WAAR報告顯示，網(wǎng)絡(luò)應(yīng)用中的業(yè)務(wù)邏輯層正遭受到攻擊。作為Imperva黑客情報計劃的一部分，WAAR對2011年6月至11月這6個月期間現(xiàn)實的惡意網(wǎng)絡(luò)應(yīng)用程序攻擊提供解決對策。而黑客情報匯總報告則揭示了一個由黑客組織“匿名者”發(fā)起的攻擊的主要細節(jié)。

　　數(shù)以千計世界領(lǐng)先的企業(yè)、政府組織和服務(wù)提供商都依賴于 Imperva 解決方案來防止數(shù)據(jù)泄漏、符合合規(guī)性要求以及管理數(shù)據(jù)風(fēng)險。Imperva首席技術(shù)官Amichai Shulman說道：“我們相信，這些分析報告的發(fā)布將幫助組織機構(gòu)做好應(yīng)對潛在攻擊的準備，并讓更大的安全社區(qū)對黑客操作方式有更深入的了解。”

　　Imperva 網(wǎng)絡(luò)應(yīng)用攻擊報告(WAAR)

　　Imperva對40多種不同的應(yīng)用程序攻擊進行了監(jiān)測并分類。WAAR概括了每個攻擊的頻率、類型及來源，以此幫助數(shù)據(jù)安全專業(yè)人員更好地按照優(yōu)先次序修復(fù)漏洞。

　　“由于黑客可以通過合法的途徑跟蹤用戶與應(yīng)用程序的交互，因此業(yè)務(wù)邏輯層的攻擊對于黑客具有非常大的吸引力，”Imperva首席技術(shù)官Amichai Shulman說道，“要做到這一點，需理解具體操作順序?qū)?yīng)用程序功能的影響是如何實現(xiàn)的。”因此，黑客可以利用應(yīng)用程序截獲私人信息，進行扭曲，并外泄給其他更多的用戶 —— 這些行為通常不受安全控制。”

　　Imperva 發(fā)布的最新網(wǎng)絡(luò)應(yīng)用攻擊報告一并指出：

　　•自動化應(yīng)用攻擊正在繼續(xù)。在2011年6月至11月的六個月期間，被監(jiān)測的網(wǎng)絡(luò)應(yīng)用程序每月遭受到130,000到385,000次攻擊。高峰時，整套應(yīng)用程序系統(tǒng)受攻擊的頻率高達一小時近38,000次或每秒10次。

　　•由于黑客有能力逃避監(jiān)測，他們依賴于業(yè)務(wù)邏輯攻擊： Imperva也研究了兩類業(yè)務(wù)邏輯攻擊： 評論垃圾廣告和電子郵件提取。評論垃圾廣告是指在評論欄里嵌入惡意鏈接來改變搜索引擎結(jié)果，潛在詐騙消費者。電子郵件提取是指對電子郵件地址進行簡單分類，建立垃圾郵件發(fā)送列表。據(jù)統(tǒng)計，這些業(yè)務(wù)邏輯攻擊在惡意攻擊流量中占14%。

　　•業(yè)務(wù)邏輯攻擊的來源是：

　　☆電子郵件提取被非洲國家的主機所控制。

　　☆評論垃圾廣告中的不尋常部分經(jīng)監(jiān)測是來自東歐國家。

　　•黑客利用5種常見的應(yīng)用程序漏洞：這五種常見的應(yīng)用程序漏洞是：遠程文件包含(簡稱RFI)、SQL注入(簡稱SQLi)、本地文件包含(簡稱LFI)、跨站腳本攻擊(簡稱XSS)和目錄遍歷漏洞(簡稱DT)�？缯灸_本攻擊和目錄遍歷漏洞是最普遍的傳統(tǒng)攻擊形式。為什么要針對這些漏洞？黑客喜歡阻力最小的路徑，而應(yīng)用程序漏洞則提供了最豐富的目標。

　　這份報告中描述的很多攻擊都不難被緩解。然而，我們的確發(fā)現(xiàn)網(wǎng)絡(luò)應(yīng)用程序面臨的攻擊變得更加多樣化、技術(shù)上更加復(fù)雜、更難監(jiān)測和阻止。顯然，安全應(yīng)對措施必須繼續(xù)保護業(yè)務(wù)和其用戶不被傷害、不受到損失。正確的減緩步驟有哪些呢？我們嘗試創(chuàng)造一個完整的列表來幫助數(shù)據(jù)安全團隊提高他們的效率。

　　Imperva在2011年度報告中提到的幾點建議仍然有效：

　　☆部署安全解決方案，監(jiān)測自動化攻擊。監(jiān)測必須在攻擊過程中盡早實行。

　　☆監(jiān)測和阻止已知的漏洞攻擊。應(yīng)用程序中可利用漏洞的知識庫必須經(jīng)常更新。

　　☆獲得惡意來源的情報并即時應(yīng)用。列出攻擊主機的黑名單始終是一個很有效的防范措施。然而，這個名單必須實時更新、保持其實效性。

　　☆參與安全論壇，分享攻擊的數(shù)據(jù)庫。自動化攻擊程度和范圍的加劇在網(wǎng)絡(luò)上留有明顯的痕跡，但此痕跡僅能從大量潛在受害者處收集的數(shù)據(jù)中看出。

　　☆獲取業(yè)務(wù)邏輯攻擊來源的情報并即時應(yīng)用。例如，評論垃圾廣告在被公然揭露后還可以活躍很久。情報的重點必須在于每一種攻擊的形式，因為正如我們所看到的，使用評論垃圾廣告和電子郵件提取的攻擊者展現(xiàn)出不同的屬性。

　　☆攻擊流量的地理信息對即時做出數(shù)據(jù)安全對策有所幫助。例如，經(jīng)分析的業(yè)務(wù)邏輯攻擊擁有獨特的地理特征。

　　攻擊者對自動化攻擊依賴性的不斷增強和自動化工具產(chǎn)生的大量惡意流量表明，監(jiān)測這些工具迅速、精確、自動產(chǎn)生的攻擊是至關(guān)重要的。作為一個常用的方針，流量屬性和網(wǎng)絡(luò)客戶端必須不斷被檢查和監(jiān)測。如果與正常流量屬性有所偏差，則應(yīng)該受到專業(yè)軟件和專業(yè)人員的嚴密監(jiān)測。

　　監(jiān)測和防御自動化攻擊包括：

　　•信譽機制的監(jiān)測：獲得并使用被攻擊者雇傭的主機黑名單。

　　•高點擊率：流量整形是自動化攻擊最基本的指示。一旦超過與其相關(guān)的臨界值(例如，每分鐘點擊3次)，應(yīng)用程序就應(yīng)該延遲或阻止與網(wǎng)絡(luò)客戶端信息交換。

　　•輸入流量的技術(shù)屬性：軟件工具產(chǎn)生的流量通常具有技術(shù)特征(例如特定的HTTP頭)，不同于一般瀏覽器所產(chǎn)生的流量。如果這不是預(yù)期的使用場景，阻止該流量。

　　•商業(yè)行為的重復(fù)：例如，多次登陸失敗表明密碼受到惡意攻擊。當然，你的安全裝置必須能夠識別出這些“差異或者異常的表現(xiàn)”。

　　•質(zhì)疑應(yīng)用程序的網(wǎng)絡(luò)客戶端：測試你的應(yīng)用程序是否真的與瀏覽器進行交互。例如，“虛假”瀏覽器沒有對Java語言的執(zhí)行能力。該應(yīng)用流需包含發(fā)送Java語言代碼給客戶并核查其是否真的被執(zhí)行。

　　•檢測確有真人在操作：通過CAPTCHA(全自動區(qū)分計算機和人類的圖靈測試)檢測終端用戶是真人。

　　黑客情報匯總報告

　　2011年期間，Imperva見證了一次由黑客組織“匿名者”發(fā)起、持續(xù)25天的攻擊。黑客情報匯總報告——“匿名者”攻擊報告對此提供了一個全面的攻擊分析，包括從始至終攻擊活動的詳細時間表、黑客破壞方法的審查以及對使用社會媒體征集參與者、協(xié)調(diào)攻擊的見解。

　　“我們的研究表明匿名者通常模仿盈利性黑客使用的方法，利用常見的方式——SQL注入和DDoS(分布式拒絕服務(wù)攻擊)來進行攻擊。我們發(fā)現(xiàn)匿名者雖然發(fā)明了一些定制工具，但與開發(fā)復(fù)雜攻擊不同的是，他們通常使用一些廉價現(xiàn)成的工具，”Imperva首席技術(shù)官Amichai Shulman說道：“我們的研究進一步表明匿名者第一步先嘗試竊取數(shù)據(jù)，如果失敗，會嘗試DDoS攻擊。”

　　“匿名者”攻擊報告指出：

　　•該攻擊由三個不同的階段組成：征集和通信、偵查和應(yīng)用層攻擊，最后是DDos攻擊。

　　•社會媒體渠道，尤其是Twitter、Facebook和YouTube是確認目標、發(fā)動攻擊最主要的方法。在攻擊第一階段征集和通信的過程中，社會媒體也是最常用的方式招募自愿者加入攻擊行列。

　　•富有經(jīng)驗的黑客只占自愿者的一小部分，他們主要活躍在偵查和應(yīng)用攻擊階段，探測漏洞，進行應(yīng)用攻擊，例如通過SQL注入嘗試竊取目標數(shù)據(jù)。

　　•非專業(yè)人員僅在第三階段產(chǎn)生作用——幫助開展DDoS攻擊——由于嘗試偷竊數(shù)據(jù)的應(yīng)用攻擊失敗。

　　•匿名者開發(fā)了一些定制工具——特別是低軌道離子炮(LOIC)和一種能從移動瀏覽器啟動DDoS攻擊的工具。然而，該組織也在偵查和應(yīng)用攻擊階段依靠常見的工具來尋找和開發(fā)網(wǎng)絡(luò)應(yīng)用漏洞。

　　•與盈利性黑客不同，匿名者很少依靠常見的黑客技術(shù)，例如僵尸網(wǎng)絡(luò)、惡意軟件、網(wǎng)絡(luò)釣魚或魚叉式網(wǎng)絡(luò)釣魚。