12月1日,互联网金融领域再爆「安全漏洞」,浙江一家互联网金融平台——铜掌柜被爆出存在系统安全问题,导致平台60万用户大量敏感信息遭到泄露,其中包含了用户姓名、手机、银行卡号和密码等重要信息。

当然,这只是互联网安全领域一个小小的缩影,我们经常可以看到:某网站命令执行可被渗透、某电商订单泄露任意充值、某网站应用 SQL 注入可导致信息泄露等等。安全的「警钟」再次被敲响!尤其是现在越来越多的互联网企业开始进行金融产业,都想借助互联网的「东风」分得「一杯羹」。但是互联网作为一项基础设施,一个信息技术平台,技术安全是最基本的要求,无论是金融平台还是投资人都不应该忽视。

中小企业安全防范意识严重不足

一项权威调查报告显示:97%的中小企业在业务发展中根本不重视网络安全问题,82%的中小企业认为他们没有什么有价值的东西值得黑客来攻击,只有23%的中小企业才担心企业信息被泄露!其实,国内的中小企业「裸奔」的情况更加严重,大多数中小企业认为,买一套防火墙就「万事大吉」了,他们显然低估了安全问题的严重性,所以才会出现诸如「铜掌柜」用户泄密这样的问题。

其实,很多互联网平台都存在安全漏洞,但是大多数企业在开发过程中,并没有对漏洞进行检测,即使检测也是简单的扫描一次就结束了。稍微对安全有点常识的人都知道,事实上安全防护是一个持续的过程,网络攻击时刻在发生,攻击手段时刻在变化。在安全问题上没有「一劳永逸」的事情。

企业安全防护是一项「专业」工程

对安全领域有所了解的人基本都有一个共识,那就是网络攻击者所使用的方法、技术和工具的发展速度都远远超过网络防御者。而新兴的网络威胁正在不断「侵蚀」着企业的网络、核心数据以及应用程序安全。因此,对 IT 管理和安全应急团队而言,则希望能够根本上解决网络威胁所带来的伤害。

但是对很多中小企业而言,他们往往「力不从心」,一方面是企业无法投入太多的资源在安全防护上,其次因为现在市面上能够完全依赖的安全工具不够快,也不够专业,很难满足快速检测、紧急补救和后续对安全事件进行调查和分析的需求。当然,企业的安全防护本身就是一项非常专业的工程,仅仅靠杀毒软件和网络防火墙,只能做到基础性的防护,对很多网络攻击者来说,「翻墙」易如反掌。

国内外常用的安全解决方案

目前,国内外最常用的安全解决方案就是 Web 应用防火墙技术(WAF),这是一个专业级的针对应用网络攻击的方案,用以解决诸如防火墙一类传统设备束手无策的 Web 应用安全问题。在国内采用 WAF 这种解决方案的厂商也有不少。当然,他们提供的产品也很类似,都能够帮助企业客户防范黑客入侵和 DDoS 攻击,以及其他一系列针对 Web 系统的安全威胁。而在保障网站的可用性方面,WAF 的解决方案还是比较强的。

不过 WAF 往往需要专门的安全团队操作和使用,而且动辄几十万甚至上百万的价格,让很多中小企业望而却步。

国际流行的安全新方案 RASP 开始成为新宠

RASP 即实时应用安全自我保护,这是在2014年,国际最知名的调研机构 Gartner 提出的一种全新的解决方案。这种方案能将安全保护代码像疫苗一样注入应用程序,瞬间修复已知漏洞,使所有代码都变成安全代码,实现一种“代码级”防护。从一定意义上讲,任何攻击都无法绕过 RASP,因为即使再高明的攻击手段,也是通过执行「代码」来实现攻击的。

60万用户隐私泄露!中小企业如何做好互联网安全防护? 客户案例 第1张

其实,RASP 不仅仅能监控威胁,它还会采取措施来实时阻止攻击,是一种从「根源」上解决安全问题的有效方案。相较于 WAF 的解决方案,RASP 可以在数据访问的关键点进行保护,这样在精确性上、性能、不可绕过、可以防护零日攻击以及低使用成本方面都是 WAF 无法超越的。

RASP 对攻击的可视性、对攻击精确到代码级别已经几乎零误差的防护是非常值得称道的地方。但是它也有缺点:输入嵌入式保护,需要将保护代码和应用程序绑定在一起,如果保护代码质量不高会直接影响应用程序的性能。所以,如果中小企业希望使用 RASP 的解决方案,就必须选择一些在技术实现层面非常有经验的公司。

目前国内外推出 RASP 产品的厂商并不是很多,比较知名的有 Waratek、HP、OneAPM 等等,其中 Waratek、HP 的商业级产品往往非常昂贵,而且使用时还需要「翻墙」。值得一提的是,OneAPM 针对国内企业推出的 OneRASP,已经让数百家企业体验到了国际标准的 RASP 产品。

60万用户隐私泄露!中小企业如何做好互联网安全防护? 客户案例 第2张

深圳市雄煜智能技术有限公司就是其中一家,其 CEO 吴璋立感言:「作为一家刚刚起步的创业公司,我们的技术实力并不是很雄厚,但是我们对互联网安全问题非常重视,因为它直接关系到我们企业的‘命脉’!我们开始对 OneRASP 这类技术了解不是很多,但是我们对‘字节码’技术还是比较熟悉的,这种代码级的解决方案相较于市面上其他的方案,防护能力是非常强大的。涵盖了 SQL 注入、跨站脚步攻击、未捕获的异常等几乎全部的安全规则集,简单部署后就可以全面了解不同的攻击类型,不同等级威胁的分布情况,还有更加详细的防护日志。」