开始
Web威胁是一种极为常见,危害巨大,且又变种反对的威胁行为,如果对Web威胁进行防护,是一个系统化的工作。如何选择最好的防护方法,需要从原理、方法等多个层面进行综合考虑。
Web威胁的种类
可信任站点的漏洞:我们都有这样的看法,大的知名网站是相对安全的。黑客们也知道这一点,他们会想方设法修改这些网站的网页,将用户的浏览器重新导向到其精心打造的恶意站点,这个恶意站点看起来还是是非常可信的。但在用户向其中输入个人信息时,它们“统吃”。“吃”了你的还不算,还要在你的系统上种上点东西(如间谍软件等),或者破坏你的邮件地址簿,肆意传播垃圾邮件等。
浏览器和浏览器插件的漏洞:前几天我们看到一些安全专家建议不要使用IE浏览器。其实其它的浏览器也并非无懈可击,只是漏洞暂时还不太多或者说是攻击者对其关注的程度还不够高而已。不管哪种浏览器,攻击者都可以利用其漏洞或其插件的漏洞将恶意软件下载并安装到用户计算机上,或者将用户指引到一个恶意站点。
终端用户:许多攻击者都是从终端用户下手的。许多企业面临的威胁主要是由于其针对笔记本电脑、桌面系统、服务器、未受保护的移动设备的安全策略不健全造成的。如空口令、关闭防火墙等都是具体表现。
可移动的存储设备:由于U盘、移动硬盘、MP3、MP4等设备的快速流行和使用,恶意软件也可以轻易地从外部的设备传输到网络系统中。此外,插到iPod中的插件也可以成为窃取系统数据的重要媒介。
网络钓鱼:前面笔者在谈到Web的新威胁时谈到,网络骗子伪造冒似金融网站的虚假站点欺骗消费者。它们还能够以金融公司作为其伪装,在电子邮件中诱骗消费者输入其个人机密信息。
僵尸网络:攻击者通过隐藏的程序控制大量的计算机系统并执行多任务,如发送垃圾邮件和发动拒绝服务攻击等。
键盘记录程序:黑客在用户的系统上安装可以记录用户击键的程序,并将记录的结果秘密地通过电子邮件发送到黑客的邮箱。
多重攻击:黑客使出“组合拳”,即将多种战术结合在一起(如综合运用键盘记录程序、僵尸网络、钓鱼等手段)来窃取用户的敏感信息。
此外,攻击者还可以通过间谍软件窃取个人的机密信息,并能够通过垃圾邮件传播病毒、间谍软件、木马等。
以上这些威胁并不代表全部,现在的web威胁日益体现出综合化,并向纵深发展。以前攻击者主要利用操作系统漏洞,现在对应用软件的漏洞越来越感兴趣;以前的SQL攻击可以检测,现在却越来越难;以前黑客们控制一两台计算机,现在可以通过一个网站攻击其它网站,并感染用户,进而构建僵尸网络,借以发动分布式拒绝服务攻击(DDoS)。因此任何企业都应当重视防范措施的多样性和多重性,不要依赖单纯的一种技术,有了UTM并不意味着万事大吉。为此笔者提供以下防护Web威胁的方法:
阻止对恶意服务器的访问
企业应建立恶意站点的清单,借助防火墙、UTM等设备,在桌面用户试图打开已知的恶意服务器的网页时,立即阻止这种企图。这样做不但有助于安全,还可以节省大量的带宽和网络资源。
仅允许对可信任站点的移动代码的访问
所谓移动代码是一段计算机程序,能够在计算机或网络之间传播,在未经授权的情况下,它可以修改计算机系统。如ActiveX,Java Scripts,Rootkit等都属于移动代码。虽然移动代码使得web更加生动活泼、富有活力,但它也为攻击者提供了深透进入桌面计算机的便利。
网关扫描
任何时候都不要假定用户一定拥有最新的反病毒定义,并运行着防火墙等软件,也不要认为正在访问的计算机都受到了良好的管理。企业可以在威胁进入网络之前,通过网关集中扫描恶意代码从而轻易地控制所有进入的Web通信。
依靠不同厂商的软硬件实施桌面和Web网关的扫描不要一棵树上吊死。因为现代的攻击在发布之前都针对某些流行的反病毒机制进行了测试。企业应当通过恶意代码扫描工具的多样性来加强对威胁的检查和阻击能力。
经常更新桌面和服务器的补丁
这样做的原因是经常有新的漏洞出现。且不说零日漏洞,只要我们认识到多数的攻击都是通过利用未打补丁的应用程序和系统来传播的,那么也就会自觉的经常为系统打补丁。
桌面要安装反病毒程序并保持最新
企业要告诫用户不要认为安装反病毒程序会影响性能而禁用之。一台没有安装反病毒程序并能够保持升级的电脑不应当连接到互联网和企业内部网,也不应当访问光盘和移动存储设备。
仅准许访问通过所有浏览器检查的HTTPS网站
多数用户并不理解三个SSL浏览器检查的意义,也不能理解为什么不能访问没有通过全部三个检查的站点。SSL检查是指证书与所请求的URL之间的到期证书、不可信任的发行者、主机不匹配三个方面。
仅从可信任的网站下载可执行程序
许多用户都有这样的体验,在安装某个下载的工具时,它要求访问网络。而这种访问对普通而言,首先是不必要,因为我们仅需要其当前功能;二是风险很大,因为普通用户并不清楚访问网络程序的具体行为,而且也无法保障所访问的网络真正安全。而且,现在许多恶意软件都是将自己与一个冒似“忠良”的程序结合起来发布。这种程序在执行时,其中的恶意软件就会为所欲为。
不要访问以IP地址作为服务器的网站
近来的一些攻击更多地利用了安装有简单Web服务器功能的、受到损害的家用计算机。一些受害者多是通过IP地址被指引到家用电脑,而不是域名。实际上,真正合法的网站都会在URL中采用主机名。
仔细键入网站的URL,避免输入错误
任何一个正常的用户都不会愿意访问一个恶意的站点,但为什么还是屡屡中招呢?对一些知名的网站的域名输入错误会将用户带到一些早就潜伏在那里等待用户上钩的网站。此外,如果用户的浏览器并没有打上最新的补丁,也有可能被偷渡式下载(drive-by download)安装恶意软件。
盘点2009年企业WEB安全威胁
推陈出新的技术使得安全产品不断改进,2009年多核技术无疑是安全界最为关注的技术之一。77.7%用户对多核技术解决吞吐量、功能多样性与产品性能之间的矛盾等问题寄予了较高的期望。但计划选用多核产品的比例只有27.7%,并且62.9%企业在未来一年半内不会大面积部署多核产品。
与此同时,尽管厂商和用户把更多的希望寄托于多核技术来提升边界防护的整体性能、可靠性和可用性上,高性能的万兆防火墙、性能与功能“兼备”的UTM纷纷出炉。但从IT168新近完成的2009年度用户调查结构发现,信息安全行业已不是“技术为王”的时代,“应用为王”才是目前的主旋律,无论单核还是多核,无论Intel IA架构还是RMI架构,只有为用户解决实际问题、性价比满意、服务满意的产品才有生存的空间。
一、企业对公司网站安全的部门设置情况
多核技术为信息安全界带来了突破性能瓶颈的希望,有61.7%的企业认为多核技术的出现可以解决吞吐量与产品性能之间的矛盾, 37.4%认为多核技术可以解决功能多样性与产品性能之间的矛盾, 24.0%认为多核技术可以降低UTM的单点故障,20.9%认为多核技术让安全网关实现万兆线速。但值得注意的是仍有22.3%的企业不清楚多核技术,或许能解决实际问题的安全产品更重要,技术创新的噱头不足以打动他们。
二、公司网站发生被挂马的情况
对于多核防火墙或UTM,高达52.3%企业仍处于观望状态,尽管4.1%表明用户对多核期待很大,但勇于付出金钱来尝试的还是少数,只有27.7%的企业计划选用多核产品。特别注意的是有20.0%企业不会选用多核产品,这可能受限于IT预算的缩减或认为目前防火墙仍能应付自如。
三、对公司网站安全威胁最大的技术和行为
多核架构的差异对于中国用户来说过于专业,21.4%的企业根本不关心内部架构,35.7%的企业不清楚内部架构,33.7%企业选择Intel IA架构也许是基于Intel的品牌影响力。这一事实表明,安全设备企业在推广其产品时过多强调内部架构并不能换来用户的加分,还是以产品性能、功能等用户关心的角度来进行宣传为宜。
四、公司网站发生WEB安全事件主要原因
企业在选用多核产品时会考虑的因素中,首先考虑的是性价比(高达62.9%),47.4%的企业考虑到性能,有45.4%的企业考虑到服务,有37.1%的企业会根据满足单位需求程度考虑,36.0%的企业会对品牌知名度有所考虑,34.9%的企业认为价格也会影响选用多核产品的选用,18.3%的企业考虑到易操作性以及2.3%的企业还会考虑其他因素。
五、企业网络遭遇到的最大安全风险
对于上马多核产品的厂商来说,这次调查或许会让他们感受到未来的挑战,高达62.9%在一年半之内不可能大面积部署。不过值得期待的是37.1%的企业在未来一年半之内考虑部署多核产品,厂商更多的工作应是细分客户,发现真正有需求的客户来重点突破,并用实际成功案例对那些处于观望中的用户进行潜移默化的影响。
六、公司检查WEB安全的频率分布状况
对于上马多核产品的厂商来说,这次调查或许会让他们感受到未来的挑战,高达62.9%在一年半之内不可能大面积部署。不过值得期待的是37.1%的企业在未来一年半之内考虑部署多核产品,厂商更多的工作应是细分客户,发现真正有需求的客户来重点突破,并用实际成功案例对那些处于观望中的用户进行潜移默化的影响。
七、企业解决WEB安全的有效办法
对于上马多核产品的厂商来说,这次调查或许会让他们感受到未来的挑战,高达62.9%在一年半之内不可能大面积部署。不过值得期待的是37.1%的企业在未来一年半之内考虑部署多核产品,厂商更多的工作应是细分客户,发现真正有需求的客户来重点突破,并用实际成功案例对那些处于观望中的用户进行潜移默化的影响。
烟草网站如何实现防攻击、病毒和篡改
烟草网站第一防:防攻击
烟草网站往往具备在线办事等电子政务功能,一旦黑客利用网页漏洞进入系统后台,则可以轻易破坏这些对外提供的服务,令其无法正常工作,又或者是利用DoS/DDoS等攻击行为,占用系统的服务资源,令其无法正常工作……诸如此类的现象,通常被形象的称为“网站瘫了”。
对上述致使“网站瘫了”的行为的防范,可以纳入到“防攻击”的层面。因为,一般来说,网站的代码编写人员并不具备足够的安全知识,在编码时往往并不考虑网站是否会因此而存在漏洞,更有甚者,还有一些网站直接借用其他站点框架来搭建。
据业内专业安全公司启明星辰的安星远程网站安全检查服务网站(www.websec360.com)的数据显示,平均约700个页面就会存在一个网页漏洞。烟草网站一般都拥有1000个以上的页面,存在网页漏洞的概率极大。而利用这些漏洞(如果是动态网站,最常见的就是SQL注入漏洞,该漏洞的危害巨大,网络上已有大量相关文章,本文不再赘述),黑客可以轻易获得权限,进而攻击整个网站。
烟草网站第二防:防病毒
网站防病毒,指的不仅仅是“蠕虫”之类的计算机病毒,更多的是指“网页木马病毒”。很多人都见过Google在某些返回的搜索结果中显示“该网站可能含有恶意软件,可能会危害您的电脑”。类似这样的说明,就是指网站很可能已经中了“网页木马病毒”,业内通常称之为“挂马”。
试想,如果在Google中搜索某某省烟草公司,返回的却是一个挂着“小尾巴”的地址,这对企业形象的影响将会是巨大的。特别是,如果有人不小心访问了被“挂马”的页面,那么也将会在不知不觉中感染上木马,进而泄露自己的私密信息。
烟草网站第三防:防篡改
页面被篡改,是网站遭遇攻击的最常见现象,比如首页被替换、页面发布内容被修改等。这类也是被曝光数量最多的黑客行为。
对此,烟草网站既然同时作为信息展示和交互的平台,那么页面被篡改也是必然要考虑的一大安全风险。
在了解网站威胁所包括的内容后,接下来需要关注的就是“如何应对这些状况?”“如何将‘三防’要求落地执行?”
系统解决“三防”问题
防篡改是网站安全中最容易想到的要求,这与页面被篡改现象屡见不鲜有很大关系。最直接的解决办法就是采用网站防篡改产品。
通过网站防篡改产品,可以将网站所有信息备份存储,同时监视网站页面文件,一旦发现网页被修改,系统可以马上从备份库中提取并进行恢复。这种防范手段不受攻击手法的限制,即不论黑客利用何种手段攻击网站,只要页面发生更改,网站防篡改产品都可以及时响应和恢复。
在纯静态页面的网站中,页面防篡改可以防范几乎全部的针对Web系统的攻击行为,而在动态页面的网站中,防篡改产品也有盲区。主要有2类盲区:一类就是有信息交互的网站,如在线留言、在线办理等业务,用户需要对后台数据库进行写入或者修改的操作,网站防篡改系统无法判断这些修改是黑客行为还是用户正常操作;另外一类就是数据窃取,如窃取账号口令等信息,页面并未因此发生变化,因此,网站防篡改产品自然也就无法防御了。
而上述这两种盲区,恰好就是“网站三防”中另外两防可以解决的问题——防病毒、防攻击。如果用户交互页面(在线留言系统等)存在一种被称为XSS(跨站脚本攻击)的Web漏洞,黑客就可以提交一个精心构造的字符串,将网页木马链接到页面上。如果页面存在SQL注入漏洞,黑客则可以通过URL中提交的特殊的字符串进行攻击,获得后台数据库权限。针对这两种情况,可以考虑选择带有Web威胁防御能力的安全产品,如入侵防御产品或者是Web应用防火墙来实现安全防御。
当然,除了部署相应的安全产品外,清晰划分内部网络安全域也是必不可少的工作,最简单的就是将那些需要对外提供服务的服务器单独列出服务器域,避免利用内部PC进行跳板攻击的黑客行为。一般来说,将服务器域单独划分管理域,并且设置必要的访问控制措施,辅助部署网站防篡改、入侵防御或Web应用防火墙产品,就能很好地满足“三防”需求,保障网站的安全稳定运营。
突破单一防御思路的Web安全
1.Web安全防御思想分析
如何保护企业网站免于遭受攻击,是令很多CIO们头疼不已的问题。
一般来说,Web安全的防范措施不外乎两种:未被禁止的就是允许的,未被允许的就是禁止的。
第一种,“未被禁止的就是允许的”。
这一思想可以解释为:凡是与记录在案的攻击行为相符合的,就认为是攻击行为,凡是不符合已知攻击行为特征的,就是正常行为,这称之为模式匹配技术。早期的入侵检测技术就是这一思想的典型代表。通过定义攻击事件的数据特征,来区分网络中的各种数据流。这种方法的准确率较高,但如果攻击者采用最新的,尚未添加到检测中的攻击方法,容易有漏报。而且早期的模式匹配技术没有通配概念,变形攻击很容易躲过入侵检测的检查。随着入侵检测技术的发展,这已经是非常困难的事了。
第二种,“未被允许的就是禁止的”。
类似于防火墙等访问控制设备,设定一些允许规则,不包括在规则内的,就将被禁止。这一类的Web安全产品包括application firewall和静态网页防篡改系统。
Application firewall,之所以叫firewall,就是因为其主体设计思想是模仿防火墙,所不同的是,application firewall不仅关心4层以下的数据,还需要关注应用层的数据。而在“未被允许的就是禁止的”这一思想指导下,application firewall多采用构建异常模型方式:通过学习“干净”的网络数据,视情况需几天或几星期,一一列举出所有应当被允许的行为,当模型构建完成,所有被允许的行为也就定义下来了,在工作过程中,一旦发现某条数据行为并未包括在模型中,就予以响应(阻断、报警)。这种方法对未知攻击和新漏洞攻击有很好的防御能力,但弱点也同样明显:学习数据必须是“干净”的,否则攻击行为将被认为是正常行为而给予放行,产生漏报。而且业务结构发生变化后,比如更换服务器,添加新的在线服务业务等,需要重新学习,否则容易误报。
静态网页防篡改系统,将“未被允许的就是禁止的”贯彻得更死板一些:将所有被保护的网页做备份,除了规定程序/地址外,其它任何企图更改页面的行为都是被禁止的,即使骇客攻击后更改成功,也可通过备份机制进行自动还原。但随着动态页面技术的进步,Web网站已经很少有静态页面了,而且这种防篡改系统仅保障了网页内容不被修改,无法保障其它私隐信息(如用户数据)的安全。
这两种防御思路各有优劣,单一思路指导下的Web防御产品都是不完善的,要实现全面的Web安全防御,需要融合两种思路的优势。我们欣喜地看到,相关厂商已经在这些方面进行努力。
2.融合两种思路的Web安全
入侵检测技术基础上的发展的Web安全
入侵检测技术方向。
自本世纪初起,入侵检测技术就已不限于单纯的模式匹配,而是包含了包括统计异常检测、基于模式预测异常检测、基于数据挖掘异常检测、基于神经网络异常检测以及基于特征选择异常检测等在内的异常检测机制。其特点是并不以单纯的数据特征作为匹配对象来源,而是分析数据的行为特征。在入侵检测技术基础上发展起来的入侵防御产品,已然可以看到融合两种防御思路的迹象。
正如前面所说的,传统的“未被禁止的就是允许的”思路,容易形成漏报,攻击者进行攻击变形或攻击编码,就有可能绕过检测机制。针对这一情况,入侵检测技术的应对是会话重组和拟态还原技术,并不是针对某一个数据包进行分析,而是将整个攻击会话还原,这样,如插入无意义字符、UNICODE编码、 ASIC编码等躲避技术就无所遁形了。而针对新攻击无法发现的弱点,一般来说有两种解决思路,对于那些有攻击机理体系的新攻击,如SQL注入,XSS攻击(CVE上每年都能新发现上千种SQL注入漏洞,这些漏洞各不相同,但攻击方法是属于同一体系:SQL注入),利用分析攻击机理,提炼攻击行为特征,而不是数据特征方式,籍此入侵防御产品可以实现对新发现漏洞的实时防御。另外一种情况就是相对独立的新漏洞,这就是考验安全厂商漏洞发掘能力、应急能力的关键点:如果漏洞是安全厂商自行发现的,那么防御不成为问题;如果漏洞是其它途径发布的,就需要安全厂商有足够多的信息来源,可以第一时间获得漏洞信息(这里的来源可以是操作系统提供商、用户、CVE、合作伙伴等),并且有一支强大的事件分析队伍,可以在获得漏洞信息后,尽快地发布相应防御补丁。
Application firewall基础上发展的Web安全
再来看Application firewall方向目前的发展。
Application firewall的“未被允许的就是禁止的”思路,使得Application firewall不需要太关心具体的攻击行为和漏洞信息,这也和Application firewall多为审计厂商和负载均衡厂商出品有关系:在入侵识别技术上并不占优势,所以并没有从入侵分析上下手,而是走了另外一条路。但正如上面所说的,Application firewall的防御完备度取决于数据学习阶段,如果某漏洞的攻击方法就是正常的访问,但携带某种特定规则的数据部分,Application firewall将无法发现这种攻击行为。所以有的Application firewall厂商也需要针对某些新型漏洞提供攻击数据特征来进行防御。在这一点上,考验的主要就是厂商漏洞发掘、应急响应的能力了。
无论如何,在入侵检测基础上发展也好,在Application firewall基础上发展也好,最后大家都将走到同一条路上来,那就是结合特征匹配与异常模型的防御,突破单一防御思路的新型Web威胁防御。只有将这两种技术思路融合起来,才能为用户提供真正解决Web威胁的全面解决方案
针对Web安全,寻求最佳防御方案
针对“实时”切断攻击的应用级解决方案需求,安全界提出了两种解决思路:
思路一:基于自动学习功能的application firewall。这种方案和网页防篡改系统有一点共通点:不关心某一个具体的攻击行为,从行为框架上防御攻击行为。application firewall通常需要一到两周的数据学习期,在这个期间需要给application firewall提供“干净”的数据流量,application firewall将记录并分析这些“干净”的数据,建立一个正常数据模型。在产品的正式工作期间,所有不在正常数据模型内的访问都将被视作异常而予以阻断,并不判断其到底属于什么攻击行为。
这种方法的好处和劣势都同样明显,好处是:由于“训练”系统的数据是“干净”的,而所有攻击行为一定是“不干净”的,所以,报警准确率极高,任何异常都无法穿透application firewall。但正是由于这个学习机制,其劣势如下:必须要保障“训练”期间的数据“干净”而全面,不够“干净”的数据将导致在正式工作期间产品漏报。而不够全面的训练数据将导致产品的误报。此外,被保护的系统如果业务发生变更,需要重新进行“训练”。
思路二:基于入侵防御技术的IPS。这种方法可以视作从防火墙+入侵检测联动的方案中转化而来,保持了对入侵行为的检测分析,增加了对数据的实时控制。
可以看出,和思路一不同的是,思路二直面系统所存在的威胁和弱点,不但能阻断对Web业务的攻击企图,还可以给用户提供展示Web业务所存在的漏洞和弱点。但考虑到方案二采用检测技术的是基于专家系统而非异常模型,所以其报警准确率将因产品而有所差异。
如何提高Web安全水平
在网络安全界,常说的一个词就是“解决方案”,很少有一个产品能独立完成对一个系统的全面防护,对Web业务也是一样,不论是application firewall还是IPS,都只能作为Web安全解决方案的一个部分,从经典的PDR模型来看,一个完整的安全解决方案,至少应当包括检测、防御、响应这三个部分。
检测,建立对网站安全检查机制,确保入侵的及时获知,通过检测,及时了解网站入侵漏洞,安全状况;
防御,结合网站主流威胁与漏洞状况,部署网站入侵防御产品,完善防护能力;
响应,确立专业支持团队的外援保障,解决及时响应问题,在网站漏洞被验证后,能确保对其漏洞进行安全代码审核修补。
