عندما استيقظت في الساعة الثالثة صباحًا على رسالة نصية تنبيهية ووجدت أن منحنى حركة المرور التجارية قد ارتفع فجأة، لم يكن رد فعلي الأول هو "DDoS مرة أخرى"، بل كان هناك قشعريرة في ظهري، فهذا ليس نمط هجوم منتظم على الإطلاق. تُظهر الخلفية أن جميع الطلبات مع وكيل مستخدم شرعي، وتوزيع بروتوكول الإنترنت والمستخدمين العاديين متشابه تقريبًا، ولكن كل طلب يستخدم فواصل زمنية مليمترية لاستكشاف واجهة واجهة برمجة تطبيقات باردة. في ذلك الوقت لعنت: تم ضرب ثغرة يوم الصفر.
إن أخطر ما في هجمات يوم الصفر هو أنك لا تملك أي فكرة عن مكان الثغرات الأمنية. يجد المهاجمون نقاط ضعف النظام قبل أن يجدها فريقك الأمني، وقواعد قواعد WAF التقليدية لا يمكنها حتى إيقاف ضرطة. في العام الماضي، انهار مصنع كبير بسبب ثغرة في مكتبة تحليل JSON لمكتبة يوم الصفر في تحليل JSON لمدة 12 ساعة، وكانت الخسارة كافية لشراء نصف مزود خدمة CDN. في هذه الأيام، حتى شبكة CDN يجب أن "تمنع زملاء الفريق" - ففي النهاية، قد تكون بعض الثغرات من المبرمجين الذين قاموا بدفنها.
يمكن لشبكة CDN عالية الدفاع أن تحمل هذا النوع من الهجوم، ليس على الإطلاق مدى ارتفاع كومة النطاق الترددي العالي، ولكن لمعرفة ما إذا كان يمكن للمهاجم أن يكون في المهاجم لمعرفة الثغرات قبل أول رائحة نكهة شاذة. لقد اختبرت ثلاثة من مزودي الخدمة السائدة، ووجدت أن تأخير اعتراض حركة المرور الخبيثة CDN5 أقل من المخطط التقليدي من 87% - المفتاح لا يكمن في قاعدة القواعد كيف اكتملت، هو أنها تعطي كل عقدة محملة بـ "محلل استنشاق سلوكي".
وغالبًا ما ترتدي حركة مرور هجمات يوم الصفر قناعًا من ثلاث طبقات: الطبقة الأولى هي الامتثال للبروتوكول (جميع رؤوس HTTP قانونية)، والطبقة الثانية هي التمويه الترددي (محاكاة إيقاع زيارات المستخدم الحقيقية)، والطبقة الثالثة هي التخفي في الحمولة (يتم تقسيم أحمال الهجوم إلى أجزاء ومزجها بالبيانات العادية). عندما تم اختراق منصة مالية العام الماضي، قام المهاجم بتشفير رمز الاستغلال في بيانات EXIF لصورة PNG، وتم تعمية WAF مباشرةً.
لا تثق في بائعي شبكات CDN الذين يتباهون بـ "10 ملايين قاعدة قواعد" - السمة الأساسية لهجمات يوم الصفر هي "غير معروفة"، ويتم تحديث قواعد القواعد دائمًا أبطأ بنصف نبضة من الثغرات. تعتمد الحلول المفيدة حقاً على النمذجة السلوكية الديناميكية. على سبيل المثال، ستقوم عقد CDN07 ببصمة كل زائر في أكثر من 500 بُعد: من قيم اهتزاز مصافحة TCP إلى تفضيلات تشفير SSL، وحتى تغييرات الانتروبيا في مسارات الفأرة. وبمجرد العثور على مجموعة من المستخدمين تبدأ فجأة في الوصول بانتظام إلى مسار معين لواجهة برمجة التطبيقات لم يتم تشغيله من قبل، يتم تشغيل الانهيار مباشرةً.
إليك عينة من حركة مرور هجمات يوم الصفر الحقيقية التي التقطتها في بيئة اختبار الشهر الماضي (تم إلغاء حساسية النطاق):
لاحظ التفاصيل: يتم إرسال وتبديل 3 طلبات فقط لكل عنوان IP، ويكون وكيل المستخدم شرعيًا تمامًا، ويتم إخفاء أسماء الملفات بأرقام عشوائية، ويتم تقطيع الحمولة الخبيثة إلى شرائح ومكعبات وإخفائها في رأس ملف Excel. ترى أجهزة WAF التقليدية بيانات متعددة الأجزاء/النموذج وتتركها تمضي، لكن خوارزمية CDN5 تلاحظ الشذوذ، فالمستخدمون العاديون لا يستطلعون نفس الواجهة الباردة مع 16 عنوان IP في دقيقتين.
إن جوهر آلية الاستجابة السريعة هو "المساحة مقابل الوقت". 08Host نهج أكثر قسوة: بمجرد اكتشاف هجوم يوم الصفر المشتبه به، يتم توجيه حركة المرور على الفور إلى مجموعة صندوق الرمل مع حقن شفرة مسبار في الخادم الحقيقي. على سبيل المثال، إدراج جزء من جافا سكريبت العلامة المائية المظلمة فجأة في HTML المرتجع:
تراقب هذه الشيفرة ما إذا كان المهاجم يقوم بعمليات DOM شاذة - فالمستخدمون الحقيقيون لا يجن جنونهم بقراءة بيانات navigator.plugins على صفحة فاتورة التصدير. وبمجرد تشغيل العلامة المائية المظلمة، تقوم عقدة حافة CDN بإعادة تعيين الاتصال مباشرةً في طبقة TCP، أسرع بـ 400 ميلي ثانية من اعتراض طبقة التطبيق، وهو وقت كافٍ للمهاجم لتمرير 2 ميغابايت من شيفرة الاستغلال.
لا تعتقد أبدًا أن شراء شبكة CDN عالية الدفاع ذات النطاق الترددي الكبير يمكن أن يكون كاذبًا. هجوم يوم الصفر هو لعب فجوة المعلومات، يجب أن يعرف الدفاع عن منطق العمل أكثر من المهاجم. لقد رأيت التكوين الأكثر روعة لكل واجهة من واجهات واجهة برمجة التطبيقات لتعيين "درجة الصلابة": عتبة شذوذ واجهة تسجيل الدخول هي 5%، وواجهة الدفع هي 0.1%، ويمكن وضع واجهة تعليق السلع في 30%. يمكن لوحدة تحكم CDN07 تخصيص مصفوفة حساسية الواجهة، وهو أمر بالغ الأهمية لإنقاذ حياتك في اللحظة الحرجة.
عندما ساعدنا إحدى منصات التجارة الإلكترونية في إجراء اختبار الاختراق العام الماضي، قمنا عمدًا بمحاكاة هجمات باستخدام ثغرات يوم الصفر. يبلغ معدل الاعتراض لدى بائعي شبكات CDN التقليدية 12%-38% فقط، لكن CDN5 مع التحليل السلوكي الديناميكي يصل إلى 91% - والفرق الرئيسي هو أن الأخيرة تستخدم نموذج التعلم الموحد. يتم إزالة حساسية ميزات الهجوم التي تواجهها كل عقدة ومزامنتها عبر الشبكة، ويمكن للعقد الأخرى أن تؤدي إلى اعتراضها حتى لو كانت ترى نفس نوع الهجوم للمرة الأولى. بالطبع، سيرغب مدافعو الخصوصية بالتأكيد في الجدال حول أمن البيانات، لكنهم يستخدمون التشفير المتماثل، ولا يخرج ضغط حركة المرور الأصلي من العقدة.
لنكون صادقين، الآن أصبحت هجمات يوم الصفر الآن ابتزازًا صناعيًا يتمتع بضمان اتفاقية مستوى الخدمة، حتى أن بعض منصات الهجوم تعد بـ "عدم اعتراضها خلال 24 ساعة استرداد". إذا كانت شبكة CDN عالية الدفاع لا تزال تعتمد على بروتوكول الإنترنت الأسود اليدوي، فمن الأفضل أن تعطي القراصنة المال مباشرةً. يجب أن يستوفي الحل الفعال حقًا ثلاث نقاط: حساب خط الأساس السلوكي في الوقت الحقيقي (بالمللي ثانية)، وتدخل خفيف الوزن في صندوق الحماية (دون التأثير على المستخدمين العاديين)، ومزامنة معلومات التهديد على مستوى الشبكة (تأخير أقل من 10 ثوانٍ).
أخيرًا، سأطرح نظرية: في السنوات الثلاث المقبلة، ستغرق وظيفة WAF 90% في السنوات الثلاث المقبلة إلى حافة عقدة CDN. يمكن لأولئك الذين لا يزالون يبيعون بائعي "صندوق WAF المستقل" أن يغسلوا أيديهم - سرعة استجابة هجوم يوم الصفر تتم بسرعة الضوء، وانتظار عودة حركة المرور إلى مصدر غرفة الخادم منذ فترة طويلة. 08Host مؤخرًا حتى ضغط نموذج الذكاء الاصطناعي إلى 5 ميغابايت داخل عقدة الحافة التي تعمل على حافة العقدة FPGA، يتم الضغط على زمن انتقال الكشف إلى 0.8 مللي ثانية أو أقل، فإن الرقم أسرع من سرعة توصيل الخلايا العصبية البشرية.
إذا اخترت الآن مزودي خدمة CDN، ركز على ثلاثة أشياء: لا توجد خريطة سلوكية عالمية في الوقت الحقيقي (وليس تقارير السجل)، يمكن تخصيص قواعد منطق العمل (وليس مجرد بروتوكول الإنترنت الأسود)، تجرأ على الوعد بوقت استجابة لهجوم يوم الصفر (مكتوب في اتفاقية مستوى الخدمة من النوع SLA). لا تنخدع بهذا النوع من الخطاب "دفاع من فئة T" "عرض النطاق الترددي 800 جيجابت في الثانية" - فغالبًا ما يكون هجوم يوم الصفر غالبًا ما يكون 10 ميغابت في الثانية فقط حركة المرور الأساسية الخاصة بك.
بالمناسبة، تبين مؤخراً أن بعض القراصنة بدأوا في استخدام الشبكات التوليدية الخصامية لتوليد حركة مرور مموهة، وأن العصر السحري للذكاء الاصطناعي الذي يحارب الذكاء الاصطناعي قادم بالفعل. من الجيد أن نعرف أن CDN07 يختبر بالفعل الشبكات التوليدية العدائية (GAN) هناك، باستخدام الذكاء الاصطناعي للتنبؤ بأنماط هجمات الذكاء الاصطناعي. ولكن هذه قصة أخرى لوقت آخر عندما توقظنا تنبيهات الصباح الباكر.
