网站承载了各式各样的开放信息,已经成为互联网上主要的内容传播载体。政府、金融、教育等网站中存放着比较重要的敏感数据并且拥有知名搜索引擎比较靠前的排名,因此吸引了大量的黑客对网站进行攻击。黑客通常会采用网站漏洞攻击、网页内容篡改、网页挂马、应用层流量攻击、植入暗链等诸多方式来入侵网站,最终导致网站及网站管理单位面临信息泄露、内容篡改、经济损失、法律制裁等安全风险。
国内权威机构报告显示,2016年我国境内被恶意篡改网页内容的网站数量为16578个,被植入后门软件的网站数量为82072个,国家信息安全漏洞共享平台收录的WEB应用漏洞达到14322个……,可见目前网站的安全形势非常严峻。因此网站安全已经成为信息安全研究领域中的一个重要方向。
在传统的网站安全防御方案中,会将网站服务器部署在DMZ区中,网络边界部署防火墙、漏洞扫描和入侵防御产品,通过在防火墙上配置区域间访问控制的方式来对网络报文进行过滤,配合入侵防御设备对应用层流量进行病毒防御和攻击脚本防御,依靠漏洞扫描去发现网站的漏洞并及时修补。但是在如今WEB技术的快速发展的背景下,传统的网络安全防御方案显得有些不足:
1、WEB应用漏洞攻击防御失效
传统方案中针对WEB应用层的漏洞攻击的检测和防御工作是由入侵防御设备完成的,入侵防御设备会利用自身的特征库“黑名单”机制来过滤匹配到的WEB漏洞攻击报文,实现对后端网站的安全保护。
而现在WEB应用漏洞的类别和数量日益复杂和增多,且针对网站的入侵攻击会在HTTP应用报文中携带多种不同的漏洞攻击脚本,因此仅依靠入侵防御设备升级特征库的应对方式,已经很难及时响应WEB应用攻击行为。
2、缺乏网站安全态势实时感知
在传统方案中,依靠漏洞扫描工具去发现网站是否存在漏洞确实能够弥补一部分的漏洞被黑客利用,但是仅仅依靠这一个手段是远远不够的。在数据爆发的时代,网站的内容是否发生恶意篡改、网页内容是否挂马、网页是否被嵌入恶意链接,网站可用性情况等等都是需要被实时感知的。因此需要安全监控类产品进行实时的对网站安全状态进行监测,发现异常情况可以及时告警和通知管理人员,加快事件响应时间。
3、缺乏访问流量行为审计
传统网站攻击事件发生后缺乏有效的整体审计分析手段,往往需要人工分析各类安全设备上大量的日志才能还原攻击过程,不仅费时费力,而且往往效果一般。如果没有有效的将访问流量行为梳理出来,就很难在这些行为中将黑客的入侵过程进行还原与定位。
4、只关注部署工具,忽略人工服务的价值
传统方案更多的是以部署各式各样的安全产品或工具来提升网站的安全度,但其实工具最终都是由人工来使用的。人工的服务质量关系着安全策略是否有效以及安全工具是否能发挥最高价值。而人工服务的价值体现在可以更好的帮助用户理解网站目前的安全状况、规划有效的安全防护策略、做到及时的安全事件响应等。
二、网站安全防护的关键能力
所谓知己知彼,百战不殆,我们从黑客攻击过程的角度出发,针对各个攻击阶段提供对应的安全防护措施(安全产品或安全服务),如此才能够有效的防护网站安全。一般的黑客攻击分为漏洞查找与社工、漏洞验证与利用、漏洞攻击扩展过程、破坏/窃取/留后门这四个关键步骤。
因此相对应的网站安全防护步骤则是网站安全状态评估、网站入侵安全防护、网站流量审计分析、网站安全加固修复,通过这四个步骤逐一解决黑客入侵事件。
1、网站安全状态评估
黑客在入侵网站前,大量的工作就是分析网站是否存在漏洞、存在哪些可以被利用的漏洞,这些可利用的漏洞则成为整个网站入侵成功与否的关键因素。因此我们在日常运维过程中,需要及时修补系统和应用漏洞,从而降低被入侵的可能性。而多数运维人员并不知道网站系统中存在哪些漏洞,甚至有些漏洞补丁在发布很长时间以后,运维人员仍未进行修补。
网站安全状态评估则是以“医生体检”的方式,利用专业的渗透测试服务、漏洞检测工具、网站安全实时监测等手段针对网站系统涉及的相关网络系统、网站服务器、数据库等关键设施进行安全状态检查,可以有效检查出存在系统漏洞、WEB应用漏洞、数据库漏洞和其他相关信息,另外人工渗透测试是模拟黑客的真实行为进行入侵,可以从实战角度验证网站入侵的难易程度和可利用的入侵点,从而提出针对性且实际有效的解决方案。
2、网站入侵安全防护
目前全球每天产生100万个新的病毒和恶意软件,并且越来越多的“零日漏洞”被挖掘出来,平均每周都会发生一次零日漏洞攻击事件。因此在前期网站安全状态评估阶段仍会有些新产生的漏洞和病毒无法被及时的检测和修补,仍会存在安全事件发生的可能性。因此网站在体检评估完成之后,仍需加强自身的防御能力。
黑客入侵的手段是多样化的,很难通过一个安全设备完成对攻击的防御。因此基于“纵深安全防御”理念,部署多种专业安全防护设备在网站系统与互联网用户/恶意用户之间建立多道安全防线,从而提高网站系统的防御能力。在传统的网络安全防护方案基础上,可以通过部署抗拒绝服务系统来抵御DDoS攻击,避免因为带宽堵塞或服务器瘫痪导致网站无法提供服务;可以通过部署专业的WEB应用防火墙产品对专门过滤所有HTTP层的漏洞利用代码,直接保护网站业务安全运行;可以通过部署网页防篡改系统来对网站的目录文件进行保护,避免未授权的文件操作造成网页被篡改等等
通过多样化的专业安全防护设备可以在安全事件发生时有效进行拦截和过滤,增加黑客攻击的难度,减小网站被入侵的可能性。
3、网站流量审计分析
网站流量审计分析可以实现访问过程的“可视化”,还原完整的访问过程。网站流量审计分析通常会旁路部署专业的安全监控设备,在不影响业务的情况下,对网站数据流进行实时监控,深入检测应用层的攻击行为、访问行为、运维行为、数据库请求行为,一旦发现某些流量超出合规性要求,及时通知管理员进行响应。
网站流量审计需要将前端的WEB访问流量与后端的数据库流量自动关联,才能实现完整的网站访问路径还原,才能更加清晰的看到每一个请求的完整会话信息,才能更加的了解黑客的行为。
4、网站安全加固修复
作为网站安全整体解决方案的最后一个环节,影响着下一轮黑客攻击的有效防御能力。在黑客攻击事件发生之后,通过网站流量审计分析获悉黑客的攻击途径和方式,因此网站安全加固修复可以针对性的进行策略加固以吸取本次安全事件发生的经验,并且可以通过查找黑客攻击过程中留存在网站系统内的病毒文件、木马文件和后门文件,避免黑客进行下一轮的攻击。
网站安全解决方案(如图1)共提供3类安全评估方式、6类安全防御设备、3类流量审计设备和1个统一网站安全监测平台,依靠评估、防御、审计、修复四个关键步骤,完成对网站系统的一体化防御,提升网站安全性。
图1 网站安全解决方案全景图
1、网站安全状态评估
主要通过专业安全服务(渗透测试服务、7*24小时网站监测服务、安全基线配置核查服务)和安全监测工具(综合漏洞检测工具、态势感知系统等)来进行有效评估,可根据评估结果得出网站系统的安全状态。(如图2)
图2 网站安全状态评估方式
2、网站入侵安全防护
基于“纵深安全防御”理念,通过七道安全防御边界,可有效抵御黑客对网站系统的多层面入侵。当安全事件发生时,这七道安全防线可形成整体防御能力,共同保障网站系统的安全。七道安全防线分别为:(如图3)
图3 网站入侵安全防线
3、网站流量审计分析
经过用户端发起、网站服务器接收转发、应用服务器处理、数据库服务器查询这四个步骤,可完成一次用户对网站动态业务的访问请求。从完整性上考虑,需要针对URL请求/响应流量(用户端与网站服务器、应用服务器之间)、SQL请求/响应流量(应用服务器与数据库服务器之间)这两种流量一起审计,才能还原一个完整的会话请求过程。因此通过数据库审计系统完成对URL流量的WEB访问审计、SQL流量的数据库访问审计,并结合运维流量的运维审计组成了对网站流量的完整审计分析。
图4 网站流量审计对象
4、网站安全加固修复
一个完整的网站系统会包含物理设施、网络设备、安全设备及各类服务器,需要从各个维度进行考虑,包括物理安全、网络安全、主机安全、应用安全和数据安全。安全加固修复服务是保证设备和系统安全运行的关键防护措施之一,通常情况下除部署相应安全防护设备以外,操作系统、数据库、中间件、网络设备、安全设备、应用系统,都需要进行安全加固修复。可以在最坏的情况下,使其能够依靠自身系统的安全策略抵御外部入侵。(如图5)
图5:网站安全加固服务
四、结束语
网站安全整体解决方案以黑客入侵过程为视角,针对黑客入侵的每个关键步骤分别制定了“网站安全状态评估、网站入侵安全防护、网站流量审计分析、网站安全加固修复”四个方位进行一体化的安全防护方案,将专业安全产品与人工服务相结合,能够在很大程度上提升网站的安全性。
浙公网安备 33010802004375号
