信息互聯(lián)時代,不可否認(rèn)的是����,企業(yè)的發(fā)展越來越多的依托信息技術(shù)的演進(jìn)�����,大多數(shù)企業(yè)利用信息化手段提高產(chǎn)出效率��,提升產(chǎn)品質(zhì)量���,可還有些企業(yè)卻想通過信息技術(shù)竊取別人的商業(yè)數(shù)據(jù),妄圖利用這種“省時省力”的方法打倒競爭對手����,贏得商業(yè)戰(zhàn)役。近期爆出的意見數(shù)據(jù)泄露事件就是這樣一個活生生的例子�。
事件回顧
7月12日,全國最大的實時公交軟件“酷米客”被爆出大量后臺數(shù)據(jù)遭泄露�����,竊取者竟是同行業(yè)競爭對手“車來了”���。本次泄漏事件涉及“酷米客”大量核心商業(yè)數(shù)據(jù)����,間接造成近20億損失。法網(wǎng)恢恢�,7月11日��,車來了CEO被南山警方以非法獲取計算機(jī)系統(tǒng)數(shù)據(jù)罪拘留���。在進(jìn)行分析之前����,小編先做了一下事件梳理:
2014年 酷米客發(fā)現(xiàn)一個ip集群��,盜取服務(wù)器上的數(shù)據(jù)
2015年10月 酷米客發(fā)現(xiàn)在北京的數(shù)據(jù)被大肆盜取
2016年01月 谷米科技公司向南山分局報案
2016年06月 車來了CEO被南山分局拘留
2016年07月11日 嫌疑人被批準(zhǔn)逮捕�,案件處于偵查階段
場景推演
安全事件爆出后,我們在進(jìn)行技術(shù)分析之前�,需要先搞清楚數(shù)據(jù)泄露的原因,才能夠提出有針對性的安全加固方案�����,而找出泄露根本原因必須嘗試還原場景�。
我們看到,整個事件的核心目標(biāo)是數(shù)據(jù)�。在還原場景前,我們必須先搞清楚哪種數(shù)據(jù)被泄露。對于公交手機(jī)軟件來說�,兩種數(shù)據(jù)至關(guān)重要:一種是用戶個人信息,另外一種是公交車實時返回的GPS數(shù)據(jù)���。GPS數(shù)據(jù)決定公交手機(jī)軟件對公交車位置的播報是否準(zhǔn)確����,是“酷米客”核心業(yè)務(wù)的基礎(chǔ)和支柱��。我們通過被爆出遭泄露的三個關(guān)鍵數(shù)據(jù)進(jìn)行判斷:
1. 酷米客”每天收集的數(shù)據(jù)大約15億條���;
2. 酷米客注冊用戶大概有400萬��;
3. 從2014年開始�����,就有一個IP集群每天登錄“酷米客”服務(wù)器上百萬次��,偷取數(shù)據(jù)���。
如果攻擊者的目標(biāo)是用戶信息,則不需要每天登陸服務(wù)器且取多次��,如此高的訪問頻率,只有一種可能�����,攻擊者竊取的是GPS實時返回的公交車定位數(shù)據(jù)����。
我們結(jié)合公交車軟件業(yè)務(wù)運作方式��,抽象出 “酷米客”的數(shù)據(jù)傳輸架構(gòu)�����,軟件的工作運行流程如下圖所示:
1. 酷米客在公交車上安裝了車載GPS�����,車載GPS每10秒向GPS信號接收口發(fā)送GPS信號�����。GPS信號報告公交車當(dāng)前位置�。
2. GPS信號接收集群處理GPS信號,整合出公交車所在經(jīng)緯度的數(shù)值信息,并把相關(guān)信息存儲到后臺的數(shù)據(jù)庫服務(wù)器中�����。
3. 為了保證安全數(shù)據(jù)庫集群把加密后的數(shù)據(jù)庫數(shù)據(jù)傳輸?shù)街С址?wù)的數(shù)據(jù)庫上準(zhǔn)備為用戶查詢提供數(shù)據(jù)。
4. 用戶通過手機(jī)上的app軟件訪問后臺服務(wù)器的支持?jǐn)?shù)據(jù)庫查詢出自己所關(guān)心的數(shù)據(jù)��,數(shù)據(jù)在app上被解密還原成明文展現(xiàn)給客戶��。
此次事件中黑客盜取了存放在支持服務(wù)數(shù)據(jù)庫中的加密數(shù)據(jù)�。根據(jù)“酷米客”員工的說法:攻擊者是采用模擬用戶登陸訪問,從實時公交app獲取公交信息���。攻擊者制作的模擬訪問軟件能同時模擬幾百萬甚至更多的用戶訪問登陸軟件��,這些訪問把結(jié)果數(shù)據(jù)綜合起來就能獲得公交實時數(shù)據(jù)���,再次處理后,通過APP發(fā)布信息�。這樣一套訪問-獲取-發(fā)布流程,最終數(shù)據(jù)輸出�����,只比酷米客的數(shù)據(jù)晚幾毫秒��。由此分析得出:整個事件的關(guān)鍵是如何在數(shù)據(jù)流上對非正常用戶的流量進(jìn)行攔截�����。作為一個互聯(lián)網(wǎng)公司,相信酷米客的信息安全意識不會很弱�,顯然,目前現(xiàn)有的數(shù)據(jù)安全防護(hù)不足以抵御此類攻擊����。
解決方案
通過對攻擊特點進(jìn)行分析,我們發(fā)現(xiàn)����,此類攻擊防御的關(guān)鍵點在于:如何從數(shù)據(jù)特征上分析出是人工登陸還是軟件模擬登陸���,識別登錄類型成為解決問題的關(guān)鍵點����。我們可以從兩個層面進(jìn)行識別:
在網(wǎng)絡(luò)層面����,通過識別ip的特征行為來判斷是否是非用戶操作。
基于網(wǎng)絡(luò)層面可以通過后臺服務(wù)器流量統(tǒng)計和日志分析來識別是否是非用戶操作�。競爭對手盜取公交信息實時數(shù)據(jù),必然是頻繁�����、大并發(fā)量、規(guī)律的獲取數(shù)據(jù)�。通過以上特點可以制定出具針對性的策略:
1. 在單位時間內(nèi)對每個ip可訪問后臺服務(wù)器的次數(shù)做限定、每次訪問減1�����,直至減到0為止�,如果該IP繼續(xù)訪問后臺服務(wù)器,可返回驗證圖片讓用戶填寫驗證碼����,以保證訪問者是真實用戶而非惡意軟件。
2. 對單一ip的同一時刻大量的訪問進(jìn)行減速處理����。通過鎖的方式,延長單個ip請求的所有數(shù)據(jù)回復(fù)速度���,使大并發(fā)短期內(nèi)拿不到所有數(shù)據(jù)����。讓實時數(shù)據(jù)過期無效���。
3. 機(jī)器發(fā)起訪問的頻率比較固定���,不像人的操作����,間隔時間無規(guī)則��,我們可以給每個IP地址建立一個時間窗口�,記錄IP地址最近12次訪問時間,每記錄一次滑動一次窗口��,比較最近訪問時間和當(dāng)前時間���,如果間隔時間很長判斷是用戶行為����,清除時間窗口�����;如果間隔不長�����,返回驗證圖片讓用戶填寫驗證碼�����。這種方式較為常見����,可以在一定程度上減緩酷米客遭到的入侵,但并不是一個完善的解決方案�。
在數(shù)據(jù)層面,通過對請求數(shù)據(jù)的特征和規(guī)律判斷是否是非用戶操作����。
通過網(wǎng)絡(luò)層能做到的只能是通過對統(tǒng)計數(shù)據(jù)的分析,事后區(qū)分操作者是用戶還是軟件���,很難及時發(fā)現(xiàn)數(shù)據(jù)被盜取��。相比之下�����,從數(shù)據(jù)層面的識別方法更準(zhǔn)確�����、快捷�。
在后臺應(yīng)用服務(wù)器和支持服務(wù)的數(shù)據(jù)庫之間部署數(shù)據(jù)庫防火墻,通過數(shù)據(jù)庫防火墻的應(yīng)用關(guān)聯(lián)功能可以把對后臺服務(wù)器提出的請求語句���、請求ip����、用戶信息等與最終向數(shù)據(jù)庫中提取的sql語句做關(guān)聯(lián)�。比如:一般情況下杭州的IP應(yīng)該查詢杭州的公交數(shù)據(jù)信息,如果杭州的IP查詢北京的公交信息��,這很可能是模擬軟件偽裝成用戶�����,這樣在返回公交信息數(shù)據(jù)庫前����,數(shù)據(jù)庫防火墻會阻斷數(shù)據(jù)庫的回包����,向后臺服務(wù)器發(fā)送信息,讓后臺服務(wù)器向可以鏈路發(fā)送身份驗證圖片�,一旦身份驗證圖片通過則發(fā)送被阻斷的數(shù)據(jù)庫回包�����。如果身份驗證超時或不通過�,則把該ip納入數(shù)據(jù)庫防火墻黑名單�����,以后�、、凡是杭州ip請求北京數(shù)據(jù)的行為直接阻斷����,不發(fā)送到數(shù)據(jù)庫端。這樣既及時的阻止了數(shù)據(jù)被盜取�,又減小了數(shù)據(jù)庫的查詢壓力。
總結(jié)
以上兩種識別阻斷方案針對本次攻擊事件提出����,雖然可以解決眼前的問題,但并非是最佳的長期解決方案�����。下次黑客從哪來?用什么方式��?采用什么技術(shù)���?攻擊的流量有什么特征����?面對不斷來襲的未知威脅�����,未雨綢繆���,加強(qiáng)核心數(shù)據(jù)的感知風(fēng)險能力��,才能形成主動的數(shù)據(jù)安全防護(hù)能力�����。
數(shù)據(jù)安全的感知風(fēng)險能力依托于��,從應(yīng)用請求和數(shù)據(jù)庫sql語句之間的固定映射關(guān)系以及請求語句和sql語句的特殊特征���?��?梢酝ㄟ^學(xué)習(xí)的方式自動完成數(shù)據(jù)庫和固定應(yīng)用之間的可信語句模型搭建�,只允許符合語法模型的應(yīng)用請求和sql語句從數(shù)據(jù)庫中獲取信息。一旦發(fā)現(xiàn)有不符合原語法模型的語句��,表示數(shù)據(jù)庫可能遭到非法訪問���,對語句進(jìn)行警告并控制��,并記錄下該行為的來源(IP地址和使用用戶名)�����,作為審查的線索���,以達(dá)到在第一時間發(fā)現(xiàn)異常行為,感知風(fēng)險�,進(jìn)行響應(yīng)。
產(chǎn)品咨詢:4000 258 365 
