jiǎn)稱DT)�？缯灸_本攻擊和目錄遍歷漏洞是最普遍的傳統(tǒng)攻擊形式。為什么要針對(duì)這些漏洞？黑客喜歡阻力最小的路徑，而應(yīng)用程序漏洞則提供了最豐富的目標(biāo)。

　　這份報(bào)告中描述的很多攻擊都不難被緩解。然而，我們的確發(fā)現(xiàn)網(wǎng)絡(luò)應(yīng)用程序面臨的攻擊變得更加多樣化、技術(shù)上更加復(fù)雜、更難監(jiān)測(cè)和阻止。顯然，安全應(yīng)對(duì)措施必須繼續(xù)保護(hù)業(yè)務(wù)和其用戶不被傷害、不受到損失。正確的減緩步驟有哪些呢？我們嘗試創(chuàng)造一個(gè)完整的列表來(lái)幫助數(shù)據(jù)安全團(tuán)隊(duì)提高他們的效率。

　　Imperva在2011年度報(bào)告中提到的幾點(diǎn)建議仍然有效：

　　☆部署安全解決方案，監(jiān)測(cè)自動(dòng)化攻擊。監(jiān)測(cè)必須在攻擊過(guò)程中盡早實(shí)行。

　　☆監(jiān)測(cè)和阻止已知的漏洞攻擊。應(yīng)用程序中可利用漏洞的知識(shí)庫(kù)必須經(jīng)常更新。

　　☆獲得惡意來(lái)源的情報(bào)并即時(shí)應(yīng)用。列出攻擊主機(jī)的黑名單始終是一個(gè)很有效的防范措施。然而，這個(gè)名單必須實(shí)時(shí)更新、保持其實(shí)效性。

　　☆參與安全論壇，分享攻擊的數(shù)據(jù)庫(kù)。自動(dòng)化攻擊程度和范圍的加劇在網(wǎng)絡(luò)上留有明顯的痕跡，但此痕跡僅能從大量潛在受害者處收集的數(shù)據(jù)中看出。

　　☆獲取業(yè)務(wù)邏輯攻擊來(lái)源的情報(bào)并即時(shí)應(yīng)用。例如，評(píng)論垃圾廣告在被公然揭露后還可以活躍很久。情報(bào)的重點(diǎn)必須在于每一種攻擊的形式，因?yàn)檎�如我們所看到的，使用評(píng)論垃圾廣告和電子郵件提取的攻擊者展現(xiàn)出不同的屬性。

　　☆攻擊流量的地理信息對(duì)即時(shí)做出數(shù)據(jù)安全對(duì)策有所幫助。例如，經(jīng)分析的業(yè)務(wù)邏輯攻擊擁有獨(dú)特的地理特征。

　　攻擊者對(duì)自動(dòng)化攻擊依賴性的不斷增強(qiáng)和自動(dòng)化工具產(chǎn)生的大量惡意流量表明，監(jiān)測(cè)這些工具迅速、精確、自動(dòng)產(chǎn)生的攻擊是至關(guān)重要的。作為一個(gè)常用的方針，流量屬性和網(wǎng)絡(luò)客戶端必須不斷被檢查和監(jiān)測(cè)。如果與正常流量屬性有所偏差，則應(yīng)該受到專業(yè)軟件和專業(yè)人員的嚴(yán)密監(jiān)測(cè)。

　　監(jiān)測(cè)和防御自動(dòng)化攻擊包括：

　　•信譽(yù)機(jī)制的監(jiān)測(cè)：獲得并使用被攻擊者雇傭的主機(jī)黑名單。

　　•高點(diǎn)擊率：流量整形是自動(dòng)化攻擊最基本的指示。一旦超過(guò)與其相關(guān)的臨界值(例如，每分鐘點(diǎn)擊3次)，應(yīng)用程序就應(yīng)該延遲或阻止與網(wǎng)絡(luò)客戶端信息交換。

　　•輸入流量的技術(shù)屬性：軟件工具產(chǎn)生的流量通常具有技術(shù)特征(例如特定的HTTP頭)，不同于一般瀏覽器所產(chǎn)生的流量。如果這不是預(yù)期的使用場(chǎng)景，阻止該流量。

　　•商業(yè)行為的重復(fù)：例如，多次登陸失敗表明密碼受到惡意攻擊。當(dāng)然，你的安全裝置必須能夠識(shí)別出這些“差異或者異常的表現(xiàn)”。

　　•質(zhì)疑應(yīng)用程序的網(wǎng)絡(luò)客戶端：測(cè)試你的應(yīng)用程序是否真的與瀏覽器進(jìn)行交互。例如，“虛假”瀏覽器沒有對(duì)Java語(yǔ)言的執(zhí)行能力。該應(yīng)用流需包含發(fā)送Java語(yǔ)言代碼給客戶并核查其是否真的被執(zhí)行。

　　•檢測(cè)確有真人在操作：通過(guò)CAPTCHA(全自動(dòng)區(qū)分計(jì)算機(jī)和人類的圖靈測(cè)試)檢測(cè)終端用戶是真人。

　　黑客情報(bào)匯總報(bào)告

　　2011年期間，Imperva見證了一次由黑客組織“匿名者”發(fā)起、持續(xù)25天的攻擊。黑客情報(bào)匯總報(bào)告——“匿名者”攻擊報(bào)告對(duì)此提供了一個(gè)全面的攻擊分析，包括從始至終攻擊活動(dòng)的詳細(xì)時(shí)間表、黑客破壞方法的審查以及對(duì)使用社會(huì)媒體征集參與者、協(xié)調(diào)攻擊的見解。

　　“我們的研究表明匿名者通常模仿盈利性黑客使用的方法，利用常見的方式——SQL注入和DDoS(分布式拒絕服務(wù)攻擊)來(lái)進(jìn)行攻擊。我們發(fā)現(xiàn)匿名者雖然發(fā)明了一些定制工具，但與開發(fā)復(fù)雜攻擊不同的是，他們通常使用一些廉價(jià)現(xiàn)成的工具，”Imperva首席技術(shù)官Amichai Shulman說(shuō)道：“我們的研究進(jìn)一步表明匿名者第一步先嘗試竊取數(shù)據(jù)，如果失敗，會(huì)嘗試DDoS攻擊。”

　　“匿名者”攻擊報(bào)告指出：

　　•該攻擊由三個(gè)不同的階段組成：征集和通信、偵查和應(yīng)用層攻擊，最后是DDos攻擊。

　　•社會(huì)媒體渠道，尤其是Twitter、Facebook和YouTube是確認(rèn)目標(biāo)、發(fā)動(dòng)攻擊最主要的方法。在攻擊第一階段征集和通信的過(guò)程中，社會(huì)媒體也是最常用的方式招募自愿者加入攻擊行列。

　　•富有經(jīng)驗(yàn)的黑客只占自愿者的一小部分，他們主要活躍在偵查和應(yīng)用攻擊階段，探測(cè)漏洞，進(jìn)行應(yīng)用攻擊，例如通過(guò)SQL注入嘗試竊取目標(biāo)數(shù)據(jù)。

　　•非專業(yè)人員僅在第三階段產(chǎn)生作用——幫助開展DDoS攻擊——由于嘗試偷竊數(shù)據(jù)的應(yīng)用攻擊失敗。

　　•匿名者開發(fā)了一些定制工具——特別是低軌道離子炮(LOIC)和一種能從移動(dòng)瀏覽器啟動(dòng)DDoS攻擊的工具。然而，該組織也在偵查和應(yīng)用攻擊階段依靠常見的工具來(lái)尋找和開發(fā)網(wǎng)絡(luò)應(yīng)用漏洞。

　　•與盈利性黑客不同，匿名者很少依靠常見的黑客技術(shù)，例如僵尸網(wǎng)絡(luò)、惡意軟件、網(wǎng)絡(luò)釣魚或魚叉式網(wǎng)絡(luò)釣魚。