如今的网络上充斥着各种各样的免费黑客工具包。其数量之多,范围之广,可谓琳琅满目,数不胜数。这些免费或者付费的自动化工具的出现几乎消除了进入“黑客世界”的门槛。恶意用户不再需要分析代码、编写脚本、或者进行复杂的逆向编译。只要能找到合适的工具,就能够轻松地达到自己的目的。
1、自动扫描漏洞和入侵
自动扫描工具可以让一个普通人仅仅通过点击几次鼠标就能轻松发现网站的漏洞。有的工具包甚至还提供相应的攻击代码。一旦被这些工具找到漏洞并入侵,攻击者就可以找到后台管理员账号和密码,对数据库等敏感区域进行窃取或篡改,从而获取利益,例如篡改金融企业数据库并冒充用户进行资金转移或消费等非法活动。
2、撞库盗用账号
撞库是指攻击者通过自动化工具反复尝试登陆网站的行为。他们通常采用自己收集到的或者非法购买到的大量有效用户名和密码(术语称“社工库”)作为“箭库”以自动化工具作为“发射器”不断进行登陆尝试。
3、业务自动化攻击
业务自动化攻击是指利用自动化工具实施非正常手段来完成线上抢购、套现、滥发评论及爬取数据等恶意行为,从而获取经济利益的行为。
4、自动化高级DDoS攻击
自动化高级DDoS攻击:是指通过人工或自动化工具利用业务逻辑漏洞,向服务器发起违规操作、越权访问、霸占库存、虚假定位及业务层DDoS等绕过或干扰正常业务运作的恶意操作行为。
爱加密动态应用防护系统,以动态防护理念为指导思想,采用“4D动态技术”,即动态变幻(Dynamic Morphism)、动态感知(Dynamic Awareness)、动态智能(Dynamic Intelligence)、以及动态响应(Dynamic Response),彻底扭转了传统安全领域“被动挨打”的局面。
增加应用行为的“不可预测性”,隐藏安全漏洞
结合外部威胁情报形成动态安全智能,精准预测攻击者行为,形成多方联合防护体系
Dynamic Morphism
Dynamic Awareness
Dynamic Intelligence
Dynamic Response
动态感知应用业务逻辑与终端威胁态势,全称保护操作安全
根据攻击态势动态调整防御及响应手段,迷惑攻击者
“4D动态技术”通过对数据的动态变幻,隐藏了可能存在的安全漏洞,并具有动态感知能力,判断终端操作的合法性。再加上动态智能技术基于外部威胁情报精确预测攻击行为,结合动态响应机制实时调整防御手段,让攻击者如堕入“云里雾里”,难以实施攻击计划。
“4D动态技术”的实现源自于四大创新技术:动态封装、动态验证、动态混淆和动态令牌。这些技术的应用可以有效的对抗包括自动化攻击和交易欺诈等在内的各种恶意行为。
爱加密动态应用防护系统能够通过这些先进的“技术装备”为网络应用提供三大类、九大安全功能点。
1、业务风险防范
防止用户利用跨站请求伪造进行攻击通过自动化工具进行恶意抢购、虚假交易、以及滥发评论等恶意行为。
防止通过跨站脚本、中间人或网页木马窃取用户信息,以及防止分散式密码猜测、账号盗用、越权访问等恶意行为。
阻止对正常应用逻辑的滥用,即通过程序和工具化的方式,实施恶意注册访问和业务操作的行为,例如撞库、抢票、薅羊毛、刷单等,从而弥补传统安全手段难以识别的缺陷。
2、应用威胁防护
采用网页代码的动态封装等技术,隐藏应用的攻击入口,让试图探测和扫描漏洞的攻击者无法找到应用系统漏洞,将入侵和攻击的扼杀在摇篮中,从而在已知以及未知漏洞前方建立了一层屏障。
防止攻击者利用已知或未知的应用漏洞发起非法请求,并抵御越权访问、网页后门、网页篡改、重放攻击、业务层DDoS等各类自动化恶意攻击行为。
防止攻击者通过SQL或命令注入等攻击行为窃取资料库内的敏感数据,有效拦阻攻击者通过爬虫爬取网页内容还原关键敏感数据。
3、行为取证分析
在紧急安全事件发生时,通过对客户端指纹数据的记录和分析,在各类隐蔽性和伪装性攻击行为中,快速准确地定位攻击来源。例如通过快速且大量更换IP地址实施的多点攻击。
细粒度的攻击手法分析和路径分析可以有效刻画攻击者画像,准确追踪及还原攻击,作为审计取证的重要手段。
深度行为分析数据结合实时威胁情报,可以更加主动地感知安全威胁,特别对新兴的安全威胁尤为敏感。能够在终端设备、业务应用、内容等受到威胁时进行报警与拦截,充分实现主动防御。