摘要:移動互聯(lián)網(wǎng)已經(jīng)成為企業(yè)快速發(fā)展的重要渠道,但同時也給黑灰產(chǎn)業(yè)帶來了可乘之機(jī)。依靠龐大的IPv6地址庫和海量的設(shè)備資源,黑灰產(chǎn)業(yè)鏈變得越發(fā)成熟,對相關(guān)企業(yè)造成巨大的經(jīng)濟(jì)和名譽(yù)損失。安徽移動在長期配合“斷卡”行動過程中深刻認(rèn)識到,構(gòu)建基于IPv6環(huán)境下的移動APP動態(tài)防護(hù)能力是成功對抗灰黑產(chǎn)的關(guān)鍵措施。通過創(chuàng)新的動態(tài)技術(shù),可以增加入侵違規(guī)的門檻,防止黑灰產(chǎn)的破壞。同時,利用大數(shù)據(jù)分析快速發(fā)現(xiàn)用戶違規(guī)行為和“薅羊毛”等異常行為,及時消除潛在問題。這樣,企業(yè)就能將問題消滅在萌芽中,并減少經(jīng)濟(jì)和聲譽(yù)的損失。
關(guān)鍵詞:移動安全;自動化攻擊;動態(tài)安全
一、應(yīng)用需求
隨著移動互聯(lián)網(wǎng)的高度發(fā)展和普及,越來越多的企業(yè)將業(yè)務(wù)從PC端遷移到移動端。但也面臨著更復(fù)雜和多元化的網(wǎng)絡(luò)安全問題。企業(yè)不僅需要關(guān)注移動端和服務(wù)器端的應(yīng)用安全,還需要保護(hù)業(yè)務(wù)和數(shù)據(jù)不受非法訪問,以及通過技術(shù)和運(yùn)營手段避免各種不良影響。尤其是在IPv6的網(wǎng)絡(luò)環(huán)境下,攻擊者可以利用加密環(huán)境、大量IP資源和變換攻擊方式等方式繞過系統(tǒng)的防護(hù),增加了防護(hù)的難度。當(dāng)前移動應(yīng)用業(yè)務(wù)面臨的威脅包括傳統(tǒng)的漏洞掃描、注入攻擊、跨站腳本,以及APP客戶端逆向和調(diào)試等問題。此外,還存在非法第三方APP請求、中間人攻擊、API接口濫用、密碼破解、批量注冊、虛假交易、爬蟲,以及利用外掛程序或群控設(shè)備進(jìn)行欺詐等業(yè)務(wù)安全隱患。
移動設(shè)備的風(fēng)險越發(fā)嚴(yán)峻。根據(jù)數(shù)據(jù)顯示,2021年共發(fā)現(xiàn)了17.59萬款黑灰產(chǎn)定制型工具,其中手機(jī)端工具占比56.5%,達(dá)到9.93萬款,未來還有上升的趨勢。攻擊源主要集中在移動業(yè)務(wù)中,特別是以IPv6地址為主,因此需要增強(qiáng)對IPv6地址攻擊的檢測和對抗能力。
在2021年監(jiān)控到的黑灰產(chǎn)定制型工具的攻擊場景中,賬號安全占比51.48%,營銷作弊占比21.7%,這兩項合計超過70%。這對企業(yè)的經(jīng)濟(jì)和聲譽(yù)造成了巨大的影響,因此賬號安全和營銷安全的保護(hù)不容忽視。此外,還需要關(guān)注虛擬定位攻擊的識別和防護(hù)需求。核心業(yè)務(wù)中常常存在區(qū)域限制,例如開卡業(yè)務(wù)或其他推廣業(yè)務(wù)。黑灰產(chǎn)業(yè)鏈通過推出虛擬定位工具,通過修改定位信息來進(jìn)行業(yè)務(wù)攻擊。這種風(fēng)險在App業(yè)務(wù)中也很常見,因此需要加強(qiáng)對虛擬定位攻擊的識別和防護(hù)措施。
二、APP動態(tài)安全防護(hù)解決方案
(一)方案架構(gòu)
APP動態(tài)防護(hù)全面支持IPv4和IPv6網(wǎng)絡(luò)環(huán)境,適用于各種類型的APP,包括Hybrid APP、Native APP和Hybrid Web。它采用端、管、云一體化的動態(tài)安全防護(hù)體系,為移動業(yè)務(wù)提供創(chuàng)新的安全解決方案。在APP客戶端方面,通過SDK實現(xiàn)了APP完整性檢查,并為每個終端生成唯一的設(shè)備指紋。借助動態(tài)驗證和動態(tài)令牌技術(shù),實現(xiàn)了人機(jī)識別和安全通信,確保與服務(wù)器端的數(shù)據(jù)安全交互。這包括移動端采集數(shù)據(jù)與服務(wù)器端策略數(shù)據(jù)的安全交互。在傳輸過程中,雙向認(rèn)證可以實現(xiàn)客戶端與服務(wù)器之間的安全通信,并基于動態(tài)混淆和動態(tài)封裝技術(shù)實現(xiàn)雙向數(shù)據(jù)加密。通過建立可信的客戶端和可信通信管道,確保了云端服務(wù)器的安全。同時,采用智能WAF和Bot防護(hù)技術(shù),能夠檢測和防護(hù)已知和未知的攻擊。云端集成了SDK采集的各種類型數(shù)據(jù),并形成格式化的數(shù)據(jù)。這些數(shù)據(jù)作為業(yè)務(wù)威脅分析模型的數(shù)據(jù)源,包括但不限于惡意訂購模型、撞庫模型、異常開卡模型和機(jī)器注冊模型等。分析模型生成與業(yè)務(wù)真實環(huán)境相關(guān)的風(fēng)險數(shù)據(jù),例如異常IP、指紋和賬號信息,作為與黑產(chǎn)對抗的依據(jù)。
(二)設(shè)計思路
雖然IPv6在增強(qiáng)網(wǎng)絡(luò)的安全性方面起到了一定作用,但它并不能解決移動終端和應(yīng)用層面上的漏洞和攻擊問題。盡管IPv6提供了海量的地址資源,并且地址復(fù)雜性增加了安全策略制定和網(wǎng)絡(luò)安全監(jiān)管的挑戰(zhàn),但這也使得防守方更加被動。
本方案以“動態(tài)安全”技術(shù)為核心,通過對APP服務(wù)器響應(yīng)數(shù)據(jù)及APP請求內(nèi)容的持續(xù)動態(tài)變換,實現(xiàn)面向H5頁面和APP的主動防御。該方案能夠有效甄別各類已知及未知自動化攻擊,防止非法客戶端和仿冒正常請求,為各類APP、H5及混合業(yè)務(wù)提供強(qiáng)大的安全防護(hù)能力,從而保障用戶數(shù)據(jù)安全、防止黑產(chǎn)對線上業(yè)務(wù)造成破壞與交易欺詐,并確保業(yè)務(wù)的穩(wěn)定運(yùn)行。該方案是APP端到端防護(hù)系統(tǒng),全面覆蓋了對客戶端、數(shù)據(jù)傳輸和服務(wù)器端的威脅防控。通過動態(tài)變換APP服務(wù)器響應(yīng)數(shù)據(jù)和APP請求內(nèi)容,該方案能夠有效解決移動應(yīng)用面臨的各類應(yīng)用及業(yè)務(wù)安全威脅,實現(xiàn)了端到端全流程一體化的防護(hù)。
①異常終端識別:SDK實現(xiàn)前置風(fēng)險采集,結(jié)合服務(wù)器端異常分析模型有效識別風(fēng)險設(shè)備。
②異常賬號識別:SDK采集賬號信息,結(jié)合賬號業(yè)務(wù)請求記錄與終端風(fēng)險判斷賬號是否異常。
③異常業(yè)務(wù)行為識別:通過采集業(yè)務(wù)關(guān)鍵數(shù)據(jù),進(jìn)行會話聚合分析,識別異常業(yè)務(wù)辦理行為。
④異常情報輸出:基于模型識別出來的異常賬號、異常終端設(shè)備指紋與風(fēng)險IP可輸出給業(yè)務(wù)系統(tǒng)或第三方平臺。
(三)業(yè)務(wù)流程
通過模型技術(shù)與AI技術(shù)對SDK采集數(shù)據(jù)與流量數(shù)據(jù)進(jìn)行深入分析,其中模型技術(shù)涵蓋OWASP 21種業(yè)務(wù)威脅模型,可透視實體行為與風(fēng)險。
采用SDK數(shù)據(jù)采集技術(shù),生成唯一不變的設(shè)備指紋,基于這種前置技術(shù)實現(xiàn)終端設(shè)備的風(fēng)險感知,采集的數(shù)據(jù)經(jīng)過服務(wù)端模型與AI分析后,前置策略,由SDK執(zhí)行。
三、方案能力及創(chuàng)新點
(一)方案能力
1.防范APP終端安全風(fēng)險
防止非法APP終端訪問:防止攻擊者通過APP非法終端對業(yè)務(wù)發(fā)起訪問,縮小攻擊面。
防止APP內(nèi)容篡改:防止對APP進(jìn)行調(diào)試、篡改、二次打包等行為。
2.防止APP數(shù)據(jù)泄露
防接口破解:防止分析業(yè)務(wù)邏輯后對敏感接口發(fā)起自動化攻擊。
防數(shù)據(jù)遍歷:防止利用邏輯缺陷,利用自動化工具獲取用戶數(shù)據(jù)。
防惡意爬蟲:防止程序抓取或API濫用,大量獲取用戶或業(yè)務(wù)數(shù)據(jù)。
3.保護(hù)賬號安全
防暴力破解:防止對登錄接口發(fā)起暴力破解攻擊。
防撞庫攻擊:防止利用“社工庫”,通過自動化工具發(fā)起撞庫攻擊。
防短信轟炸:防止濫用短信接口,批量或指定手機(jī)號發(fā)送垃圾短信。
4.防止交易欺詐
防虛假交易:防止攻擊者使用外掛程序進(jìn)行批量虛假業(yè)務(wù)操作。
防交易篡改:防止攻擊者通過中間人攻擊等方式,篡改交易數(shù)據(jù)。
防惡意薅羊毛:防止“羊毛黨”批量注冊賬號,套取活動優(yōu)惠盈利。
(二)解決的實際問題
①實現(xiàn)基于IPv6環(huán)境支撐的APP動態(tài)安全防護(hù),提升應(yīng)用對安全漏洞和未知攻擊的防護(hù)能力。
②提供端到端的數(shù)據(jù)動態(tài)混淆,防護(hù)敏感數(shù)據(jù)泄漏,防止欺詐行為。
③發(fā)現(xiàn)異常終端:為終端設(shè)備生成唯一的指紋,識別模擬器、rooted的安卓設(shè)備、越獄的蘋果設(shè)備,識別安裝有改機(jī)工具、黑客框架、IP代理工具等風(fēng)險工具的設(shè)備。
④識別異常賬號:針對登錄、注冊等業(yè)務(wù)進(jìn)行人機(jī)識別,判斷是否存在機(jī)器登錄、機(jī)器注冊等行為,基于AI技術(shù)對賬號行為進(jìn)行分析,發(fā)現(xiàn)撞庫、暴力破解、賬號盜用等行為。
⑤感知異常業(yè)務(wù)行為:對關(guān)鍵業(yè)務(wù)的用戶操作行為、設(shè)備環(huán)境信息進(jìn)行采集和分析,進(jìn)行會話聚合分析,基于自動化威脅分析模型發(fā)現(xiàn)異常業(yè)務(wù)辦理行為。
⑥提升黑產(chǎn)對抗防護(hù)能力,尤其是IPv6環(huán)境下攻擊識別和對抗響應(yīng)能力,實現(xiàn)安全風(fēng)險識別前置,感知終端安全風(fēng)險,輔助業(yè)務(wù)決策,避免經(jīng)濟(jì)損失與信譽(yù)風(fēng)險。
(三)創(chuàng)新點
創(chuàng)新點1:安全防護(hù)擺脫了對IP地址的依賴
由于IPv6地址數(shù)量非常龐大,每個IP設(shè)備都可以分配到全球通用的網(wǎng)絡(luò)地址,攻擊者可以利用海量的IP和設(shè)備資源進(jìn)行攻擊。傳統(tǒng)的基于IP黑名單的對抗機(jī)制面臨著許多挑戰(zhàn),例如需要維護(hù)龐大的地址庫,消耗大量的計算資源,而攻擊者仍然可以輕易地變換IP地址來繞過防護(hù)。因此,防守方常常處于被動狀態(tài)。本項目以“動態(tài)安全”技術(shù)為核心,解決了這些問題。系統(tǒng)采用動態(tài)令牌、設(shè)備指紋、終端環(huán)境和行為識別技術(shù),通過數(shù)百個特征條件組合對攻擊者進(jìn)行鎖定。不再僅依賴IP進(jìn)行對抗,系統(tǒng)可以基于其他維度的特征來識別和鎖定攻擊者,無論攻擊者使用IPv4還是IPv6地址。這樣的方法提高了防守效率,使攻擊者更難以繞過防護(hù)措施。
創(chuàng)新點2:加強(qiáng)IPv6加密環(huán)境下的攻擊識別能力
在IPv6中,強(qiáng)制使用IPsec旨在增強(qiáng)網(wǎng)絡(luò)通信的安全性。然而,當(dāng)所有流量都被加密時,反而增加了檢測惡意攻擊的難度。因為攻擊請求也會隱藏在加密流量中,而那些依賴于檢測有效載荷的傳統(tǒng)安全設(shè)備(如防火墻、入侵防御系統(tǒng)、WAF等)將受到影響。與此相反,動態(tài)防護(hù)技術(shù)不依賴于檢測有效載荷,而是通過動態(tài)令牌、設(shè)備指紋、終端環(huán)境和行為識別技術(shù)來識別攻擊者。即使在加密環(huán)境中,動態(tài)防護(hù)技術(shù)仍然能夠有效地識別攻擊請求,彌補(bǔ)了傳統(tǒng)防護(hù)技術(shù)在IPv6環(huán)境下無法有效檢測的缺陷。
創(chuàng)新點3:實現(xiàn)了被動防御到主動防御的轉(zhuǎn)變
通過對APP服務(wù)器響應(yīng)數(shù)據(jù)和APP請求內(nèi)容等進(jìn)行持續(xù)動態(tài)變換,可以實現(xiàn)面向H5頁面和APP的主動防御,有效甄別各類已知和未知的自動化攻擊,包括非法客戶端和仿冒正常請求等。這種方法為各類APP、H5和混合業(yè)務(wù)提供了強(qiáng)大的安全防護(hù)能力,從而防止黑產(chǎn)行為對線上業(yè)務(wù)造成破壞和交易欺詐。同時,它也能保障用戶數(shù)據(jù)安全并確保業(yè)務(wù)的穩(wěn)定運(yùn)行,有效解決移動應(yīng)用面臨的各類應(yīng)用和業(yè)務(wù)安全威脅。
四、應(yīng)用實踐
本方案已在安徽移動實踐過,成功地對APP應(yīng)用和H5頁面進(jìn)行了防護(hù)。它能夠?qū)崿F(xiàn)在IPv6環(huán)境下對移動應(yīng)用進(jìn)行攻擊檢測和防護(hù)。在實施該方案后,省內(nèi)的掌廳APP促銷活動達(dá)到了預(yù)期效果,并成功地攔截了活動期間的自動化攻擊行為,使得正常用戶能夠享受到促銷活動的福利。同時,該方案還有效地防止了攻擊者利用自動化撞庫攻擊來盜取用戶賬號,保護(hù)了用戶的隱私和財產(chǎn)安全。此外,該方案還能夠節(jié)省服務(wù)器的系統(tǒng)資源和運(yùn)維成本。該方案具有廣泛的適用范圍,可以應(yīng)用于公眾互聯(lián)網(wǎng)、政務(wù)、金融、能源、交通、制造、醫(yī)療和教育等各個行業(yè)。它的部署過程簡單快捷,系統(tǒng)改造的復(fù)雜度也相對較低,安全策略的配置也十分簡單。系統(tǒng)采用反向代理方式進(jìn)行部署,并利用負(fù)載均衡設(shè)備實現(xiàn)了高可用性和流量分發(fā)。因此,該方案可以快速推廣并在其他行業(yè)中得到廣泛應(yīng)用。
(一)經(jīng)濟(jì)效益
本項目計劃投入150萬元,旨在對安徽省各類APP應(yīng)用和H5應(yīng)用(包括移動惠生活等)進(jìn)行防護(hù)。通過這樣的防護(hù),能夠保護(hù)1500萬用戶的數(shù)據(jù)安全,確保省內(nèi)APP應(yīng)用促銷活動能夠順利達(dá)到預(yù)期效果,并避免惡意攻擊帶來的負(fù)面影響和損失。通過攔截業(yè)務(wù)賬號的機(jī)器注冊、撞庫、暴力破解、違規(guī)辦理等違規(guī)行為,能夠確保業(yè)務(wù)的合規(guī)辦理,防止渠道虛假數(shù)據(jù)套取傭金,讓正常用戶真正享受到促銷活動的實際優(yōu)惠。這個項目不僅能夠降低市場營銷費(fèi)用,預(yù)計每年可節(jié)約約250萬元,還能夠降低由惡意攻擊引起的經(jīng)濟(jì)損失和系統(tǒng)運(yùn)維成本,預(yù)計每年可節(jié)約約80萬元。同時,通過加強(qiáng)移動應(yīng)用安全建設(shè),能夠降低企業(yè)商譽(yù)損失的風(fēng)險,贏得更廣大用戶的信任,增強(qiáng)安徽移動的競爭力,并促進(jìn)企業(yè)業(yè)務(wù)的增長。
(二)社會效益
本方案是一次在IPv6環(huán)境下成功探索和應(yīng)用新興領(lǐng)域網(wǎng)絡(luò)創(chuàng)新安全技術(shù)的實踐。該方案是為了滿足《關(guān)于開展IPv6技術(shù)創(chuàng)新和融合應(yīng)用試點工作的通知》的要求,實現(xiàn)關(guān)鍵基礎(chǔ)設(shè)施的IPv6安全升級改造,并提高應(yīng)用在IPv6環(huán)境下面對黑產(chǎn)的對抗能力。通過該方案,能夠有效保護(hù)用戶敏感信息和財產(chǎn)安全,通過對渠道賬號開卡流程的管控,確保號碼資源的公平和公正,同時減少電信詐騙事件的發(fā)生,維護(hù)廣大消費(fèi)者的通信權(quán)益,防止網(wǎng)絡(luò)欺詐行為的發(fā)生,維護(hù)良好的互聯(lián)網(wǎng)生態(tài)環(huán)境。這個方案對于運(yùn)營商和各行業(yè)來說,具有借鑒和參考的價值。
五、結(jié)束語
APP動態(tài)安全防護(hù)技術(shù)不僅能夠在IPv4/IPv6網(wǎng)絡(luò)環(huán)境下完美兼容,而且能夠顯著提升對已知和未知攻擊的檢測和處置能力。通過引入模塊化安全組件,該技術(shù)實現(xiàn)了APP端到端的動態(tài)安全通訊,有效防止了數(shù)據(jù)偽造、篡改、API濫用等攻擊行為。通過客戶端環(huán)境和行為數(shù)據(jù)的多維度分析和判斷,它能夠提高攻擊的檢測準(zhǔn)確度,增加對威脅的可見性,并能夠更精準(zhǔn)地打擊攻擊者。此外,它還能有效防御攻擊者采用加密、IP變換和改變攻擊方式等手段繞過系統(tǒng)防護(hù)的行為。
作者單位:王歡 中國移動通信集團(tuán)安徽有限公司
參? 考? 文? 獻(xiàn)
[1]郭星華,梁浩,王玲玲.基于擬態(tài)安全的網(wǎng)絡(luò)信息體系內(nèi)生安全思考與實踐[J].指揮信息系統(tǒng)與技術(shù),2021,12(06):33-38.
[2]中國社會科學(xué)網(wǎng).實現(xiàn)碳達(dá)峰碳中和的中國方案[EB/OL].( 2021-11-26)[2022-07-10].http://www.cssn.cn/zx/202111/t20211126_5377245.shtml
[3] Wang Xinran, Kohno T, Blakley B .Polymorphism as a defense
for automated attack of websites [EB/OL]. 2014.