互联网Web业务自适应安全方案
目录
互联网Web业务自适应安全方案 (1)
一、应用背景 (3)
二、需求分析 (3)
三、深信服解决之道 (5)
3.1 OWASP十大web攻击防护 (6)
3.2系统/应用漏洞攻击防护 (7)
3.3威胁情报预警与处置 (8)
3.4专业的网页防篡改 (8)
3.5高效精准的黑链检测 (9)
3.6多维敏感信息防泄漏 (9)
3.7 智能化CC攻击防护 (10)
3.8 可视化网站风险展示 (10)
3.9自助化快速安全运维 (11)
一、应用背景
随着电子商务、Web2.0、互联网+等一系列创新的产品和理念的发展,基于Web环境的互联网应用越来越广泛,门户网站、办公应用、在线考试、网上银行、网络购物、网络游戏、在线视频等很多互联网应用都架设在Web平台上。国家互联网应急中心统计显示,当前互联网上WEB业务应用流量占比非常高。
Web业务的迅速发展也引起黑客的强烈关注,紧随而来的就是Web安全威胁的凸显,黑客利用网站操作系统和服务程序漏洞,很容易获得Web服务器的控制权限,实现篡改网页内容、窃取重要数据、植入恶意代码、发起拒绝服务等各种恶意目的,使得网站建设方和访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题,对网站安全的关注度也持续提升。
二、需求分析
国家互联网应急中心(CNCERT/CC)《2014中国互联网网络安全报告》显示“我国网站安全问题非常严峻,2014年我国境内被篡改网站数量为137334个,较2013年大幅增长53.8%;2014年,监测到仿冒我国境内网站的钓鱼页面99409个,涉及IP地址6844个,其中89.4%的IP地址位于境外;2014年,监测到境内40186个网站被植入后门,其中政府网站有1529个”。严重的网站安全问题进一步引发网站用户信息和数据的泄露等问题。2014年,国内先后发生用户开房信息泄露、12306用户信息泄露、团购网站账户信息泄露、社保账户信息泄露等多
种安全事件,给互联网用户的合法权益和互联网安全造成严重威胁。
网站作为对外展示的窗口和业务服务平台,往往承载着有价值的数据信息,同时也容易成为入侵渗透机构内部网络的跳板,因此成为非法攻击者最为关注的对象之一。目前网站业务面临的主要安全问题如下:
1、网页篡改问题
网页篡改是指攻击者利用web应用程序漏洞将正常的网站页面替换为攻击者提供的网页/文字/图片等内容。一般来说网页的篡改对计算机系统本身不会产生直接的影响,但对于门户网站、电子商务等需要与用户通过网站进行沟通的应用而言,不仅会导致信息误导或服务中断造成经济损失,还会对组织机构的形象和信誉带来严重的损害。
2、网页挂马问题
网页挂马也是利用web攻击造成的一种网页篡改的安全问题,相对而言这种问题会比较隐蔽,但本质上这种方式也破坏了网页的完整性,用户访问挂马网页就会把木马病毒带入自己的电脑。网页挂马会导致网站的最终用户成为受害者,网站建设方也会因此带来经济信誉损失,还可能因为是攻击者潜在的帮凶问题而承担相应的法律责任。
3、网站黑链问题
黑链一般在网站页面看不见,却能被搜索引擎计算权重的外链,往往是由黑客恶意植入到网站后台。我国的黑链问题比较严重,CNCERT报告显示2014年我国有超过10万网站被植入黑链。黑链的危害也非常多:被挂黑链的网站一般都
已经被黑客获取了Webshell权限,因此很容易被黑客进行其他恶意攻击;网站建设方往往对黑链毫不知情,无偿帮别人挂链接,成为非法利益的免费广告牌;网站被挂黑链会降低自身的搜索排名,被搜索引擎发现后还会被降权或者从关键词排名中剔除,非常不利于网站的推广。
4、漏洞安全问题
网站区域往往部署有大量业务服务器,这些业务服务器的底层和业务应用系统会不断产生安全漏洞,给了入侵者可乘之机。黑客能够利用这些漏洞发起对网站的各种攻击,比如利用Apache 漏洞、IIS漏洞、后门漏洞、操作系统漏洞、ftp 漏洞、数据库漏洞等,实现对网站Webshell权限获取、敏感信息监控/窃取/篡改等目的。因此需要有效的方法来实时识别并防护漏洞安全。
5、敏感信息泄漏问题
这类安全问题主要web攻击、系统漏洞攻击等攻击手段操作后台数据库,导致数据库中储存的用户资料、身份证信息、账户信息、信用卡信息、联系方式等敏感信息被攻击者获取。这对于电子商务而言是致命的打击,可产生巨大的经济损失。
6、无法响应正常服务的问题
CC(ChallengeCollapsar)攻击是WEB网站最常遇到的安全问题,攻击者借助代理服务器生成指向受害网站的合法请求,实现DDOS和自身伪装。CC攻击通过模拟多个用户对网站进行访问,使得网站服务器充斥大量要求回复的信息,严重消耗网络系统资源,导致网站系统瘫痪,无法响应正常的服务请求。
三、深信服解决之道
深信服提供了全面的网站安全解决方案,通过在线部署一台深信服下一代防火墙NGAF,实现从攻击各个源头上帮助用户防护网站各类网络/应用层安全威胁,一站式智能化解决网站安全问题。
深信服下一代防火墙提供了二到七层双向内容检测技术,不仅能实时发现扫描、入侵、漏洞、破坏等安全问题,还能有效解决攻击被绕过后产生的网页篡改、挂马、黑链、敏感信息泄露等问题,实现网站系统的事前、事中、事后全面双向安全防护。
3.1 OWASP十大web攻击防护
深信服下一代防火墙NGAF有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制,实现双向的内容检测,提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击。(如,SQL注入、XSS跨站脚本、CSRF跨站请求伪造)从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。
3.2系统/应用漏洞攻击防护
深信服下一代防火墙NGAF提供了实时漏洞发现功能,可以对经过设备的流量进行实时漏洞风险分析,且不会给网络产生额外的流量。实时漏洞检测功能能够发现底层软件漏洞、业务发布软件漏洞、Web应用风险漏洞、插件漏洞、Web 不安全配置、弱口令等多种安全缺陷。对于检测到的漏洞信息,NGAF还能提供详细的漏洞说明,如漏洞类型,数量,描述,危害说明等信息。
深信服还创新性的将实时漏洞检测和入侵攻击行为进行结合,从海量的攻击日志中快速识别出真正对网站业务应用有危害的“有效攻击”,从而大大减少安全运维的工作,让IT人员将更多的精力放在有效威胁的防护上面。
深信服下一代防火墙NGAF提供基于操作系统和应用程序的漏洞攻击防护,防止攻击者利用操作系统(如windows sever2003/2007、linux、unix)及发布软件漏洞(如,IIS、Apache等)对网站进行系统提权、系统破坏、信息窃取等攻
击。通过深信服攻防团队自主漏洞研究、成为微软“MAPP”计划会员、加入CVE 漏洞共享平台、CNVD合作单位等方式及时更新漏洞特征信息,实时检测和防护漏洞安全问题,保障网站不受漏洞攻击,同时防止“0day”漏洞攻击的产生。
3.3威胁情报预警与处置
为了更好地帮助用户解决网站系统高危0Day漏洞问题,深信服专门研发设立了威胁情报预警与处置中心,并在深信服下一代防火墙NGAF上集成了威胁情报预警与处置功能。该中心立足于深信服云安全中心,能够及时收集最受业界关注的热点安全事件,在事件爆发后的48小时内提供完整的0Day漏洞检测和防护方案,并第一时间将方案推送到全球在线的深信服NGAF设备上。
当发生重大网络安全事件时,用户无需再为每台服务器进行漏洞验证和补丁升级,深信服NGAF可自动对被保护对象进行扫描检测,并对扫描发现的威胁提供一键防护功能,用户只需按动一键防护按钮,设备即可自动生成针对所有被发现的威胁的防护策略。深信服威胁情报预警与处置中心的主要工作流程包含:热点事件搜集、信息推送、漏洞扫描,以及一键防护。其中,热点事件搜集和信息推送主要通过深信服云平台完成;漏洞扫描以及一键防护主要通过全球各地部署的深信服NGAF设备执行。
3.4专业的网页防篡改
深信服提供了专业的网页防篡改功能,通过在Web服务器上面安装深信服防篡改客户端软件,同时在NGAF上配置相应的防篡改策略,实现防篡改客户端软件和NGAF的智能联动,避免了网站被恶意篡改。
任何人员想要更新网站内容,都需要通过NGAF登录后台管理系统,NGAF
会首先拦截此登录请求,再重定向至二次认证页面,同时会把登录验证码发送到NGAF提前配置的认证邮箱,在完成二次认证确认无误后,才能登录到网站后台系统,客户端防篡改软件会和NGAF联动共享认证信息,若认证通过,则同步开放后台写权限。任何未经NGAF和客户端软件联动确认的修改行为,都会被客户端软件拒绝,并记录行为日志,上报到NGAF。深信服NGAF和防篡改软件的配套使用,可以从根本上防止网站恶意篡改行为的发生。
3.5高效精准的黑链检测
深信服下一代防火墙NGAF创新性的推出了黑链检测功能,NGAF采用了多种黑链检测机制,如对黑链类型和链接内容的分类匹配等,这些手段有效保障了黑链检测的精准度。只要被挂黑链的页面被用户访问,设备就能准确检测出黑链的位置和类型,并通知管理员及时进行确认和针对性修复。
市场上常见的黑链检测工具,需要管理员手动检查,并查看网站源代码,方便性较差。这类方法需要定期进行检测,否则即使清除了网站中的黑链,日后还可能被再次挂上。使用深信服NGAF黑链检测方案,网站管理员不必再投入大量的时间和精力定期对网站进行黑链检测。
3.6多维敏感信息防泄漏
深信服下一代防火墙NGAF提供了多种维度的敏感信息防泄漏功能,基于深信服深度内容检测功能,NGAF能够实时检测并阻断网站源代码、用户帐号信息、重要配置文件、邮箱账户信息、MD5加密密码、银行卡号、身份证号码、社保账户、手机号码等多种敏感信息的泄漏行为,同步记录泄漏事件信息,并通过邮件等方式报警。此外,深信服NGAF还提供了自定义敏感信息功能,用户可以通过正则表达式定义敏感信息防护内容。
此外,NGAF还提供了应用协议内容隐藏功能。NGAF可针对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行有效的隐藏,如:HTTP 出错页面隐藏、响应报头隐藏、FTP信息隐藏等。该功能可有效防止黑客利用服务器返回信息进行针对性的攻击。
3.7 智能化CC攻击防护
深信服下一代防火墙NGAF提供了智能化CC攻击防护功能,能够自动识别针对网站业务的CC攻击行为,并通过限制网站服务的访问IP等方式避免CC攻击的产生。NGAF内置了自主研发的DOS攻击算法,可防护基于数据包的DOS 攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等,实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护,确保了网站平台的可用性及连续性。
3.8 可视化网站风险展示
NGAF提供了可视化风险展示功能,NGAF能够将检测到的网站安全风险以图形化报表实时分类展示出来,如入侵风险、实时漏洞风险、数据风险和黑链风险等。相比传统安全设备,NGAF能够发现更多应用层安全风险,更直观的了解到网络中存在的问题。
NGAF还提供了每一类风险的详细信息,以及威胁事件的客观描述和参考解决方案。
3.9自助化快速安全运维
对于监测发现的安全问题,NGAF还创新的设计了待处理问题列表,通过将发现的问题分类汇总,提醒用户及时修复安全问题。针对具体的待处理问题,NGAF给出了详细的风险问题说明,详情中有对问题的详细描述及建议的解决方案,用户只需要参照解决方案提示步骤,即可快速完成这些风险问题的修复。
NGAF创新的安全服务,解决了传统安全设备对网站攻击防护不全面,威胁
展示不直观,运维管理效率低等问题,通过直观的威胁展示和自助型运维管理,化被动为主动,进一步提升IT信息部门的效率和价值。