新一代Web安全治理體系讓“我的地盤我做主”不再只是夢
責編:mhshi |2017-04-19 11:49:03每個人都有自己的夢想,這個夢想或大或小,這個夢想或虛幻或真實。現實生活中,我們總會有想要改變現狀的小夢想。要么是去風景秀麗的地方旅游,要么是期待自己能夠加薪,要么是讓自己的工作更加的順心如意,要么……
拿就職于某大型企業的安全管理員小張來說,他就一直有個非常實際的夢想。公司曾被攻擊者多次針對WEB發起攻擊,尤其是網站被篡改多次而不曾及時發現。公司網站多且分散,無法管理。作為公司的安全管理員,小張夢想著能夠:
◆我的地盤我做主;
◆什么系統上線我說了算;
◆系統在哪里我都知道;
◆系統干了什么我都了解;
◆系統有什么弱點我都清楚;
◆出了任何問題立刻定位;
◆找得到人,斷得了網。
然而,現實卻是這樣的:
◆都說是我的地盤,可我做不了主
◆線上有哪些系統真是不知道
◆系統在哪里,歸誰管我也不清楚
◆這系統有什么漏洞,都干了什么我更不清楚
◆出了事了,都來找我,可我該找誰?
◆斷網?連系統在哪都不知道,怎么斷網?
小張只想說:“這夢想與現實的差距太大了,誰能救救我?”
如何才能讓他夢想成真?
近日,盛邦安全產品經理李春鵬參加了由51CTO舉辦的WOTA峰會,他表示,像小張遇到的這種情況很普遍,并非個例。隨著互聯網的發展,越來越多的業務依托于Web系統。雖然很多的企業都非常注重Web安全,但是大多把注意力放到了防護上,而忽視Web系統的安全管理。目前,使用權與管理權的分離導致了Web系統的治理問題尤為突出,例如:私搭亂建、網站無法及時退運、缺乏審核手段等都可能給黑客攻擊以可乘之機。
李春鵬強調說:“安全是動態改變的,Web安全在朝兩個方向發展,一個是安全防護之前的風險控制,在攻擊到來之前盡可能降低系統受到攻擊的可能性。另一個是安全防護之后的感知,通過檢測及時發現網絡受到的攻擊,及時告警和溯源,形成完善的安全體系。三分技術,七分管理。在做好安全防護的同時,也要做好管理。”
因此,Web安全不能僅做針對外部的防護,也應注重內部的治理,Web安全=治理+防護。
盛邦安全產品經理李春鵬
目前,企業通用的方式是通過IP,或者DNS解析來控制網站能否對外提供服務。但是以IP形式進行網站控制,安全管理人員無法統計到這個IP上運行著多少網站,開通了多少服務。此外,很多網站管理者在解析服務器上配置的是泛解析,這樣導致通過二級或者三級域名建立的網站無法統計到。這就最終導致了企業無法“摸清家底”,留下了安全隱患。
針對Web安全治理問題,雖然運維人員很重視,但是往往缺少一種有效的手段。安全管理人員要想全面的了解公司系統安全情況,實現對Web系統的可知、可感、可查和可控,需要對整個Web系統的全生命周期進行管理,建立新一代Web安全治理體系。依托于多年在Web安全領域所積累的豐富經驗,盛邦安全總結出了以下Web安全治理思路:
第一步,自動學習所有在運站點。這是Web安全治理第一步,要“摸清家底”。通過技術手段分析鏡像流量進行Web資產自學習,識別包括IP、域名、端口、網站名稱等信息。從而及時了解網絡中有哪些網站及業務系統在提供服務,自動識別疑似不合規Web系統。
第二步,建立在線得網站安全準入機制,對所有Web系統備案、評估后再允許對外服務。備案管理:提供公安備案管理以及組織自用備案管理系統,明確各Web系統的所有人、用途等各類信息。并提供備案申請、備案審核等流程。
第三步,建立網站運營日常監控機制,對運營系統持續進行安全巡檢,包括流量被動檢測。對網站進行安全檢測的主要內容包含:網站篡改監控,暗鏈/黑鏈檢測,敏感詞的監控,Web漏洞檢測、系統漏洞檢測、后門掃描、網絡釣魚檢測、網站木馬和弱口令檢測等。
第四步,一鍵斷網+安全設備聯動,實行有效地應急和處理機制,對發現的不合規或不安全的Web站點進行阻斷。并可配合微信進行智能阻斷。
最終,結合流量分析、指紋分析、報表功能和漏洞管理等其他安全能力,從網站誕生到結束形成一個閉環,實現Web系統的全生命安全周期管理。
基于以上Web安全治理思路,盛邦安全研發了RayGateWeb安全治理平臺。該平臺是以符合四部委聯合發布的《黨政機關、事業單位和國有企業互聯網網站安全專項整治行動方案》(簡稱2562號文件)為出發點,針對園區網、云計算中心、行業垂直網絡及政府橫向網絡等場景,解決網站及業務系統使用權和管理權分離導致運維過程之中的問題而精心研發的一款治理型平臺類產品。
“RayGate具有對內部網站的自學習能力,免去人工添加的煩惱,并可有效發現私建網站及僵尸網站。其采用旁路部署,而且上線簡單,不影響網絡拓撲,可實現三級部署及管理。而且,每四個月,我們就會對RayGate進行快速的迭代升級。從而保證該產品滿足用戶的需求,并最大化的幫助他們提升工作效率。” 李春鵬說。