盛邦安全支招網(wǎng)站安保
責(zé)編:mhshi |2016-02-25 17:02:42一年一度的全國兩會(huì)即將召開,網(wǎng)站安保工作也都被各級(jí)政府部門和企事業(yè)單位提上了日程。作為國家網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制支撐單位,盛邦安全有著豐富的重大活動(dòng)網(wǎng)站安保工作經(jīng)驗(yàn),是抗戰(zhàn)勝利70周年閱兵和北京世錦賽安保工作支撐單位,也是13屆冬運(yùn)會(huì)和2015年全國兩會(huì)的支撐單位,可謂身經(jīng)百戰(zhàn)。兩會(huì)在即,在積極開展自身承擔(dān)的安保工作同時(shí),盛邦安全也希望分享一下自己對(duì)網(wǎng)站安保工作的心得,希望對(duì)廣大網(wǎng)站管理者能夠有所幫助。
重大事件安保工作.png)
盛邦安全屢次承擔(dān)重大事件安保工作
首先是風(fēng)險(xiǎn)分析
風(fēng)險(xiǎn)分析的目的在于找到網(wǎng)站可能被攻擊的弱點(diǎn)并提前修補(bǔ),從而減少網(wǎng)站被攻擊的可能性。風(fēng)險(xiǎn)分兩類,一類是系統(tǒng)性風(fēng)險(xiǎn),一類是技術(shù)性風(fēng)險(xiǎn)。從技術(shù)的角度講,核心是做兩件事情,一個(gè)是漏洞掃描,一個(gè)是安全配置檢查。漏洞可能存在于各種位置,比如操作系統(tǒng),比如網(wǎng)站應(yīng)用系統(tǒng),比如數(shù)據(jù)庫系統(tǒng)等等,因此漏洞掃描必須做到全面,漏洞庫必須做到最新。另外,安全配置檢查也非常重要,一條弱密碼就可能打破我們投入重金打造的安全防護(hù)系統(tǒng),而對(duì)外開放的不必要服務(wù)則給我們帶來不必要的攻擊風(fēng)險(xiǎn)。
經(jīng)常有客戶有這樣的質(zhì)疑,黑客可能會(huì)通過0day漏洞進(jìn)行攻擊,你們的漏洞掃描無法發(fā)現(xiàn)這種0day漏洞。應(yīng)該說這種質(zhì)疑是有一定道理的,0day就是還未曾被廠商發(fā)現(xiàn)卻被黑客掌握的一種漏洞,通過漏洞掃描的方式是無法發(fā)現(xiàn)0day的。但是從網(wǎng)站安保工作的實(shí)踐出發(fā),這個(gè)質(zhì)疑又是不恰當(dāng)?shù)摹F鋵?shí),從實(shí)際的情況來看,真正帶來威脅的不是0day漏洞,而是1day或者nday漏洞,也就是已經(jīng)被公布出來,卻沒有被網(wǎng)站管理者注意到的那些漏洞。不同于被極少數(shù)黑客掌握的0day漏洞,1day和nday漏洞被全世界所有黑客所掌握,一旦被管理者疏忽掉,將肯定帶來攻擊。根據(jù)美國國防部的分析,他們所面臨的所有攻擊中,即使是最高級(jí)的攻擊者也沒有用到0day漏洞,而是尋找一些配置不當(dāng)?shù)挠?jì)算機(jī),泄漏的密碼,以及未升級(jí)的漏洞進(jìn)行攻擊,而這些恰恰是漏洞掃描所關(guān)注的重點(diǎn)。
當(dāng)然,還有一部分風(fēng)險(xiǎn)不屬于漏洞或者配置范疇,而是屬于系統(tǒng)自身天然的一些風(fēng)險(xiǎn)屬性,比如DDOS攻擊風(fēng)險(xiǎn),域名劫持風(fēng)險(xiǎn)等。針對(duì)于這一類風(fēng)險(xiǎn),最重要的是識(shí)別出這些風(fēng)險(xiǎn)的存在。并根據(jù)每一種識(shí)別出來的風(fēng)險(xiǎn)做好相應(yīng)安全方法工作。
就是排除隱藏在信息系統(tǒng)中的地雷.png)
漏洞掃描的目標(biāo)就是排除隱藏在信息系統(tǒng)中的地雷
然后是整改加固
對(duì)于漏洞掃描發(fā)現(xiàn)的漏洞和錯(cuò)誤配置要進(jìn)行修復(fù)和調(diào)整。直接對(duì)服務(wù)器和應(yīng)用系統(tǒng)的相關(guān)配置進(jìn)行調(diào)整是最直接和有效的手段,但是很多時(shí)候服務(wù)器不能被修改(尤其對(duì)于一些承擔(dān)重要職能的服務(wù)器,管理者都不愿意承擔(dān)升級(jí)可能帶來的額外風(fēng)險(xiǎn))。這時(shí)候盛邦安全可以給您支一招——利用虛擬補(bǔ)丁!所謂虛擬補(bǔ)丁,就是不在服務(wù)器上面進(jìn)行升級(jí)和補(bǔ)丁操作,而是在服務(wù)器前邊部署的web應(yīng)用防火墻(WAF)上做補(bǔ)丁升級(jí)工作,盛邦安全的WAF等領(lǐng)先的WAF產(chǎn)品基本都支持這個(gè)功能。
而對(duì)于識(shí)別出的那些系統(tǒng)性風(fēng)險(xiǎn)首先要進(jìn)行評(píng)估,評(píng)估一下風(fēng)險(xiǎn)的可能性以及一旦發(fā)生所帶來危害的成度,并針對(duì)性的采取一些應(yīng)對(duì)措施。比如對(duì)于一些不承擔(dān)媒體發(fā)布任務(wù)的政府網(wǎng)站而言,DDOS攻擊風(fēng)險(xiǎn)雖然存在,但是損害并不大。相反的,如果網(wǎng)站發(fā)生了主頁篡改攻擊,則是非常嚴(yán)重的安全事件,必須采取措施進(jìn)行防范。而對(duì)于那些承擔(dān)了信息發(fā)布責(zé)任的媒體而言,必須對(duì)DDOS攻擊風(fēng)險(xiǎn)做好充分的準(zhǔn)備,比如應(yīng)用運(yùn)營商和一些CDN廠商的抗拒絕服務(wù)攻擊服務(wù)以應(yīng)對(duì)大流量攻擊,并部署專業(yè)的抗DDOS攻擊設(shè)備以應(yīng)對(duì)一些不通過域名(URL)而是通過IP地址進(jìn)行的攻擊,或者一些面向上層協(xié)議進(jìn)行的慢速拒絕服務(wù)攻擊。
可以有選擇的進(jìn)行滲透測試
如果將風(fēng)險(xiǎn)分析與漏洞掃描成為一種白盒分析手段的話,那么滲透測試就是以黑客思維進(jìn)行的一種黑盒評(píng)測手段。滲透測試由技術(shù)人員執(zhí)行,對(duì)網(wǎng)站系統(tǒng)進(jìn)行攻擊,攻擊過程中可能采用各種目前被黑客所掌握的攻擊方法和工具,通過這種方式來測試一個(gè)網(wǎng)站是否可以真正防御黑客的攻擊,并對(duì)攻擊過程中發(fā)現(xiàn)的漏洞進(jìn)行彌補(bǔ)。由于滲透測試屬于高水平技術(shù)人員的一種安全服務(wù),成本相對(duì)較高,網(wǎng)站管理者可以根據(jù)實(shí)際情況選擇是否要采用這種方式。
一定要做好應(yīng)急預(yù)案與應(yīng)急演練
根據(jù)我們的經(jīng)驗(yàn),攻擊不存在會(huì)不會(huì)發(fā)生的問題,只存在何時(shí)發(fā)生,如何發(fā)生的問題,換句話講,攻擊是一定會(huì)發(fā)生的,不要心存僥幸!在做好各種安全防范措施的同時(shí),必須要做好安全預(yù)案,也就是說一旦攻擊發(fā)生了,我們應(yīng)該如何響應(yīng),最正確的做法是什么,應(yīng)該通知哪些人等等。有了預(yù)案的存在,才會(huì)使我們?cè)诿鎸?duì)攻擊時(shí)能夠做到工作有條不紊,及時(shí)有效應(yīng)對(duì)。
光有預(yù)案還不行,這個(gè)預(yù)案有沒有效,能不能執(zhí)行,只有通過演練才能得到確認(rèn),所以還需要針對(duì)預(yù)案進(jìn)行模擬演練,一方面確認(rèn)預(yù)案的有效性,一方面讓相關(guān)負(fù)責(zé)人熟悉應(yīng)急流程。
網(wǎng)站監(jiān)控與風(fēng)險(xiǎn)預(yù)警
要做到快速響應(yīng),首先要做到的是快速發(fā)現(xiàn)。過去,安全事件響應(yīng)的時(shí)間往往是在攻擊已經(jīng)發(fā)生后較長時(shí)間,影響已經(jīng)較大,通過外部反饋了負(fù)面信息之后,這個(gè)時(shí)候進(jìn)行響應(yīng),惡劣的影響已經(jīng)形成,無論如何處置,都已經(jīng)造成了不可挽回的損失。因此,現(xiàn)在的網(wǎng)站安保普遍引入了網(wǎng)站安全監(jiān)控服務(wù)。也就是通過一個(gè)監(jiān)控平臺(tái),實(shí)時(shí)對(duì)網(wǎng)站的運(yùn)行情況進(jìn)行全方位監(jiān)控,對(duì)于攻擊做到近似于實(shí)時(shí)的發(fā)現(xiàn),并通過預(yù)訂的預(yù)警通報(bào)機(jī)制將相關(guān)信息第一時(shí)間通告給相關(guān)負(fù)責(zé)人以采取快速的相應(yīng)措施。這里講一個(gè)例子,去年兩會(huì)期間,某大學(xué)網(wǎng)站主頁遭到篡改,我們的監(jiān)控平臺(tái)第一時(shí)間發(fā)現(xiàn)了問題(2秒),并通知給了公安部門和該大學(xué)負(fù)責(zé)人,根據(jù)我們的通告,負(fù)責(zé)人立刻進(jìn)行了處置(5分鐘),將此次攻擊的影響基本消弭于無形。
網(wǎng)站監(jiān)控平臺(tái).png)
盛邦安全烽火臺(tái)網(wǎng)站監(jiān)控平臺(tái)
而至于攻擊發(fā)生后如何做應(yīng)急處置,比如取證,分析,溯源,加固等過程,相對(duì)來說是比較成熟的工作過程,在此就不詳細(xì)闡述了。
最后要說的是,網(wǎng)站安全保障工作漸有常態(tài)化趨勢。一方面是因?yàn)榫W(wǎng)絡(luò)安全的形式日益嚴(yán)峻,網(wǎng)站所面臨的攻擊越來越多,而且重大事件也越來越多,網(wǎng)站是網(wǎng)絡(luò)攻擊的焦點(diǎn),與其每逢大事都做一次事件性處置,不如引入常態(tài)機(jī)制更加有效。還有就是攻擊往往不是發(fā)生在一個(gè)時(shí)點(diǎn),而是一個(gè)長期的復(fù)雜行為,很多時(shí)候攻擊所利用的后門都是較長時(shí)間以前就植入在服務(wù)器里的,所以安保工作要常抓不懈。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧