信息互聯(lián)時(shí)代,不可否認(rèn)的是���,企業(yè)的發(fā)展越來越多的依托信息技術(shù)的演進(jìn)�����,大多數(shù)企業(yè)利用信息化手段提高產(chǎn)出效率���,提升產(chǎn)品質(zhì)量����,可還有些企業(yè)卻想通過信息技術(shù)竊取別人的商業(yè)數(shù)據(jù)��,妄圖利用這種“省時(shí)省力”的方法打倒競爭對(duì)手���,贏得商業(yè)戰(zhàn)役�����。近期爆出的意見數(shù)據(jù)泄露事件就是這樣一個(gè)活生生的例子����。
事件回顧
7月12日��,全國最大的實(shí)時(shí)公交軟件“酷米客”被爆出大量后臺(tái)數(shù)據(jù)遭泄露�����,竊取者竟是同行業(yè)競爭對(duì)手“車來了”��。本次泄漏事件涉及“酷米客”大量核心商業(yè)數(shù)據(jù),間接造成近20億損失�����。法網(wǎng)恢恢�,7月11日,車來了CEO被南山警方以非法獲取計(jì)算機(jī)系統(tǒng)數(shù)據(jù)罪拘留�。在進(jìn)行分析之前,小編先做了一下事件梳理:
2014年 酷米客發(fā)現(xiàn)一個(gè)ip集群���,盜取服務(wù)器上的數(shù)據(jù)
2015年10月 酷米客發(fā)現(xiàn)在北京的數(shù)據(jù)被大肆盜取
2016年01月 谷米科技公司向南山分局報(bào)案
2016年06月 車來了CEO被南山分局拘留
2016年07月11日 嫌疑人被批準(zhǔn)逮捕,案件處于偵查階段
場景推演
安全事件爆出后�,我們?cè)谶M(jìn)行技術(shù)分析之前,需要先搞清楚數(shù)據(jù)泄露的原因�����,才能夠提出有針對(duì)性的安全加固方案��,而找出泄露根本原因必須嘗試還原場景���。
我們看到��,整個(gè)事件的核心目標(biāo)是數(shù)據(jù)���。在還原場景前���,我們必須先搞清楚哪種數(shù)據(jù)被泄露。對(duì)于公交手機(jī)軟件來說��,兩種數(shù)據(jù)至關(guān)重要:一種是用戶個(gè)人信息�����,另外一種是公交車實(shí)時(shí)返回的GPS數(shù)據(jù)��。GPS數(shù)據(jù)決定公交手機(jī)軟件對(duì)公交車位置的播報(bào)是否準(zhǔn)確��,是“酷米客”核心業(yè)務(wù)的基礎(chǔ)和支柱�。我們通過被爆出遭泄露的三個(gè)關(guān)鍵數(shù)據(jù)進(jìn)行判斷:
1. 酷米客”每天收集的數(shù)據(jù)大約15億條;
2. 酷米客注冊(cè)用戶大概有400萬����;
3. 從2014年開始,就有一個(gè)IP集群每天登錄“酷米客”服務(wù)器上百萬次���,偷取數(shù)據(jù)�����。
如果攻擊者的目標(biāo)是用戶信息�,則不需要每天登陸服務(wù)器且取多次,如此高的訪問頻率�,只有一種可能,攻擊者竊取的是GPS實(shí)時(shí)返回的公交車定位數(shù)據(jù)��。
我們結(jié)合公交車軟件業(yè)務(wù)運(yùn)作方式��,抽象出 “酷米客”的數(shù)據(jù)傳輸架構(gòu)����,軟件的工作運(yùn)行流程如下圖所示:
1. 酷米客在公交車上安裝了車載GPS,車載GPS每10秒向GPS信號(hào)接收口發(fā)送GPS信號(hào)��。GPS信號(hào)報(bào)告公交車當(dāng)前位置���。
2. GPS信號(hào)接收集群處理GPS信號(hào),整合出公交車所在經(jīng)緯度的數(shù)值信息,并把相關(guān)信息存儲(chǔ)到后臺(tái)的數(shù)據(jù)庫服務(wù)器中�����。
3. 為了保證安全數(shù)據(jù)庫集群把加密后的數(shù)據(jù)庫數(shù)據(jù)傳輸?shù)街С址?wù)的數(shù)據(jù)庫上準(zhǔn)備為用戶查詢提供數(shù)據(jù)����。
4. 用戶通過手機(jī)上的app軟件訪問后臺(tái)服務(wù)器的支持?jǐn)?shù)據(jù)庫查詢出自己所關(guān)心的數(shù)據(jù)����,數(shù)據(jù)在app上被解密還原成明文展現(xiàn)給客戶�。
此次事件中黑客盜取了存放在支持服務(wù)數(shù)據(jù)庫中的加密數(shù)據(jù)。根據(jù)“酷米客”員工的說法:攻擊者是采用模擬用戶登陸訪問����,從實(shí)時(shí)公交app獲取公交信息。攻擊者制作的模擬訪問軟件能同時(shí)模擬幾百萬甚至更多的用戶訪問登陸軟件��,這些訪問把結(jié)果數(shù)據(jù)綜合起來就能獲得公交實(shí)時(shí)數(shù)據(jù)����,再次處理后,通過APP發(fā)布信息�����。這樣一套訪問-獲取-發(fā)布流程����,最終數(shù)據(jù)輸出,只比酷米客的數(shù)據(jù)晚幾毫秒�。由此分析得出:整個(gè)事件的關(guān)鍵是如何在數(shù)據(jù)流上對(duì)非正常用戶的流量進(jìn)行攔截。作為一個(gè)互聯(lián)網(wǎng)公司,相信酷米客的信息安全意識(shí)不會(huì)很弱�����,顯然���,目前現(xiàn)有的數(shù)據(jù)安全防護(hù)不足以抵御此類攻擊��。
解決方案
通過對(duì)攻擊特點(diǎn)進(jìn)行分析���,我們發(fā)現(xiàn),此類攻擊防御的關(guān)鍵點(diǎn)在于:如何從數(shù)據(jù)特征上分析出是人工登陸還是軟件模擬登陸�,識(shí)別登錄類型成為解決問題的關(guān)鍵點(diǎn)。我們可以從兩個(gè)層面進(jìn)行識(shí)別:
在網(wǎng)絡(luò)層面�����,通過識(shí)別ip的特征行為來判斷是否是非用戶操作�����。
基于網(wǎng)絡(luò)層面可以通過后臺(tái)服務(wù)器流量統(tǒng)計(jì)和日志分析來識(shí)別是否是非用戶操作�����。競爭對(duì)手盜取公交信息實(shí)時(shí)數(shù)據(jù)���,必然是頻繁�����、大并發(fā)量�����、規(guī)律的獲取數(shù)據(jù)�����。通過以上特點(diǎn)可以制定出具針對(duì)性的策略:
1. 在單位時(shí)間內(nèi)對(duì)每個(gè)ip可訪問后臺(tái)服務(wù)器的次數(shù)做限定���、每次訪問減1,直至減到0為止��,如果該IP繼續(xù)訪問后臺(tái)服務(wù)器�,可返回驗(yàn)證圖片讓用戶填寫驗(yàn)證碼,以保證訪問者是真實(shí)用戶而非惡意軟件�。
2. 對(duì)單一ip的同一時(shí)刻大量的訪問進(jìn)行減速處理。通過鎖的方式����,延長單個(gè)ip請(qǐng)求的所有數(shù)據(jù)回復(fù)速度���,使大并發(fā)短期內(nèi)拿不到所有數(shù)據(jù)。讓實(shí)時(shí)數(shù)據(jù)過期無效���。
3. 機(jī)器發(fā)起訪問的頻率比較固定�����,不像人的操作����,間隔時(shí)間無規(guī)則�����,我們可以給每個(gè)IP地址建立一個(gè)時(shí)間窗口�����,記錄IP地址最近12次訪問時(shí)間�,每記錄一次滑動(dòng)一次窗口���,比較最近訪問時(shí)間和當(dāng)前時(shí)間�,如果間隔時(shí)間很長判斷是用戶行為,清除時(shí)間窗口����;如果間隔不長,返回驗(yàn)證圖片讓用戶填寫驗(yàn)證碼����。這種方式較為常見,可以在一定程度上減緩酷米客遭到的入侵�����,但并不是一個(gè)完善的解決方案��。
在數(shù)據(jù)層面��,通過對(duì)請(qǐng)求數(shù)據(jù)的特征和規(guī)律判斷是否是非用戶操作�。
通過網(wǎng)絡(luò)層能做到的只能是通過對(duì)統(tǒng)計(jì)數(shù)據(jù)的分析,事后區(qū)分操作者是用戶還是軟件�,很難及時(shí)發(fā)現(xiàn)數(shù)據(jù)被盜取。相比之下����,從數(shù)據(jù)層面的識(shí)別方法更準(zhǔn)確�、快捷�����。
在后臺(tái)應(yīng)用服務(wù)器和支持服務(wù)的數(shù)據(jù)庫之間部署數(shù)據(jù)庫防火墻����,通過數(shù)據(jù)庫防火墻的應(yīng)用關(guān)聯(lián)功能可以把對(duì)后臺(tái)服務(wù)器提出的請(qǐng)求語句、請(qǐng)求ip���、用戶信息等與最終向數(shù)據(jù)庫中提取的sql語句做關(guān)聯(lián)�����。比如:一般情況下杭州的IP應(yīng)該查詢杭州的公交數(shù)據(jù)信息����,如果杭州的IP查詢北京的公交信息���,這很可能是模擬軟件偽裝成用戶����,這樣在返回公交信息數(shù)據(jù)庫前��,數(shù)據(jù)庫防火墻會(huì)阻斷數(shù)據(jù)庫的回包,向后臺(tái)服務(wù)器發(fā)送信息��,讓后臺(tái)服務(wù)器向可以鏈路發(fā)送身份驗(yàn)證圖片�����,一旦身份驗(yàn)證圖片通過則發(fā)送被阻斷的數(shù)據(jù)庫回包�����。如果身份驗(yàn)證超時(shí)或不通過�,則把該ip納入數(shù)據(jù)庫防火墻黑名單�,以后、��、凡是杭州ip請(qǐng)求北京數(shù)據(jù)的行為直接阻斷���,不發(fā)送到數(shù)據(jù)庫端��。這樣既及時(shí)的阻止了數(shù)據(jù)被盜取�,又減小了數(shù)據(jù)庫的查詢壓力����。
總結(jié)
以上兩種識(shí)別阻斷方案針對(duì)本次攻擊事件提出����,雖然可以解決眼前的問題�,但并非是最佳的長期解決方案。下次黑客從哪來��?用什么方式��?采用什么技術(shù)���?攻擊的流量有什么特征��?面對(duì)不斷來襲的未知威脅���,未雨綢繆,加強(qiáng)核心數(shù)據(jù)的感知風(fēng)險(xiǎn)能力�����,才能形成主動(dòng)的數(shù)據(jù)安全防護(hù)能力���。
數(shù)據(jù)安全的感知風(fēng)險(xiǎn)能力依托于����,從應(yīng)用請(qǐng)求和數(shù)據(jù)庫sql語句之間的固定映射關(guān)系以及請(qǐng)求語句和sql語句的特殊特征??梢酝ㄟ^學(xué)習(xí)的方式自動(dòng)完成數(shù)據(jù)庫和固定應(yīng)用之間的可信語句模型搭建,只允許符合語法模型的應(yīng)用請(qǐng)求和sql語句從數(shù)據(jù)庫中獲取信息�����。一旦發(fā)現(xiàn)有不符合原語法模型的語句���,表示數(shù)據(jù)庫可能遭到非法訪問,對(duì)語句進(jìn)行警告并控制��,并記錄下該行為的來源(IP地址和使用用戶名)����,作為審查的線索,以達(dá)到在第一時(shí)間發(fā)現(xiàn)異常行為�,感知風(fēng)險(xiǎn),進(jìn)行響應(yīng)�。
產(chǎn)品咨詢:4000 258 365 
