商业逻辑攻击：网络世界里的商战

知道“BLA”是什么意思么?不是“打败洛杉矶湖人(Beat LA)”，当然更不是什么时尚品牌的缩写。BLA是Business Logic Attacks(商业逻辑攻击)的缩写，这是由世界著名数据安全公司Imperva在2011年6月至11月期间所发现的一种新型网络攻击方式(详情参阅《黑客发现攻击新手段　关注业务逻辑攻击》)，而这种攻击很可能将成为未来互联网世界里商战的雏形。

探索•发现IT世界里的秘密

本期主题：商业逻辑攻击：未来网络世界里的商战

本期嘉宾：Imperva中国区总经理 王曦瀚/Imperva系统工程师经理 张京军

商业逻辑攻击——BLA

商业逻辑攻击所针对的是用户的商业逻辑，不同于传统攻击方式，它不会去破坏系统(或者尽量避免对系统的破坏)，它会模拟正常用户的访问行为，这种攻击方式的请求访问在外表上看和正常的业务访问是一样的，这就使得传统防御模式逐渐失效。

现在有两类商业逻辑攻击比较流行：电子邮件提取和垃圾评论。通过电子邮件地址抽取实现的攻击，它模拟真实用户访问客户网站(论坛、博客、社交网络……)，对客户Web网站中的电子邮件地址进行简单抽取和分类，建立垃圾邮件发送列表。而这一系列动作与正常用户访问几乎完全一样，很难辨识出其真实目的。

垃圾评论的攻击者会在某些排名靠前的论坛注册，发表、回复某些言论，内嵌恶意链接地址来改变搜索引擎结果，一方面导入流量，使得其获益的网站在搜索引擎的排名靠前，一方面让搜索引擎更多搜到获益网站，从而潜在诈骗消费者。为了让所发帖子处于显著位置被更多网友看到，恶意攻击者会发起投票，或想办法设置成置顶帖。

据统计，这些商业逻辑攻击在恶意攻击流量中占到14%。由于黑客可以通过合法的途径跟踪用户与应用程序的交互，因此业务逻辑层的攻击(商业逻辑攻击)对于黑客具有非常大的吸引力。黑客可以利用应用程序截获私人信息，进行扭曲，并外泄给其他更多的用户，而这些行为通常不受安全控制。

商业逻辑攻击的特征与主要防御手段

商业逻辑攻击完全模仿真人操作行为，模拟真实人员的逻辑动作，并主动让发起攻击所用的帖子处于显著位置，或者通过爬虫程序搜寻到论坛里的邮件地址。商业逻辑攻击的访问频率很高，攻击出现的位置在论坛里较多，其点击页面发出请求的起始点以及IP地址都存在一定异常。

张京军认为，商业逻辑攻击非法窃取相关数据用于自身宣传推广，所以防御商业逻辑攻击需要综合考虑：通过WAF等产品识别HTTP协议异常、User Agent异常;通过主动推送测试Javascript辨识是程序爬虫还是真实的人;对于异常IP地址进行监控，发现异常IP地址后可以禁止访问。

•信誉机制的监测：获得并使用估计来源的主机IP黑名单。

•高点击率：流量整形是自动化攻击最基本的指示。一旦超过与其相关的临界值(例如，每分钟点击3次)，应用程序就应该延迟或阻止与应用客户端信息交换。

•访问流量的技术属性：软件工具产生的流量通常具有技术特征(例如特定的HTTP头)，不同于一般浏览器所产生的流量。如果这不是预期的使用场景，阻止该流量。

•攻击流量的地理信息对即时做出数据安全对策有所帮助。例如，经分析的业务逻辑攻击拥有独特的地理特征。

•商业行为的重复：例如，多次登陆失败表明密码受到恶意攻击。当然，你的Web应用安全设备必须能够识别出这些“差异或者异常的表现”。

•质疑应用程序的网络客户端：测试你的应用程序是否真的与浏览器进行交互。例如，“虚假”浏览器没有对Java语言的执行能力。该应用流需包含发送Java语言代码给客户并核查其是否真的被执行。

•检测确有真人在操作：通过CAPTCHA(全自动区分计算机和人类的图灵测试)检测终端用户是真人。

2012安全关键词：数据安全

王曦瀚认为，商业逻辑攻击通过自动化程序非法获取未进行安全防护的公开数据信息， 2012年数据安全问题应该是首要关注的问题。2011年一系列重大数据泄密事件的发生，以及国家层面的重视，使得数据安全问题成为当前的绝对关注重点，信息防泄密已经引起各个行业的重视与关注，2012年安全的主题词之一应该是“数据安全”。

对于用户而言，要想解决数据安全问题，不能仅仅依靠几款产品，但一定要有一个很好的安全防护工具。现在许多数据安全问题出现在应用上，传统通用安全产品并不能完全解决数据安全问题。但同时不能忽视的一点是，购买了好的安全防护产品，还需要专业的安全人员使用，所以相关安全培训极为重要。最后就是安全管理，建立好的安全管理体系也不可或缺。

安全是一个流程性的东西，好的设备、好的人、定期安全检查都很必要，安全巡检能够帮助用户提前发现安全应用漏洞。现在许多安全产品都是事后审计为主，而事前预警相对比较薄弱。

数据防泄密主要是在应用层，传统安全产品主要工作在网络层。基于网络层的安全防御体系通过传统安全产品建立即可，在应用层的安全防御体系则需要新的数据安全加固产品来建立。现在国内许多大型银行都开始重视数据安全问题，通过Imperva的产品进行数据安全加固，大型保险公司、运营商也在开始重视数据防泄密。

商业逻辑攻击：未来网络商战雏形

商业逻辑攻击，通过不破坏系统的方式，悄悄搜集未加密的公开个人信息，并利用这些信息进行自我促销。其搜集信息的对象可能是其竞争对手网站，也可能仅是人气度很高的公众网站。其针对的目标，则主要是其潜在消费者。商业逻辑攻击已经具有了一定的商战雏形，只不过还属于比较初级的阶段。但这一攻击类型值得引起人们的警惕，一旦商业逻辑攻击(BLA)与高级可持性(APT)类攻击相结合，所爆发出来的网络商战威力不容小视。