你必须知道的税务行业四大新型安全风险
1、0day漏洞攻击
漏洞探测作为监管机构的重要检查标准和攻防对抗中信息收集的重要部分,一直是Web安全防护的重点。然而传统安全设备基于规则进行识别的防护原理无法匹配0day漏洞尚未被知悉的特征,补丁的出台也必然存在滞后性。电子税务局等重要应用一旦被发现零日漏洞,使用精心构造的xml数据可能造成任意代码执行,拿到服务器权限,后果极严重。同时,部署在服务器之前的安全产品如果被探测到0day漏洞并被利用,原本充当护盾的安全设备则会直接成为攻击者进入内网的通道。
2、企业敏感信息泄漏
如今,各地方税务局会将失信企业信息、欠税单位信息等在涉税查询板块公示,公示内容包括失信企业的名称、法人代表、案件性质和处罚情况等。然而,原本为了让政务更加公开透明的公示信息却成为了黑产获利的捷径。黑产团队通过Bots自动化工具批量查询爬取这些敏感信息,进而出售并获取非法利益。除此之外,大规模、长时间的爬虫更会对网站造成很大负荷,影响网站的正常运行和访问。
3、发票信息批量查询
部分第三方平台利用自动化工具调用电子税务局的查询页面,绕过验证码、黑名单等防护,从而获取电子发票的查询结果,并将结果展示在自身平台上供互联网用户查询。这对税务站点的权威性和电子票据的隐私性都有可能造成负面影响。
4、App仿冒
目前市面上已经出现了仿冒个人所得税、自助办税等应用的假冒APP。不法分子通过套壳或是克隆正版APP的方式欺骗用户下载,从而盗取个人用户和企业用户的登录账号以及隐私数据。
四大举措保障税务行业应用、业务与数据安全
1、0day漏洞防护
通过“动态封装”技术隐藏网站敏感信息,让自动化工具的探测无法得到网站的框架和入口,防护潜在0day漏洞的路径被发现。同时通过“动态令牌”技术直接阻断脚本或扫描器请求,主动即时拦截针对0day漏洞的扫描行为。
2、重要数据保护
应用“动态令牌”技术,拦截通过脚本工具进行的批量爬取。而针对使用高级工具如web_driver、Phantomjs模拟浏览器访问发起的爬虫攻击,可通过“动态验证”技术采集客户端信息并进行分析,直接阻断由工具驱动浏览器发起的爬虫行为。同时,全流量记录的日志平台会通过细粒度分析,溯源爬虫主要针对的页面及攻击手法,以便深度了解黑产手法和攻击目标。
利用“动态令牌”技术,能够细粒度检查每一次请求是否合法合规,是否由正常用户通过浏览器发起。在实际防护过程中,瑞数信息发现及拦截了大量由第三方平台通过工具发起的业务请求,保障了税务官方应用的权威性及公信度。
4、防止APP仿冒
通过验证证书、“动态验证”技术,能够多维度验证请求是否由仿冒APP或套壳APP发起,手机端是否进行过越狱或通过沙盒访问。通过“动态混淆”技术,防止请求被中间人进行篡改。瑞数信息多维度的验证和加密,保障了官方APP的唯一性,保护了用户账号和个人信息的安全。
全景威胁透视+实时阻断+轻量管理
1、全景威胁透视
自适应业务变化,能够根据业务特性调优。通过细粒度针对性防护,全景透视攻击威胁,深度挖掘攻击持续时间、威胁评分和依据等优质有效的威胁数据。
2、实时阻断扫描探测
对于使用工具发起的批量漏洞探测和扫描,通过动态安全防护技术,直接从根源阻断该类探测请求,摆脱封禁IP、打补丁的滞后和繁琐,实现主动式安全防御。
3、业务数据保护
拦截恶意爬虫对公告等重要信息的提取,避免黑产加以利用并从中获利。对批量操作缴税业务及批量发票查询等违规操作进行拦截,保障权威性及业务的正常运转。
4、轻量管理
无需修改任何应用服务器代码,客户端无需配置,大幅减少人工维护量和资源消耗,实现快速和轻量的部署与管理。