網站的宙斯盾–網站安全
15
網站承載了各式各樣的開放信息,已經成為互聯網上主要的內容傳播載體。政府、金融、教育等網站中存放著比較重要的敏感數據並且擁有知名搜索引擎比較靠前的排名,因此吸引了大量的黑客對網站進行攻擊。黑客通常會採用網站漏洞攻擊、網頁內容篡改、網頁掛馬、應用層流量攻擊、植入暗鏈等諸多方式來入侵網站,最終導致網站及網站管理單位面臨信息泄露、內容篡改、經濟損失、法律制裁等安全風險。
國內權威機構報告顯示,2016年我國境內被惡意篡改網頁內容的網站數量為16578個,被植入後門軟體的網站數量為82072個,國家信息安全漏洞共享平台收錄的WEB應用漏洞達到14322個,可見目前網站的安全形勢非常嚴峻。因此網站安全已經成為信息安全研究領域中的一個重要方向。
傳統安全防禦方案的不足
在傳統的網站安全防禦方案中,會將網站伺服器部署在DMZ區中,網路邊界部署防火牆、漏洞掃描和入侵防禦產品,通過在防火牆上配置區域間訪問控制的方式來對網路報文進行過濾,配合入侵防禦設備對應用層流量進行病毒防禦和攻擊腳本防禦,依靠漏洞掃描去發現網站的漏洞並及時修補。但是在如今WEB技術的快速發展的背景下,傳統的網路安全防禦方案顯得有些不足:
1
WEB應用漏洞攻擊防禦失效
傳統方案中針對WEB應用層的漏洞攻擊的檢測和防禦工作是由入侵防禦設備完成的,入侵防禦設備會利用自身的特徵庫「黑名單」機制來過濾匹配到的WEB漏洞攻擊報文,實現對後端網站的安全保護。
而現在WEB應用漏洞的類別和數量日益複雜和增多,且針對網站的入侵攻擊會在HTTP應用報文中攜帶多種不同的漏洞攻擊腳本,因此僅依靠入侵防禦設備升級特徵庫的應對方式,已經很難及時響應WEB應用攻擊行為。
2
缺乏網站安全態勢實時感知
在傳統方案中,依靠漏洞掃描工具去發現網站是否存在漏洞確實能夠彌補一部分的漏洞被黑客利用,但是僅僅依靠這一個手段是遠遠不夠的。在數據爆發的時代,網站的內容是否發生惡意篡改、網頁內容是否掛馬、網頁是否被嵌入惡意鏈接,網站可用性情況等等都是需要被實時感知的。因此需要安全監控類產品進行實時的對網站安全狀態進行監測,發現異常情況可以及時告警和通知管理人員,加快事件響應時間。
3
缺乏訪問流量行為審計
傳統網站攻擊事件發生後缺乏有效的整體審計分析手段,往往需要人工分析各類安全設備上大量的日誌才能還原攻擊過程,不僅費時費力,而且往往效果一般。如果沒有有效的將訪問流量行為梳理出來,就很難在這些行為中將黑客的入侵過程進行還原與定位。
4
只關注部署工具,忽略人工服務的價值
傳統方案更多的是以部署各式各樣的安全產品或工具來提升網站的安全度,但其實工具最終都是由人工來使用的。人工的服務質量關係著安全策略是否有效以及安全工具是否能發揮最高價值。而人工服務的價值體現在可以更好的幫助用戶理解網站目前的安全狀況、規劃有效的安全防護策略、做到及時的安全事件響應等。
網站安全防護的關鍵能力
所謂知己知彼,百戰不殆,我們從黑客攻擊過程的角度出發,針對各個攻擊階段提供對應的安全防護措施(安全產品或安全服務),如此才能夠有效的防護網站安全。一般的黑客攻擊分為漏洞查找與社工、漏洞驗證與利用、漏洞攻擊擴展過程、破壞/竊取/留後門這四個關鍵步驟。
因此相對應的網站安全防護步驟則是網站安全狀態評估、網站入侵安全防護、網站流量審計分析、網站安全加固修復,通過這四個步驟逐一解決黑客入侵事件。
1
網站安全狀態評估
黑客在入侵網站前,大量的工作就是分析網站是否存在漏洞、存在哪些可以被利用的漏洞,這些可利用的漏洞則成為整個網站入侵成功與否的關鍵因素。因此我們在日常運維過程中,需要及時修補系統和應用漏洞,從而降低被入侵的可能性。而多數運維人員並不知道網站系統中存在哪些漏洞,甚至有些漏洞補丁在發布很長時間以後,運維人員仍未進行修補。
網站安全狀態評估則是以「醫生體檢」的方式,利用專業的滲透測試服務、漏洞檢測工具、網站安全實時監測等手段針對網站系統涉及的相關網路系統、網站伺服器、資料庫等關鍵設施進行安全狀態檢查,可以有效檢查出存在系統漏洞、WEB應用漏洞、資料庫漏洞和其他相關信息,另外人工滲透測試是模擬黑客的真實行為進行入侵,可以從實戰角度驗證網站入侵的難易程度和可利用的入侵點,從而提出針對性且實際有效的解決方案。
2
網站入侵安全防護
目前全球每天產生100萬個新的病毒和惡意軟體,並且越來越多的「零日漏洞」被挖掘出來,平均每周都會發生一次零日漏洞攻擊事件。因此在前期網站安全狀態評估階段仍會有些新產生的漏洞和病毒無法被及時的檢測和修補,仍會存在安全事件發生的可能性。因此網站在體檢評估完成之後,仍需加強自身的防禦能力。
黑客入侵的手段是多樣化的,很難通過一個安全設備完成對攻擊的防禦。因此基於「縱深安全防禦」理念,部署多種專業安全防護設備在網站系統與互聯網用戶/惡意用戶之間建立多道安全防線,從而提高網站系統的防禦能力。在傳統的網路安全防護方案基礎上,可以通過部署抗拒絕服務系統來抵禦DDoS攻擊,避免因為帶寬堵塞或伺服器癱瘓導致網站無法提供服務;可以通過部署專業的WEB應用防火牆產品對專門過濾所有HTTP層的漏洞利用代碼,直接保護網站業務安全運行;可以通過部署網頁防篡改系統來對網站的目錄文件進行保護,避免未授權的文件操作造成網頁被篡改等。
通過多樣化的專業安全防護設備可以在安全事件發生時有效進行攔截和過濾,增加黑客攻擊的難度,減小網站被入侵的可能性。
3
網站流量審計分析
網站流量審計分析可以實現訪問過程的「可視化」,還原完整的訪問過程。網站流量審計分析通常會旁路部署專業的安全監控設備,在不影響業務的情況下,對網站數據流進行實時監控,深入檢測應用層的攻擊行為、訪問行為、運維行為、資料庫請求行為,一旦發現某些流量超出合規性要求,及時通知管理員進行響應。
網站流量審計需要將前端的WEB訪問流量與後端的資料庫流量自動關聯,才能實現完整的網站訪問路徑還原,才能更加清晰的看到每一個請求的完整會話信息,才能更加的了解黑客的行為。
4
網站安全加固修復
作為網站安全整體解決方案的最後一個環節,影響著下一輪黑客攻擊的有效防禦能力。在黑客攻擊事件發生之後,通過網站流量審計分析獲悉黑客的攻擊途徑和方式,因此網站安全加固修復可以針對性的進行策略加固以吸取本次安全事件發生的經驗,並且可以通過查找黑客攻擊過程中留存在網站系統內的病毒文件、木馬文件和後門文件,避免黑客進行下一輪的攻擊。
關於凱啟只做安全的網站
河南凱啟網路科技有限公司在安全領域擁有超過十多年的經驗積累,擁有1000多項信息安全領域專利技術,具備業界最全面的安全交付能力,可提供近300款產品和專業的安全諮詢評估服務團隊,並且具備以客戶為導向的需求快速響應能力,從底層信息安全基礎設施到頂層設計為國家和企業提供安全可信的防護。
TAG:凱啟 |