数据加密或成WAF失效最大元凶…

阅读量104822

发布时间 : 2021-05-18 10:32:06

 

如今,大多数移动设备和在线应用程序都很容易受到黑客攻击,几乎任何人都可能成为黑客的攻击目标。手机银行传输业务数据时,会使用一种“端到端”(用户端—服务端)加密的方式,来确保它传输的数据安全。这种为了保障安全的方式,却带来了新的安全问题。

我们重金请出了“张大爷和他的羊”来为大家解释:

有位名人曾说:“狼”不可怕,可怕的是引“狼”入室

张大爷千防万防最终还是被狼摆了一道

教训是惨痛的

历史往往也是惊人的相似

……

 

划重点

从手机银行业务场景的视角来解释这个漫画,就是手机银行业务在标准SSL加密的基础上,会采用这种“端到端”的形式进行双重加密,这种加密机制多为机构自研或采购第三方定制开发完成,采用自主选择或研制的加解密算法模块,内嵌到移动端及业务服务器端,完成加解密动作。此种“端到端”的加密方式,使数据在传输到应用服务器之前的过程里一直为密态。


大家都很开心,但是WAF懵懵懵懵懵了……

WAF表示:这个密态数据检测的大题,我不会做

不过,这个真的不怪WAF

它天生对密态数据无能为力

经过“张大爷买羊”的生活案,我们同理可知,应用层数据在没有WAF保护的情况下直接部署生产使用,将成为巨大的安全隐患。

 

“端到端”加密,WAF串联防护无效

因为定制加密为“端到端”方式,传输链路中无明文传输,应用层数据无法得到专业应用安全设备的检测与防护。

 

易发生入侵风险,安全响应滞后

没有应用层防护产品作为屏障,极易导致在遭受攻击之后才感知到安全风险,造成先损失、后补救的被动局面。

 

应用安全数据缺失,无法掌握全局态势

缺少移动业务端应用安全检测与分析数据,无法进行完整的应用层安全风险态势分析。

 

手机银行加密数据安全检测方案

如何破冰

众所周知,基于HTTPS的加密,WAF只需要企业上传对应的SSL证书即可进行数据解密,进而实现检测。但是在这种“端到端”的特别加密方式下,WAF无法接收到任何明文数据,所以我们只要找到业务服务器解密后的数据流量,并将其在进入业务应用之前导入WAF,就能够让WAF正常地对应用层数据进行检测,有效拦截恶意流量。这样一来,WAF对于加密数据失效的问题迎刃而解,数据加密带来的安全隐患也随之消除。

我们从手机银行业务流转逻辑出发,在客户服务器内的加密数据完成解密但还未投入应用的间隙,利用嵌入式的SDK将完成解密的流量引流到雷池(SafeLine)下一代Web应用防火墙集群中,对数据进行攻击检测,并通过SDK返回检测结果,完成对应的放行/阻断动作。

价值优势

SDK开发简便,嵌入无感

嵌入的SDK仅有少量的对应接口配置代码,由于基于SDK的软件是客户自己开发的,相较于内嵌Agent式的RASP产品而言,企业可以自主控制软件的资源消耗和权限范围;另一方面,我们的SDK仅包含发送数据到雷池(SafeLine)和接收返回的检测结果,所以对资源的消耗和占用极小。此外,简单的开发过程不会为企业带来高昂、繁琐的部署成本。

代码示例:

多种数据流接入方法,满足丰富应用场景

可支持Kafka的java/python自带对应的库文件和自研程序调用SDK创建简单实例收发,完成数据的引流检测。

 

智能语义分析算法,便捷升级规则引擎

整体方案依托于长亭雷池(SafeLine)下一代Web应用防火墙实现,引擎的更新、升级均在业务服务器外进行,不会对SDK或服务器内部其他应用带来任何影响。

 

灵活自定义配置管理,高并发流量轻松应对

支持自定义备注标识,轻松定位、灵活归类、自由反馈每条攻击日志,允许多线程、多节点高并发处理大流量数据。

本文由长亭科技原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/241224

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
长亭科技
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66