Astra Security是一家網(wǎng)絡(luò)應(yīng)用安全公司，通過(guò)實(shí)時(shí)惡意軟件監(jiān)控、威脅保護(hù)、惡意軟件刪除和網(wǎng)站保護(hù)服務(wù)提供整體網(wǎng)站安全解決方案。

他們的旗艦產(chǎn)品ASTRA匯集了大量手動(dòng)和自動(dòng)滲透測(cè)試工具，同時(shí)執(zhí)行全面的漏洞評(píng)估并主動(dòng)應(yīng)對(duì)威脅。

在這個(gè)不斷變化的時(shí)代，了解存在哪些威脅以及如何防范這些威脅非常重要，因此我與Astra聯(lián)合創(chuàng)始人兼首席執(zhí)行官Shikhil Sharma坐下來(lái)，聽取他對(duì)當(dāng)前網(wǎng)絡(luò)犯罪趨勢(shì)以及如何防范這些趨勢(shì)的實(shí)際建議和觀點(diǎn)。

讓我們從一點(diǎn)關(guān)于Astra Security的背景知識(shí)開始：它是如何開始的，主要思想是什么，以及到目前為止它是如何發(fā)展的</大約四年前，我和我的聯(lián)合創(chuàng)始人阿南達(dá)創(chuàng)辦了Astra Security。我們是在大學(xué)里認(rèn)識(shí)的，在那里我們學(xué)習(xí)計(jì)算機(jī)科學(xué)。從十幾歲開始，我們都對(duì)安全感興趣。我們?cè)?jīng)在印度一起度過(guò)暑假，只是為了好玩而開發(fā)惡意軟件。當(dāng)時(shí)，我們甚至不知道這是惡意軟件，我們常常通過(guò)遠(yuǎn)程開關(guān)朋友的電腦來(lái)捉弄他們。你知道，10-15年前，這真的是件大事。在我對(duì)安全感興趣之前，我就對(duì)黑客感興趣了。16歲時(shí)，我在印度陸軍的一個(gè)網(wǎng)站上發(fā)現(xiàn)了一個(gè)漏洞，我對(duì)此進(jìn)行了報(bào)道。一位印度陸軍將領(lǐng)回答并稱贊了我，所以我意識(shí)到，成為一名道德黑客要比站在不好的一邊，最終進(jìn)監(jiān)獄要好得多。很快，我和我的聯(lián)合創(chuàng)始人真的很想學(xué)習(xí)如何在網(wǎng)上賺錢。我開了一個(gè)名為HackingTweaks的博客。com和我的聯(lián)合創(chuàng)始人創(chuàng)建了一個(gè)名為Yaabot的博客，所以我們過(guò)去經(jīng)常寫大量關(guān)于黑客和博客的文章。我們只是在十幾歲的時(shí)候才開始在網(wǎng)上賺錢，那時(shí)我們才意識(shí)到互聯(lián)網(wǎng)的強(qiáng)大，因?yàn)槟闵踔敛恍枰隄M18歲或擁有大學(xué)學(xué)位就能真正找到工作。所以，我們開始考慮合作，我們意識(shí)到?jīng)]有人會(huì)付錢讓我們進(jìn)行黑客攻擊，而是為了安全。我們開始致力于服務(wù)方面的工作，在多家大公司中發(fā)現(xiàn)漏洞，并幫助修復(fù)它們，以換取漏洞獎(jiǎng)勵(lì)。

我們意識(shí)到，如果像雅虎、微軟、Adobe和At&T這樣的巨頭有這樣的漏洞，并且我們有能力找到它們，那么較小的企業(yè)就會(huì)有更多的漏洞，因?yàn)樗麄儧]有像雅虎或微軟那樣的數(shù)百名員工從事安全工作。于是我們想，讓我們讓企業(yè)的安全變得超級(jí)簡(jiǎn)單，而不是讓他們?cè)诎踩匣ㄙM(fèi)15000美元；相反，我們會(huì)給他們提供一個(gè)超級(jí)易于使用的服務(wù)，我們會(huì)以中小型企業(yè)能夠負(fù)擔(dān)的名義費(fèi)用來(lái)做這件事。

通常，當(dāng)人們開始使用安全解決方案時(shí)，他們會(huì)意識(shí)到它太難配置。有時(shí)解決方案會(huì)出現(xiàn)誤報(bào)和其他不準(zhǔn)確的情況，因此我們致力于為企業(yè)提供他們能夠理解的超級(jí)簡(jiǎn)單的解決方案，這就是Astra Security誕生的原因。

我們用從安全審計(jì)中賺來(lái)的錢來(lái)構(gòu)建產(chǎn)品，在這一過(guò)程中，我們獲得了大約400名beta注冊(cè)客戶。從那時(shí)起，我們的產(chǎn)品開始受到歡迎，我們獲得了一些獎(jiǎng)項(xiàng)，包括印度總理的一個(gè)獎(jiǎng)項(xiàng)，我們?cè)谝淮稳蚓W(wǎng)絡(luò)安全會(huì)議上獲得了這個(gè)獎(jiǎng)項(xiàng)。接下來(lái)，我們得到了法國(guó)政府的撥款，以擴(kuò)大我們?cè)跉W洲的業(yè)務(wù)。

P所以，在過(guò)去兩年中，我們一直與一個(gè)由14人組成的團(tuán)隊(duì)合作，其中一半來(lái)自我們最初的印度團(tuán)隊(duì)。我們當(dāng)時(shí)在法國(guó)，試圖利用從法國(guó)政府獲得的撥款擴(kuò)大我們的業(yè)務(wù)。因此，這是一個(gè)相當(dāng)過(guò)山車的旅程，現(xiàn)在，我們已經(jīng)達(dá)到了一個(gè)點(diǎn)，我們能夠阻止每月在數(shù)千個(gè)網(wǎng)站上超過(guò)700萬(wàn)次的攻擊，以及檢測(cè)數(shù)百萬(wàn)次惡意軟件攻擊。我們?yōu)橹行∑髽I(yè)創(chuàng)造了簡(jiǎn)單的幸福，這就是我們?yōu)橹行∑髽I(yè)創(chuàng)造的幸福。

下面簡(jiǎn)要介紹一下Astra

目前網(wǎng)站和移動(dòng)應(yīng)用程序所有者面臨的安全挑戰(zhàn)，以及Astra安全性有何幫助

首先，我想提到SSL只是安全性的一層。不知何故，多年來(lái)，SSL一直被不太懂技術(shù)的終端客戶認(rèn)為是完全安全的。SSL是非常重要的，即使是為了SEO目的；這對(duì)于谷歌的更新已經(jīng)變得很重要。但是SSL不一定能確保你的網(wǎng)站是超級(jí)安全的。

這些天我們看到了一些嚴(yán)重的漏洞。2019冠狀病毒疾病對(duì)企業(yè)產(chǎn)生了巨大影響。圍繞2019冠狀病毒疾病，黑客們也開始積極打擊網(wǎng)絡(luò)釣魚活動(dòng)。他們將捐款箱放在電子商務(wù)網(wǎng)站上，表示愿意將每次銷售的一定比例捐贈(zèng)給2019冠狀病毒疾病救助計(jì)劃。如果您想繼續(xù)捐贈(zèng)金額，請(qǐng)單擊此按鈕。所以，也許消費(fèi)者不介意花30美元或50美元來(lái)緩解新冠肺炎，但他們不知道的是，網(wǎng)站所有者從未在他們的網(wǎng)站上放過(guò)捐款選項(xiàng)。它是由黑客投入的，資金直接轉(zhuǎn)移到黑客控制的服務(wù)器上。這類黑客通常在WooCommerce、Magento、PrestaShop和OpenCart等流行平臺(tái)上建立的電子商務(wù)商店中發(fā)現(xiàn)。

最近我們看到的另一個(gè)例子是，只接受一種付款方式的網(wǎng)站突然在購(gòu)物車上出現(xiàn)了PayPal選項(xiàng)，讓客戶可以選擇通過(guò)PayPal付款。因此，黑客能夠?qū)⒁环N支付方式注入網(wǎng)站，而所有者只有在幾周后才意識(shí)到這一點(diǎn)，當(dāng)時(shí)客戶開始聲稱他們?yōu)閺奈唇桓兜漠a(chǎn)品付費(fèi)。事實(shí)證明，這些款項(xiàng)直接進(jìn)入了黑客的PayPal賬戶。這是典型的SQL注入攻擊。

這些壞機(jī)器人會(huì)攻擊網(wǎng)站、刮取數(shù)據(jù)、注入垃圾郵件或劫持SEO。這類襲擊已經(jīng)持續(xù)多年，我們幾乎每天都能看到。

您提到，其中一些攻擊是由機(jī)器人自動(dòng)執(zhí)行的。企業(yè)是否有辦法利用人工智能或機(jī)器學(xué)習(xí)來(lái)領(lǐng)先于這些攻擊</當(dāng)然，我認(rèn)為這是最受歡迎的安全解決方案。在我轉(zhuǎn)向人工智能或機(jī)器學(xué)習(xí)之前，企業(yè)主可以采取一些實(shí)際步驟，但其中許多仍然沒有。

不使用reCAPTCHA或谷歌的隱形驗(yàn)證碼是機(jī)器人試圖找到的一個(gè)弱點(diǎn)。有一種被稱為指紋識(shí)別或探測(cè)的方法，他們?cè)噲D找出網(wǎng)站的脆弱程度。如果在那一點(diǎn)上，你給他們驗(yàn)證碼挑戰(zhàn)，他們意識(shí)到你有一些安全措施，他們會(huì)轉(zhuǎn)到下一個(gè)網(wǎng)站。但是如果你讓他們進(jìn)來(lái)，而你甚至沒有驗(yàn)證碼，這是最基本的安全措施，只需要幾分鐘就可以實(shí)現(xiàn)，他們會(huì)把你視為潛在的受害者并利用你。接下來(lái)，我們將討論企業(yè)主如何制作小蜜罐。這就是我們對(duì)阿斯特拉所做的。每當(dāng)漏洞掃描器或機(jī)器人來(lái)到你的網(wǎng)站掃描漏洞時(shí)，他們都不會(huì)服從你的機(jī)器人。txt文件。這是安全掃描器和機(jī)器人使用的特征。他們真的想找到機(jī)器人里的東西。txt文件。例如，當(dāng)您提到/admin URL不應(yīng)該被索引時(shí)，這對(duì)安全專業(yè)人員或黑客來(lái)說(shuō)更重要。所以你能做的就是簡(jiǎn)單地建立一個(gè)小蜜罐系統(tǒng)，任何人只要訪問(wèn)一個(gè)不是你或你的組織的IP的鏈接，就不會(huì)跟隨機(jī)器人。你們放在那個(gè)里的txt規(guī)則，它會(huì)自動(dòng)變成bot塊頁(yè)面。在機(jī)器人中，這是一個(gè)現(xiàn)實(shí)的實(shí)現(xiàn)。txt文件，你把你的管理員或任何敏感文件，你可以把一個(gè)虛擬文件，你創(chuàng)建，例如，任何東西。php。任何訪問(wèn)該文件的人都不應(yīng)該訪問(wèn)該文件，應(yīng)該自動(dòng)從該網(wǎng)站上屏蔽。所以這是一個(gè)非常小的蜜罐，你可以把它放在適當(dāng)?shù)奈恢茫员Ｗo(hù)你免受機(jī)器人的攻擊，而且它不需要花費(fèi)太多時(shí)間來(lái)實(shí)現(xiàn)。關(guān)于機(jī)器學(xué)習(xí)，我認(rèn)為機(jī)器學(xué)習(xí)能夠解決的最大網(wǎng)絡(luò)安全問(wèn)題之一是檢測(cè)一個(gè)人如何在網(wǎng)站上進(jìn)行交互。這是我們阿斯特拉內(nèi)部一直在爭(zhēng)論的問(wèn)題。如果像HotJar或CrazyEgg這樣的SEO公司能夠通過(guò)記錄某人的行為或制作熱圖來(lái)準(zhǔn)確判斷某人在你的網(wǎng)站上做了什么，那么類似地，安全公司可以通過(guò)查看某人如何與你的網(wǎng)站互動(dòng)來(lái)找到同樣的應(yīng)用程序。機(jī)器人和人類與網(wǎng)站互動(dòng)的方式有很大不同。一個(gè)機(jī)器人會(huì)來(lái)到你的網(wǎng)站，在10秒內(nèi)打開50頁(yè)。這在人類身上是不可能的。這些數(shù)據(jù)點(diǎn)可以用來(lái)檢測(cè)人類和機(jī)器人的行為，從而創(chuàng)建基于模式的機(jī)器學(xué)習(xí)算法。

近年來(lái)，行業(yè)中的大玩家之一Cloudflare一直試圖做類似的事情，但出現(xiàn)的一個(gè)關(guān)鍵挑戰(zhàn)是，似乎存在一些誤報(bào)。所以目前，機(jī)器學(xué)習(xí)并沒有給出很好的準(zhǔn)確度。對(duì)于機(jī)器學(xué)習(xí)算法來(lái)說(shuō)，90%的準(zhǔn)確率是巨大的，但對(duì)于企業(yè)主來(lái)說(shuō)，即使是10%的準(zhǔn)確率也太大了。

讓我們以一家電子商務(wù)商店的店主為例。我們告訴他，好吧，我有一個(gè)機(jī)器學(xué)習(xí)解決方案，可以防止對(duì)系統(tǒng)的所有攻擊，但它的準(zhǔn)確率為90%。所以他們會(huì)說(shuō)，如果這10%是一個(gè)將在m上花費(fèi)5000美元的客戶呢

總結(jié)

以上是生活随笔為你收集整理的如何在2020年保护你的网站-Astra安全首席执行官访谈的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。