盛邦安全支招網站安保
責編:mhshi |2016-02-25 17:02:42一年一度的全國兩會即將召開,網站安保工作也都被各級政府部門和企事業單位提上了日程。作為國家網絡與信息安全信息通報機制支撐單位,盛邦安全有著豐富的重大活動網站安保工作經驗,是抗戰勝利70周年閱兵和北京世錦賽安保工作支撐單位,也是13屆冬運會和2015年全國兩會的支撐單位,可謂身經百戰。兩會在即,在積極開展自身承擔的安保工作同時,盛邦安全也希望分享一下自己對網站安保工作的心得,希望對廣大網站管理者能夠有所幫助。
盛邦安全屢次承擔重大事件安保工作
首先是風險分析
風險分析的目的在于找到網站可能被攻擊的弱點并提前修補,從而減少網站被攻擊的可能性。風險分兩類,一類是系統性風險,一類是技術性風險。從技術的角度講,核心是做兩件事情,一個是漏洞掃描,一個是安全配置檢查。漏洞可能存在于各種位置,比如操作系統,比如網站應用系統,比如數據庫系統等等,因此漏洞掃描必須做到全面,漏洞庫必須做到最新。另外,安全配置檢查也非常重要,一條弱密碼就可能打破我們投入重金打造的安全防護系統,而對外開放的不必要服務則給我們帶來不必要的攻擊風險。
經常有客戶有這樣的質疑,黑客可能會通過0day漏洞進行攻擊,你們的漏洞掃描無法發現這種0day漏洞。應該說這種質疑是有一定道理的,0day就是還未曾被廠商發現卻被黑客掌握的一種漏洞,通過漏洞掃描的方式是無法發現0day的。但是從網站安保工作的實踐出發,這個質疑又是不恰當的。其實,從實際的情況來看,真正帶來威脅的不是0day漏洞,而是1day或者nday漏洞,也就是已經被公布出來,卻沒有被網站管理者注意到的那些漏洞。不同于被極少數黑客掌握的0day漏洞,1day和nday漏洞被全世界所有黑客所掌握,一旦被管理者疏忽掉,將肯定帶來攻擊。根據美國國防部的分析,他們所面臨的所有攻擊中,即使是最高級的攻擊者也沒有用到0day漏洞,而是尋找一些配置不當的計算機,泄漏的密碼,以及未升級的漏洞進行攻擊,而這些恰恰是漏洞掃描所關注的重點。
當然,還有一部分風險不屬于漏洞或者配置范疇,而是屬于系統自身天然的一些風險屬性,比如DDOS攻擊風險,域名劫持風險等。針對于這一類風險,最重要的是識別出這些風險的存在。并根據每一種識別出來的風險做好相應安全方法工作。
漏洞掃描的目標就是排除隱藏在信息系統中的地雷
然后是整改加固
對于漏洞掃描發現的漏洞和錯誤配置要進行修復和調整。直接對服務器和應用系統的相關配置進行調整是最直接和有效的手段,但是很多時候服務器不能被修改(尤其對于一些承擔重要職能的服務器,管理者都不愿意承擔升級可能帶來的額外風險)。這時候盛邦安全可以給您支一招——利用虛擬補丁!所謂虛擬補丁,就是不在服務器上面進行升級和補丁操作,而是在服務器前邊部署的web應用防火墻(WAF)上做補丁升級工作,盛邦安全的WAF等領先的WAF產品基本都支持這個功能。
而對于識別出的那些系統性風險首先要進行評估,評估一下風險的可能性以及一旦發生所帶來危害的成度,并針對性的采取一些應對措施。比如對于一些不承擔媒體發布任務的政府網站而言,DDOS攻擊風險雖然存在,但是損害并不大。相反的,如果網站發生了主頁篡改攻擊,則是非常嚴重的安全事件,必須采取措施進行防范。而對于那些承擔了信息發布責任的媒體而言,必須對DDOS攻擊風險做好充分的準備,比如應用運營商和一些CDN廠商的抗拒絕服務攻擊服務以應對大流量攻擊,并部署專業的抗DDOS攻擊設備以應對一些不通過域名(URL)而是通過IP地址進行的攻擊,或者一些面向上層協議進行的慢速拒絕服務攻擊。
可以有選擇的進行滲透測試
如果將風險分析與漏洞掃描成為一種白盒分析手段的話,那么滲透測試就是以黑客思維進行的一種黑盒評測手段。滲透測試由技術人員執行,對網站系統進行攻擊,攻擊過程中可能采用各種目前被黑客所掌握的攻擊方法和工具,通過這種方式來測試一個網站是否可以真正防御黑客的攻擊,并對攻擊過程中發現的漏洞進行彌補。由于滲透測試屬于高水平技術人員的一種安全服務,成本相對較高,網站管理者可以根據實際情況選擇是否要采用這種方式。
一定要做好應急預案與應急演練
根據我們的經驗,攻擊不存在會不會發生的問題,只存在何時發生,如何發生的問題,換句話講,攻擊是一定會發生的,不要心存僥幸!在做好各種安全防范措施的同時,必須要做好安全預案,也就是說一旦攻擊發生了,我們應該如何響應,最正確的做法是什么,應該通知哪些人等等。有了預案的存在,才會使我們在面對攻擊時能夠做到工作有條不紊,及時有效應對。
光有預案還不行,這個預案有沒有效,能不能執行,只有通過演練才能得到確認,所以還需要針對預案進行模擬演練,一方面確認預案的有效性,一方面讓相關負責人熟悉應急流程。
網站監控與風險預警
要做到快速響應,首先要做到的是快速發現。過去,安全事件響應的時間往往是在攻擊已經發生后較長時間,影響已經較大,通過外部反饋了負面信息之后,這個時候進行響應,惡劣的影響已經形成,無論如何處置,都已經造成了不可挽回的損失。因此,現在的網站安保普遍引入了網站安全監控服務。也就是通過一個監控平臺,實時對網站的運行情況進行全方位監控,對于攻擊做到近似于實時的發現,并通過預訂的預警通報機制將相關信息第一時間通告給相關負責人以采取快速的相應措施。這里講一個例子,去年兩會期間,某大學網站主頁遭到篡改,我們的監控平臺第一時間發現了問題(2秒),并通知給了公安部門和該大學負責人,根據我們的通告,負責人立刻進行了處置(5分鐘),將此次攻擊的影響基本消弭于無形。
盛邦安全烽火臺網站監控平臺
而至于攻擊發生后如何做應急處置,比如取證,分析,溯源,加固等過程,相對來說是比較成熟的工作過程,在此就不詳細闡述了。
最后要說的是,網站安全保障工作漸有常態化趨勢。一方面是因為網絡安全的形式日益嚴峻,網站所面臨的攻擊越來越多,而且重大事件也越來越多,網站是網絡攻擊的焦點,與其每逢大事都做一次事件性處置,不如引入常態機制更加有效。還有就是攻擊往往不是發生在一個時點,而是一個長期的復雜行為,很多時候攻擊所利用的后門都是較長時間以前就植入在服務器里的,所以安保工作要常抓不懈。