工業(yè)物聯(lián)網(wǎng)安全換一個思路破局

時間:2018-03-07

來源:網(wǎng)絡(luò)轉(zhuǎn)載

導語:機器人攻擊的出現(xiàn),最先面臨壓力的就是傳統(tǒng)安全防護廠商,顯而易見,傳統(tǒng)的防御手段在自動化攻擊面前顯得捉襟見肘難以施展。

挑戰(zhàn)很大:

平臺太多、涉及到的環(huán)節(jié)太多、安全基礎(chǔ)太差、風險更高、基礎(chǔ)架構(gòu)不同導致現(xiàn)有的技術(shù)手段大多數(shù)會失效。

機遇也很大:

因為風險大,所以被保護資產(chǎn)的價值也更大,從過去保護虛擬資產(chǎn),到了物聯(lián)網(wǎng)和工業(yè)網(wǎng)時代,保護的已經(jīng)是實體安全了(例如智能門鎖、智能汽車、智能電廠等)。物聯(lián)網(wǎng)時代出事,可能會是要命的。

自動化和人工智能是當下最火熱的詞條。兩者是把雙刃劍,與3C互聯(lián)網(wǎng)設(shè)備結(jié)合就會給人們工作生活帶來各種便利;跟攻擊結(jié)合就變成一場災(zāi)難,現(xiàn)在的攻擊已經(jīng)形成了多米諾骨牌效應(yīng),一觸即發(fā)。黑客只需要在一個機器人攻擊程序上面輸入想攻擊的網(wǎng)址,設(shè)置好參數(shù)、測試方法、測試規(guī)則,驗證問題,然后點擊提交。機器人攻擊程序就可以掃描了,等掃描出漏洞后,會有漏洞庫自動進行匹配,然后發(fā)動攻擊,黑客所做的就是守株待兔,開動觸發(fā)鍵。

單打獨斗不是黑客的行事作風。更多的情況下,黑色產(chǎn)業(yè)鏈上下會有組織,有紀律地各司其職分工協(xié)作,他們利用智能化自動化的攻擊程序,或是暴力破解賬號,竊取機密數(shù)據(jù),或是通過批量注冊小號,自動工具刷取套利??偠灾?,只有你想不到,沒有他們做不到。

自動化攻擊侵略性更強

這不是筆者在危言聳聽。事實上,隨著針對Web的高級持續(xù)性拒絕服務(wù)(APDoS)攻擊的崛起,以及復雜機器人程序攻擊的容量和覆蓋范圍的增加,安全攻擊變得更具侵略性。特別在運營商、政府、金融、電商、支付等領(lǐng)域,由自動化工具發(fā)起的高效大規(guī)模攻擊(例如:惡意爬蟲、撞庫、虛假注冊、交易篡改、零日攻擊等)大幅增加了企業(yè)和政府機構(gòu)在業(yè)務(wù)、應(yīng)用和數(shù)據(jù)層面的安全風險。

Radware安全解決方案副總裁CarlHerberger就曾提醒公眾,“奮戰(zhàn)在信息安全領(lǐng)域第一線的已不僅僅是人類。由于防御措施總是敗給越來越多的自動化復雜攻擊和新的攻擊技術(shù),人們已經(jīng)無法部署檢測技術(shù)并進行實時響應(yīng)。我們即將面臨人工網(wǎng)絡(luò)防御措施的沒落和網(wǎng)絡(luò)機器人程序防御措施的興起。”

機器人攻擊的出現(xiàn),最先面臨壓力的就是傳統(tǒng)安全防護廠商,顯而易見,傳統(tǒng)的防御手段在自動化攻擊面前顯得捉襟見肘難以施展。企業(yè)用戶也需要更先進的檢測產(chǎn)品和安全解決方案,來抵御新的安全威脅。

換一個思路破局

很多安全廠商已經(jīng)開始積極行動起來,有的安全廠商認為,應(yīng)該“以夷制夷”,同樣用自動化的防御來抵御機器人攻擊,正所謂用機器人去對付機器人。

自動化安全防御的確是未來一大趨勢,它效率更高,更節(jié)約成本,能賦予安全防護提供更高等級的保護。但就目前自動化的發(fā)展現(xiàn)狀而言,自動化的智能程度、自我機器學習的水平以及與技術(shù)運維團隊的匹配等等問題都制約了其發(fā)展。甚至有的企業(yè)客戶擔心部署自動化安全防御解決方案之后,那么一旦這套防御系統(tǒng)出現(xiàn)漏洞被黑客利用,那豈不是等于敞開大門任人宰割?。

那么還有更符合現(xiàn)狀的安全新思路可以解決機器人攻擊的難題嗎?

動態(tài)安全讓機器人攻擊徹底失效

瑞數(shù)信息在國內(nèi)首個推出的機器人防火墻,通過一次性的動態(tài)令牌以及動態(tài)驗證等動態(tài)安全技術(shù),高效識別“自動化、工具化”這一特性,從而實現(xiàn)對此類威脅的主動防范。動態(tài)安全技術(shù)完全不同于傳統(tǒng)安全技術(shù)僅僅依靠攻擊特征庫、異常特征庫的匹配來進行攻擊的識別,同時也無需依賴攻擊頻度和工具類別來識別,因此更加主動和有效。

通過將網(wǎng)頁原始代碼動態(tài)變形的技術(shù),增加目標系統(tǒng)行為的“不可預測性”,使黑客無法找到入侵網(wǎng)頁的入口與漏洞。由于攻擊者無法預知目標系統(tǒng)行為,必須通過大量人工分析找尋目標系統(tǒng)可能的弱點,但即使找到弱點,最多也只能使用一次,因此大幅提升攻擊難度與成本,從而迫使攻擊者放棄攻擊,將攻擊抑制在源頭。

動態(tài)安全技術(shù)將“動態(tài)”元素介入訪問者和應(yīng)用系統(tǒng)之間,從而有效阻止攻擊者或利用自動化工具對目標發(fā)動攻擊:

通過對真實瀏覽器型態(tài)的動態(tài)驗證,有效甄別偽裝成瀏覽器的自動化攻擊工具;

利用采集瀏覽器指紋,可有效追蹤不斷變換來源地址的惡意來源終端;

通過監(jiān)測瀏覽器中的異常操作行為模式,可實時攔阻自動化工具插件、模擬合法操作及逆向破解等惡意攻擊行為。

在機器人攻擊成為攻擊主流趨勢越來越明顯的今天,希望企業(yè)能夠擺脫傳統(tǒng)安全思維,拿起新的安全武器,實現(xiàn)更高水準的安全防御,將黑色產(chǎn)業(yè)鏈的攻擊拒之門外。

中傳動網(wǎng)版權(quán)與免責聲明:

凡本網(wǎng)注明[來源:中國傳動網(wǎng)]的所有文字、圖片、音視和視頻文件,版權(quán)均為中國傳動網(wǎng)(m.u63ivq3.com)獨家所有。如需轉(zhuǎn)載請與0755-82949061聯(lián)系。任何媒體、網(wǎng)站或個人轉(zhuǎn)載使用時須注明來源“中國傳動網(wǎng)”,違反者本網(wǎng)將追究其法律責任。

本網(wǎng)轉(zhuǎn)載并注明其他來源的稿件,均來自互聯(lián)網(wǎng)或業(yè)內(nèi)投稿人士,版權(quán)屬于原版權(quán)人。轉(zhuǎn)載請保留稿件來源及作者,禁止擅自篡改,違者自負版權(quán)法律責任。

如涉及作品內(nèi)容、版權(quán)等問題,請在作品發(fā)表之日起一周內(nèi)與本網(wǎng)聯(lián)系,否則視為放棄相關(guān)權(quán)利。

關(guān)注伺服與運動控制公眾號獲取更多資訊

關(guān)注直驅(qū)與傳動公眾號獲取更多資訊

關(guān)注中國傳動網(wǎng)公眾號獲取更多資訊

最新新聞
查看更多資訊

娓娓工業(yè)

廣州金升陽科技有限公司

熱搜詞
  • 運動控制
  • 伺服系統(tǒng)
  • 機器視覺
  • 機械傳動
  • 編碼器
  • 直驅(qū)系統(tǒng)
  • 工業(yè)電源
  • 電力電子
  • 工業(yè)互聯(lián)
  • 高壓變頻器
  • 中低壓變頻器
  • 傳感器
  • 人機界面
  • PLC
  • 電氣聯(lián)接
  • 工業(yè)機器人
  • 低壓電器
  • 機柜
回頂部
點贊 0
取消 0