WebRAY網站檢查技術支撐平臺的實踐
責編:mhshi |2016-07-01 16:02:07平臺與網站越來越多,問題更多
互聯網服務平臺及門戶網站已經成為互聯網時代政府機關企事業單位的形象代言,是政企單位展示自身形象的一個重要渠道。從國務院辦公廳組織開展的第一次全國政府網站普查情況獲悉,截至2015年11月,各地區、各部門共開設政府網站84094個。隨著政務工作從信息公開向綜合服務不斷提升,以“互聯網+”為理念,將會打造更多的政務信息數據服務平臺和便民服務平臺。
與此同時,Web頁面被篡改,甚至出現違法信息,被掛暗鏈,SQL注入,XSS攻擊等Web安全問題層出不窮,網站被黑事件屢見不鮮,對網站組織者的聲譽和公信力造成巨大負面影響,不乏眾多事實案例證明,Web門戶頁面是黑客入侵和攻擊利用的重要突破口。
根據《中國互聯網站發展狀況及其安全報告(2016)》,2015年網頁篡改、網站后門等攻擊事件層出不窮,黨政機關、科研機構、重要行業單位網站依然是黑客組織攻擊特別是APT攻擊的重點目標。2015年被植入后門的中國網站數量為75028個,較2014年增長86.7%,其中政府網站為3514個,較2014年增長130%。政府網站因公信力高、影響力大,容易成為黑客攻擊目標,特別是地方政府網站成為“重災區”。
普遍部署安全設備的網站為什么還需要檢查和監控?
通過剖析WebRAY完成的重大安保任務和分析應急保障寫過的應急報告,了解到,很多政企單位在通過常規檢查,并且按要求部署了傳統安全防御設備后,仍然還會爆出Web攻擊事件發生。究其原因,有設備的部署和配置不當、新的漏洞曝光但發現不及時、更新補丁不及時、新的攻擊在進化、傳統技術更新跟不上攻擊變化的腳步,等很多原因。所以現階段看來,單單通過防御的方式來抵御現有的威脅是遠不夠的。
目前網絡安全工作正在從過去的“防護”為核心向兩個方向轉移,一個方向是向前,強調對于攻擊事件發生之前,進行風險管理和威脅預警,盡量降低網站被攻擊的可能性。一個方向是向后,強調對于攻擊事件發生后的及時發現和快速響應能力,盡量降低攻擊造成的影響。
安全大檢查正是找出風險,降低被攻擊可能的一個過程。重大事件安全保障,正是及時處理攻擊,減少攻擊影響的一個過程。這都是現階段解決政府網站安全問題的有效手段。
盛邦安全網站威脅預警與態勢感知平臺建設的經驗分享
盛邦安全(WebRAY)多次受政府部門和企事業單位委托,完成網站安全保障工作。作為國家網絡與信息安全信息通報機制支撐單位,盛邦安全有著豐富的重大活動網站安保工作經驗,是抗戰勝利70周年閱兵和北京世錦賽安保工作支撐單位,也是13屆冬運會和每年全國兩會的支撐單位,烽火臺多次成為國家網絡安保的核心平臺之一,可謂身經百戰。
我們幫助很多主管部門建設了網站監控預警平臺,并且收到了良好的效果。我們愿意把我們的工作經驗和大家分享,希望能夠幫助到您的工作。
服務目標:
監控預警服務,一般而言主要聚焦在資產發現、漏洞掃描、攻擊監控、態勢分析等目標。
資產發現:針對行業內或區域內的大批量門戶網站、互聯網服務平臺、重要信息系統、違規網站等資產信息進行發現與識別,并持續深入學習。
漏洞掃描:針對發現的資產或需要重點保障網站,定期評估Web系統漏洞,核查基線標準配置策略,在管理界面實現安全風險的可視化。
攻擊監控:針對重點保障網站或互聯網服務平臺,時時檢測內容篡改,敏感詞監控,持續進行暗鏈/黑鏈檢測、網絡釣魚檢測、網頁木馬檢測、WebShell檢測、弱口令檢測。
態勢分析:針對大范圍,大數量的網站群或互聯網服務平臺,進行量化分析,可視化呈現威脅狀態,并提供定制化報表。
部署方式:
本平臺部署在監管部門數據中心,通過遠程掃描和監控的形式,對行業或區域內網站及互聯網服務平臺進行安全保障服務。
服務能力:
提供7×24小時不間斷監控服務,分布式引擎部署,單引擎支持數百站點,單平臺支持4096引擎,多平臺支持集群擴展,此方案可支持超大數量站點。
提供周期檢查與時時監測,通過資產深度學習技術,針對Web業務平臺可定期進行遠程Web漏洞風險評估,針對OWASP TOP10分類詳細,將利用已知漏洞攻擊的可能性降到最低;針對重點保障網站,進行時時檢測,一旦發生攻擊事件將負面影響降到最低,可主動發現內容篡改,敏感詞報警,暗鏈/黑鏈、網絡釣魚、網頁木馬、WebShell等惡意行為,響應時間30分鐘以內,監測實時攻擊并第一時間告警,提供包括短信、郵件、syslog、SNMP等多種告警方式,為用戶提供應急響應技術支撐。
“烽火臺”威脅預警與態勢感知平臺保證了監控的持續性的同時具備突發攻擊事件及時響應與處理能力。除此之外,針對大范圍的網站利用自動化的手段進行監控,并提供三種類型(檢測報告、詳細報表、審計報表)四種格式(word、excel、html、pdf)報表,有效的減低了人工成本。
成功案例:
某市公安網站威脅預警與態勢感知平臺建設
該市為國家直轄市,國家中心城市,超大城市,經濟繁榮,承擔國家重要活動重大事件多,影響大,市級重點網站數量2000+。日前,各類網站被攻擊趨于頻繁,攻擊手段也是越來越惡劣,為了應對日趨嚴峻的網絡信息安全形勢,該市公安委托盛邦安全建立威脅預警與態勢感知平臺,對該市重點網站進行安全管理,將政府各門戶網站和金融、能源、交通、教育及衛生等網站站點和互聯網服務平臺納入綜合管理,對網站和重要信息系統實現漏洞監測和報警。
盛邦安全威脅預警與態勢感知平臺由總部管控中心和探測引擎兩大部分架構組成。部署四臺服務Server,總部一臺為總部管控中心,下屬分局三臺為分散引擎,整個系統以分布式部署,集中管控的方式搭建。其中管控中心負責掃描任務的配置、調度、統計、展示等管理功能,掃描引擎接受來自于管理中心的任務,將掃描監控結果發送到管理中心。
盛邦安全威脅預警與態勢感知平臺,提供常規Web漏洞掃描監控服務、Web應用業務可用性監測、網頁掛馬及暗鏈檢測、WebShell檢測、頁面篡改和敏感內容監控、針對常規攻擊檢測并提供多種告警方式,包括短信、郵件、syslog、SNMP等多種告警方式。
通過盛邦安全威脅預警與態勢感知平臺,對該市的重大事件安全保障能力,提供了有效的技術支撐。
結束語
目前網絡安全工作正在從過去的“防護”為核心向兩個方向轉移,一個方向是向前,強調對于攻擊事件發生之前,進行風險管理和威脅預警,盡量降低網站被攻擊的可能性。一個方向是向后,強調對于攻擊事件發生后的及時發現和快速響應能力,盡量降低攻擊造成的影響。
網站大檢查常態化趨勢,監管部門監測任務日趨繁瑣。一方面是因為網絡安全的形式日益嚴峻,網站所面臨的攻擊越來越多,而且互聯網服務平臺也越來越多,互聯網網站是網絡攻擊的焦點,與其僅靠人工方式日常檢查或應急保障現場排查等方式,不如引入常態機制更加有效;另一方面就是攻擊往往不是發生在一個時點,而是一個長期的復雜行為,很多時候攻擊所利用的后門都是較長時間以前就植入在服務器里的,所以日常監測工作要常抓不懈。
綜上,針對互聯網服務平臺及門戶網站檢查工作,行業與地方監管部門,建立一套常態化的利用自動化手段的檢查與監測技術支撐平臺,迫在眉睫。