某金融征信平臺(tái)疑似遭爬蟲(chóng)瘋狂“洗劫”
“某某融”平臺(tái)是中小微企業(yè)信用信息和融資對(duì)接平臺(tái),目的是實(shí)現(xiàn)資金供需雙方線上高效對(duì)接,提高企業(yè)金融服務(wù)的可得性、覆蓋率和滿意度,目前已接入207家銀行機(jī)構(gòu)的1.3萬(wàn)個(gè)網(wǎng)點(diǎn),注冊(cè)企業(yè)155萬(wàn)家。
根據(jù)相關(guān)規(guī)定,“某某融”平臺(tái)向轄內(nèi)各商業(yè)銀行免費(fèi)提供信息查詢服務(wù),但只允許商業(yè)銀行以人工訪問(wèn)方式進(jìn)行逐條信息查詢。然而,“某某融”平臺(tái)的技術(shù)人員卻發(fā)現(xiàn),每天一到凌晨,系統(tǒng)后臺(tái)就出現(xiàn)了大量的查詢請(qǐng)求,并持續(xù)整個(gè)后半夜,但到底是誰(shuí)在查詢卻對(duì)不上號(hào)。
很顯然,這并不是正常的用戶行為,更像是利用自動(dòng)化工具的惡意爬蟲(chóng)行為。一旦被惡意爬蟲(chóng)盯上,平臺(tái)很可能會(huì)遭遇敏感數(shù)據(jù)泄露,導(dǎo)致大量企業(yè)和用戶利益受損,影響金融機(jī)構(gòu)的公眾威望。此外,大量爬蟲(chóng)惡意數(shù)據(jù)請(qǐng)求會(huì)不斷霸占業(yè)務(wù)服務(wù)器性能,影響平臺(tái)的正常運(yùn)行,從而導(dǎo)致用戶體驗(yàn)下降,為平臺(tái)的安全運(yùn)營(yíng)帶來(lái)了極大的挑戰(zhàn)。
為此,“某某融”平臺(tái)火速搬來(lái)了救兵——業(yè)內(nèi)知名的Bots自動(dòng)化攻擊防護(hù)專業(yè)廠商瑞數(shù)信息,誓要抓出潛伏在黑暗中的惡意爬蟲(chóng)。
瑞數(shù)信息“反爬蟲(chóng)”之戰(zhàn)
瑞數(shù)信息第一時(shí)間為“某某融”平臺(tái)部署了一款“反爬蟲(chóng)利器”——瑞數(shù)動(dòng)態(tài)應(yīng)用保護(hù)系統(tǒng) Botgate。
此系統(tǒng)以瑞數(shù)信息獨(dú)創(chuàng)的“動(dòng)態(tài)防護(hù)”技術(shù)為核心,不基于任何特征、規(guī)則及閾值的方式進(jìn)行防護(hù),能夠有效識(shí)別和防御自動(dòng)化攻擊。具體而言,有4大技術(shù)能力:
• 動(dòng)態(tài)令牌:對(duì)當(dāng)前頁(yè)面內(nèi)的合法請(qǐng)求地址授予一定時(shí)間內(nèi)有效的動(dòng)態(tài)令牌,并為每個(gè)客戶端生成不依賴于設(shè)備特征的唯一標(biāo)識(shí)。令牌的動(dòng)態(tài)變換,加上客戶端唯一標(biāo)識(shí),就如同身份證一樣難以偽造,可以阻攔非法的自動(dòng)化攻擊請(qǐng)求。
• 人機(jī)識(shí)別:通過(guò)動(dòng)態(tài)令牌、客戶端環(huán)境檢測(cè)、客戶端行為識(shí)別等方式,驗(yàn)證瀏覽器/APP的真實(shí)性,檢查動(dòng)作的真實(shí)性,實(shí)現(xiàn)對(duì)訪問(wèn)客戶端的人機(jī)識(shí)別,從而阻攔自動(dòng)化攻擊行為。
• 代碼混淆封裝:靈活運(yùn)用Web代碼混淆、JS混淆、前端反調(diào)試、Cookie混淆、中間人檢測(cè)等多種功能,對(duì)頁(yè)面邏輯、代碼、內(nèi)容關(guān)鍵元素等進(jìn)行混淆封裝,對(duì)自動(dòng)化攻擊進(jìn)行動(dòng)態(tài)干擾,防止業(yè)務(wù)被逆向分析。
• 威脅透視:利用獨(dú)有的全程式業(yè)務(wù)威脅感知和智能分析技術(shù),以及內(nèi)置的通用自動(dòng)化威脅模型,準(zhǔn)確透視細(xì)粒度的機(jī)器人行為,為精準(zhǔn)判定自動(dòng)化攻擊提供有效威脅數(shù)據(jù)。
基于動(dòng)態(tài)應(yīng)用保護(hù)系統(tǒng)Botgate,瑞數(shù)信息很快發(fā)現(xiàn)“某某融”平臺(tái)的不動(dòng)產(chǎn)、備案等系統(tǒng),在一個(gè)月的時(shí)間內(nèi)遭遇了570多萬(wàn)起自動(dòng)化惡意爬蟲(chóng)行為,已占據(jù)了正常請(qǐng)求的近1/4。
進(jìn)一步分析發(fā)現(xiàn),惡意爬蟲(chóng)為了登錄賬號(hào),利用了弱密碼、暴力破解等方式,并大量使用自動(dòng)化工具,非法查看敏感數(shù)據(jù)。
檢測(cè)數(shù)據(jù)顯示,爬蟲(chóng)賬號(hào)高達(dá)172個(gè),異常IP有90個(gè)。其中,涉及簡(jiǎn)單腳本的IP 90個(gè),重放攻擊的IP 72個(gè),破解行為的IP 48個(gè),調(diào)試行為的IP 25個(gè),高級(jí)自動(dòng)化工具的IP 13個(gè)。
從非工作時(shí)間業(yè)務(wù)查詢行為看,凌晨0點(diǎn)至6點(diǎn)期間存在產(chǎn)權(quán)查冊(cè)發(fā)起頁(yè)面加載、發(fā)起產(chǎn)權(quán)查冊(cè)查詢、產(chǎn)權(quán)查冊(cè)歷史查詢記錄、查看產(chǎn)權(quán)查冊(cè)明細(xì)的行為。
總體而言,“某某融”平臺(tái)已被惡意爬蟲(chóng)“洗劫”,面臨著賬號(hào)濫用、自動(dòng)化工具濫用、非工作時(shí)間高頻訪問(wèn)、業(yè)務(wù)邏輯被逆向分析、敏感數(shù)據(jù)被濫用等多重業(yè)務(wù)安全問(wèn)題。
對(duì)此,瑞數(shù)信息根據(jù)“某某融”平臺(tái)業(yè)務(wù)需求,定制了靈活的防護(hù)策略:既可以針對(duì)異常IP和行為進(jìn)行自動(dòng)化攔截、按比例攔截,也可以對(duì)頻繁訪問(wèn)請(qǐng)求做延遲,或發(fā)起二次動(dòng)態(tài)挑戰(zhàn),還可以限定特定IP超過(guò)一定時(shí)間不能訪問(wèn)等等,在保護(hù)數(shù)據(jù)安全的同時(shí)也不影響業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。
整治金融爬蟲(chóng)需要“動(dòng)態(tài)安全”新技術(shù)
“某某融”平臺(tái)爬蟲(chóng)事件其實(shí)并非個(gè)例。惡意數(shù)據(jù)爬蟲(chóng)攻擊是自動(dòng)化攻擊請(qǐng)求中占比最大的一類,金融、互聯(lián)網(wǎng)、政企、醫(yī)療衛(wèi)生、教育等行業(yè),都遭受著持續(xù)不間斷的爬蟲(chóng)訪問(wèn)。瑞數(shù)信息《2022 Bots自動(dòng)化威脅報(bào)告》顯示,2021年根據(jù)瑞數(shù)信息監(jiān)測(cè)到的惡意爬蟲(chóng)攻擊達(dá)到1000億+以上。
近年來(lái),隨著互聯(lián)網(wǎng)金融服務(wù)體系的快速增長(zhǎng),越來(lái)越多的金融業(yè)務(wù)構(gòu)建在Web、H5、App、API、微信和小程序等多種業(yè)務(wù)渠道上,應(yīng)用敞口風(fēng)險(xiǎn)暴露面隨之增大,各類變化多端的爬蟲(chóng)攻擊也趁虛而入,導(dǎo)致企業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)加劇。
據(jù)瑞數(shù)信息技術(shù)專家介紹,在金融行業(yè),交易、支付、信貸、營(yíng)銷等業(yè)務(wù)場(chǎng)景都是爬蟲(chóng)攻擊的重災(zāi)區(qū)。比如,爬取企業(yè)征信報(bào)告,盜取用戶個(gè)人網(wǎng)銀、交易支付記錄、信用卡賬單等,都是為了獲取敏感數(shù)據(jù)以博取高額利潤(rùn)。
盡管爬蟲(chóng)帶來(lái)了巨大的業(yè)務(wù)安全風(fēng)險(xiǎn),但為何金融行業(yè)的惡意爬蟲(chóng)屢禁不止?
瑞數(shù)信息技術(shù)專家表示,爬蟲(chóng)技術(shù)多年來(lái)一直在不斷演進(jìn),不僅精通各種代碼語(yǔ)言,甚至在使用機(jī)器學(xué)習(xí)等AI技術(shù),不斷挑戰(zhàn)著現(xiàn)有防護(hù)體系,由此帶來(lái)了三大防護(hù)難點(diǎn):
第一,惡意爬蟲(chóng)使用了大量高級(jí)自動(dòng)化工具,能夠不斷變化自身來(lái)源,以多源低頻的方式,繞過(guò)傳統(tǒng)規(guī)則庫(kù);
第二,惡意爬蟲(chóng)能夠偽造UA信息,不斷變化環(huán)境信息,騙過(guò)傳統(tǒng)特征庫(kù);
第三,惡意爬蟲(chóng)使用了高度擬人化的武器庫(kù),通過(guò)資源鏈接、相互調(diào)用,能夠發(fā)起模擬真人的操作行為,迷惑現(xiàn)有的風(fēng)控規(guī)則。
瑞數(shù)信息技術(shù)專家指出,爬蟲(chóng)技術(shù)的快速迭代升級(jí),導(dǎo)致依賴規(guī)則、特征的傳統(tǒng)安全技術(shù)和風(fēng)控技術(shù)都無(wú)力應(yīng)對(duì),金融機(jī)構(gòu)必須尋求新的技術(shù)方案才能對(duì)抗新的爬蟲(chóng)技術(shù)。正因如此,“動(dòng)態(tài)安全”作為一種顛覆傳統(tǒng)安全被動(dòng)式防御的新技術(shù),創(chuàng)新地提出動(dòng)態(tài)防御、主動(dòng)防御概念,成為新時(shí)代反爬蟲(chóng)的理想選擇。
作為“動(dòng)態(tài)安全”技術(shù)的首創(chuàng)者,瑞數(shù)信息推出的第一款產(chǎn)品就是“瑞數(shù)動(dòng)態(tài)應(yīng)用保護(hù)系統(tǒng)Botgate”,由于能夠高效甄別偽裝和假冒正常行為的各類已知和未知自動(dòng)化攻擊,并能夠進(jìn)行有效的阻斷防護(hù),因此Botgate稱得上是一款高效反爬蟲(chóng)的利器。
除此之外,瑞數(shù)信息還將“動(dòng)態(tài)安全”技術(shù)和AI技術(shù)融合起來(lái),涵蓋了機(jī)器學(xué)習(xí)、智能人機(jī)識(shí)別、智能威脅檢測(cè)、全息設(shè)備指紋、智能響應(yīng)等AI技術(shù),對(duì)客戶端到服務(wù)器端所有的請(qǐng)求日志進(jìn)行全訪問(wèn)記錄,持續(xù)監(jiān)控并分析流量行為,實(shí)現(xiàn)精準(zhǔn)攻擊定位和追蹤溯源,并對(duì)潛在和更加隱蔽的攻擊行為進(jìn)行更深層次的分析和挖掘,這將更加精準(zhǔn)、持續(xù)的對(duì)抗惡意爬蟲(chóng)帶來(lái)的自動(dòng)化攻擊。
結(jié)語(yǔ)
金融服務(wù)數(shù)據(jù)正受到空前的關(guān)注,對(duì)數(shù)據(jù)的爭(zhēng)奪所引發(fā)的安全對(duì)抗也愈加激烈。面對(duì)惡意爬蟲(chóng)技術(shù)的不斷升級(jí),金融機(jī)構(gòu)亟需轉(zhuǎn)向以“動(dòng)態(tài)安全”為核心的新安全技術(shù),提高對(duì)自動(dòng)化工具訪問(wèn)的識(shí)別能力,提升自身系統(tǒng)的數(shù)據(jù)安全能力,建立起數(shù)據(jù)反爬的銅墻鐵壁。