【51CTO.com原创稿件】9月28日，中国高校数据泄密违法处罚第一案诞生——国家网络与信息安全信息通报中心通报：淮南职业技术学院系统存在高危漏洞，系统存储的4353余名学生身份信息已经造成泄露。据悉，该校招生信息管理系统存在越权漏洞、后台登录密码弱口令、重要数据无备份、无加密等多处疏漏，被犯罪分子通过拖库、刷库等不法攻击行为窃取机密数据。

这是中国高校第一案，但绝对不会是最后一案。安全分析机构Risk Based Security(RBS)发布的年中报告也佐证了这一点：截至2017年6月，全球发生了2227起数据泄露事件，黑客从中窃取了60亿条记录，这几乎是2016年被窃取的医疗和金融数据总和。

当我们不停呼吁业界提高数据安全意识和防御水平的同时，其实应该也能够感受到来自黑客世界“黑云压城城欲摧”的压力。换一个角度思考，黑客为什么能够如此“高效率”地成功“拖库”?自动化程序攻击绝对立了一大功。

先看看黑客是如何得手的!

“拖库”的方法和手段多种多样，其中通过Web应用盗取后台数据库中的数据，甚至数据库整体被“拖库”的危害更为严重，也更加难以被识别和阻拦。黑客是如何通过Web应用进行“拖库”的呢?

大致手段离不开两类途径：一是黑客发现web应用的漏洞后，利用漏洞，通过程序和工具进行拖库;二是黑客没有发现漏洞，但是通过页面提供数据查询、展示、下载等相关服务内容的Web应用，直接通过爬虫程序进行批量数据爬取和拖库。

简而言之，“拖库”的途径和特点是：利用“工具”。这些工具包括：漏洞扫描器、漏洞利用工具、爬虫工具等。那么最好的防御方法就是识别出这些工具，坚决将这些工具拒之门外。传统的安全防御手段往往识别不出这些自动化攻击程序的“拟人”行为，因此要想从根源实现“防撞库”，就必须采取新的思路和新的方法。

动态安全技术火眼金睛，一个“工具”都不放过!

瑞数信息的防拖库动态安全解决方案的核心是采用“动态安全技术”，结合客户端行为分析，识别“工具”行为还是正常“人”的操作行为，可发现恶意爬虫、漏洞利用工具及扫描器的行为，并可实施拦截。

该技术可以在实施“拖库”的多个可能的环节进行层层防护：

第一层防御：在攻击者对web进行漏洞扫描时，防护系统即可发现是扫描器“工具”行为，在攻击者寻找网站攻击入口时拦截。

第二层防御：如果漏洞已经被发现，并正在被利用，利用漏洞的“拖库”操作一定也是“工具”，动态技术可以在“拖库”行为发生时拦截。

第三层防御：如果黑客不是通过漏洞利用，而是“爬虫”行为的不间断拖库操作，同样也是采用“工具”，动态技术可以在“爬虫”进行数据爬取时拦截。

为什么瑞数信息的动态安全技术可以如此精准地识别出自动化程序攻击的所有进程呢?这主要是因为动态安全技术精确切准了自动化程序攻击的脉。正所谓“万变不离其宗”，只要是程序和工具行为，就一定存在着工具特征，而动态安全技术所依赖的并不是“访问频率的快慢”，“IP来源的集中与否”这些单一元素及传统的工具判断手段，来判断页面访问行为是否为工具，而是不管这个工具是什么名字，在业务逻辑的哪个环节，模拟了哪类浏览器、是否不断更换工具和改变IP，它都可以知晓是程序性质的行为，同时结合行为分析进行更精准的识别和阻拦。

更值得一提的是，瑞数行为分析系统采用全程式感知模式，其感知半径不仅仅局限于在服务器端进行业务流程的观测和分析，还覆盖了诸如PC、移动设备和物联网节点等用户终端侧面。通过在终端设备上采集不同平台的浏览器指纹、插件等环境参数，以及用户的键盘、鼠标动作、屏幕触摸等行为特征，综合分析访问端的访问方式、工具和意图，从广度上极大地拓展了整个系统对行为分析的能力。

随着企业客户数字化转型的深入，安全风险抵御能力将成为其不可忽略的重要基石。在黑色产业链“寸草不留”的疯狂攻击下，企业客户必须学会用新的思路新的工具去规避可能存在的风险，而瑞数动态安全解决方案就为转型中的企业提供了一个值得信赖的选择。

本文作者：周雪

来源：51CTO