DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

抗ddos_防护用品网站_解决方案

06-27 WEB安全

抗ddos_防护用品网站_解决方案

最近的头条新闻购物机器人可能会有CISO问"我们的业务是否面临目标机器人攻击的风险?"和"我能做些什么来防止它发生在我们身上?"耐克和索尼不是第一个,也不会是最后一个因成功的购物机器人攻击而遭受声誉损害的品牌。因此,CISO必须开始权衡进行更大投资以保护其高关键性业务应用程序的风险和回报。

当前的应用程序安全状况

在保护web应用程序方面,我们都是,熟悉与软件代码本身的漏洞相关的风险。像OWASP这样的组织已经很好地记录了这些漏洞,并且通常由希望用他们的数千个目标中的一个来获取黄金的自动机器人来执行。这最终是一个数字游戏。如果您有一个连接到internet的应用程序,您可能遇到过这样的攻击。

好消息是,在正确的安全文化下,预防和检测措施是相当常规的。至少每个应用程序都需要某种类型的保护,比如web应用程序防火墙。

然而,机器人的使用不再局限于利用软件代码中的漏洞。随着应用程序对业务操作越来越重要,攻击者正在寻找业务逻辑漏洞,以获取对高价值数字属性的访问。这样的攻击需要一个高度专业化的机器人来对一组特定的目标进行非常特殊的攻击。目标越有价值,攻击者寻找弱点的时间就越长。事实上,据估计,互联网上的大多数机器人流量都具有中等或高级的复杂程度,ddos防御入门,而不是像BASH脚本这样向web应用程序喷射和祈祷请求的更基本的自动化程序。

更复杂的是,防御ddos虚拟主机,这些高级机器人经常模仿人类行为,这使得区分bot流量和真实用户流量变得困难。如果你所处的行业像零售业、金融业甚至杂货配送业,在过去的一年里经历了在线业务的激增,免费ddos防御工具,那么当大量新用户帐户被创建时,你可能不会多想。或者,以耐克和索尼为例,当一款热门产品几乎立即售罄时。

如果你有一款高危害性的应用程序,可能成为欺诈、滥用或商业逻辑攻击的目标,那么事实是:一个简单的WAF就不会再削减它了。预防需要整个组织的协调。

业务逻辑攻击:共享风险、共享责任

成功攻击业务逻辑漏洞会在整个企业产生连锁反应。最深远和最明显的影响将是当攻击者滥用您的服务并贬低客户体验时对品牌的影响。攻击者不会在意您的服务是否中断,只要他们能盈利,但客户绝对会在意,这可能会导致收入和保留率的长期损失。这肯定会引起C-suite的注意。

除了对品牌声誉的威胁外,复杂的机器人攻击还会对业务、可用性和安全性造成一些非常明显的威胁,应在整个业务范围内全面地降低这些风险,组织内的IT和安全所有者。

业务风险–对业务逻辑的攻击会污染数据和站点指标,使您很难了解您的实际客户是谁。机器人还可以从应用程序中获取知识产权,以供自己使用和获利。或者,他们可能完全复制您的web应用程序来创建自己的恶意版本,目的是收集用户凭据或从您的网站窃取业务。

可用性风险-最常见的情况是当我们谈论与服务可用性相关的机器人和自动攻击时,我们讨论的是拒绝服务攻击,这会带来明显的财务和声誉风险。性能下降和拒绝库存对可用性构成了类似的威胁。

还有一个非常实际的风险,即会导致大量基础设施成本。比如说,一个坏机器人以AWS上托管的应用程序为目标。机器人会用不需要的流量淹没该应用程序,而你最终会为你甚至不想要的流量支付巨额AWS账单。

安全风险–有针对性的自动攻击会带来一些新的安全风险,cc脚本防御代码,这些风险在更常见的攻击向量和漏洞利用中是不存在的。这些风险包括站点足迹和侦察、站点特定漏洞扫描和漏洞利用以及凭证填充。凭证填充,使用自动网络注入来接管用户帐户,是一种新兴的威胁,对企业及其客户来说都是特别危险的。

权衡反机器人、反欺诈投资的风险与回报

考虑到这些风险,CISO,以及最终整个企业,需要了解反bot和反欺诈技术的潜在投资回报。这并不是套件中每个应用程序都需要的,尤其是当应用程序对攻击者几乎没有潜在价值时。然而,对于你的高价值、高风险的应用程序,这些技术可以防止足够的经济损失来保证投资。高成本、高风险、高发生概率的攻击将成为首要任务。鉴于低成本、高频率攻击和高成本、低频率攻击可能具有相同的优先级。

最后,尽管web应用程序安全计划可能是CISO驱动的,来自业务线所有者和IT所有者的认可是必不可少的,甚至可能开辟新的P&L来进行必要的安全投资。

本文总结了最近Kudelski安全网络广播"应用程序安全保护"的要点。F5与Kudelski security一起提供应用程序安全服务。

作者Shannon Garcia Kudelski security攻击性安全服务和应用程序安全集成咨询主管Shannon负责Kudelski的攻击性安全服务和安全集成咨询。我们的任务是通过跨人员、流程和技术的纵深防御方法,使组织能够自信有效地实施网络安全原则和相关活动。我们的目标是帮助组织通过降低因疏忽行为或恶意意图而被利用的可能性,软件防御ddos,来防止和最小化其公司环境以及专有产品和/或服务中的安全漏洞。Shannon-Garcia(see all)机器人的最新帖子正在利用业务逻辑漏洞。你的Web应用安全吗?-2021年5月13日

FacebookTwitterEmail分享

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/70392.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9311501访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X