通信世界网(CWW)4月1日消息 由人民邮电出版社主办的“2011(第三届)通信网络与信息安全高层论坛”在北京鸿翔大酒店举行,本次论坛以“完善防护、支撑应用、助力转型”为主题,会议就移动互联网安全挑战、电信业务云安全需求和框架、IDC类应用系统安全防护、手机病毒监测、电信网络的安全防护评测和管理、IPv6网络安全保障体系研究、Web应用安全等业界热点议题展开。
梭子鱼网络有限公司 隋长何
隋长何:大家下午好!
梭子鱼是专注于应用安全领域的美国厂商,我演讲的题目是《Web应用防火墙让应用无忧》。我的介绍包括四个方面,一是从Web应用的角度来看整个应用类型的发展趋势,二是Web应用安全现状,三是Web应用安全问题分析,四是关于梭子鱼针对Web应用的一款主力产品的介绍。最后介绍一下梭子鱼公司的状况。
Web应用的发展趋势
之前的专家和老师以及各位同业公司都有相关的介绍,Web应用第一大趋势就是发展迅速,每一秒钟就会有一个URL链接产生,到09年10月份,全球大概有18亿的这种域存在。国内的数据是中国互联网官方的统计数据,大概在去年11月份,中国目前国内323万的用户,也就是说现在互联网的应用网址也好,网站也好,数量是巨大的,而且递增幅度也是在不断的增加当中。还有就是交互性,原来的浏览器仅仅是作为浏览,现在更多的是作为工具使用。从国内的例子来讲,去年10月份的一个官方数据,网络购物占到全部网民的1/3,网民当中有1/3的人是有网络购物行为,同时网上支付的行为有30%,网上银行的使用占网银的29%。我自己是有切身体会的,比如我的衬衫,包括我买iPad都是通过网上购买,包括网上支付,我的手机费,包括我们家的水费也都是从网上买的。包括过年给双方父母汇款都是通过网银,我想在座的各位可能在这方面或多或少都在使用网上的交付和购物,这样的行为肯定是有的。
用户创造内容,在国内我们最大的就是腾讯微博的交付方式,包括Facebook,它的统计大概每个月全球有25亿的照片上传到Facebook这个网站上去,用户创造内容带来的是个人特性的彰显,同时个人的信息也在互联网上流通。包括我们运营商,还有一些其他的企业单位,甚至还有一些政府,我们很多工作流程都是通过Web来实现的。因为有上面飞速的发展趋势,具体我们看到的安全状态是什么样的?前面几位嘉宾也都介绍到了,这是国家互联网中心核心的数据库,从安全数据报告来看最大的是恶意代码,这一类安全的类型现在是非常突出的。还有就是网页被篡改,2010年4月份将近有3千次,这是互联网中心的一个实际的数据,现在的事故当中92%的攻击是利用应用层的漏洞。从流量统计来看,绝大部分的攻击是利用在应用层的攻击,就是传统的防火墙或者边界防御,在这一段是起不到防护作用的。从各个省的统计情况来看,河南的网站被黑的数量是最大的,其次是北京、江苏等等。各种恶意代码的攻击数量的排序,这个是国家计算机网络应急中心的一个实际统计数据,在这里给大家展示了一个现状的情况。
Web应用安全现状
相关的热点事件有很多,我们也经常听到,比如说08年三聚氢胺事件之后,三鹿的网站直接就被改成三聚氢胺公司了,之前包括国内国外政府的网站被改掉,或者被黑掉这种事情是屡有发生。
这是我在报纸上摘抄的,是《京华时报》去年6月份的,是《黑客入侵教育网站造价证书》的报道,这是一个实际的案例,不止是媒体的报道,梭子鱼有一个教育系统的用户,我们的Web应用防火墙实际的使用就是在它的学位证书管理的环节上,实际上我们看到所谓的黑客,包括我们在外面看到的那些贴的小广告,说是证书或者办证,就是站在安全厂商的角度来看,从我们的了解来看,我们看到办证书的,是整个这个产业链当中仅仅浮在水面上的冰山一角,下面有巨大的利益链条的运作,所以不是一个简单的办证的小卡片能够看到地下一个产业链的状态的。包括在学校里面改成绩的,还有国外一些文凭,海外的文凭,海外的这些证书在国内把相关后台的假数据改成真数据,提高真数据等等,这样的事件是屡有发生的。钓鱼网站每年钓都76亿人民币,这是北京晚报的一个报告。还有就是网页的暗链,现在在媒体上这样的信息事件非常多。这是来自一个真实的案例,在金融系统的一个实际案例,我就不详细讲了,具体举一个在英国的例子,可能大家有些人也听说过,英国一个黑客他一共搞了25万的伦敦银行的帐户,每个月从每一个帐户上划走一英镑到自己的帐户,我想这样每一个帐户的户主可能在日常生活中真的不太在意,不容易发现,每个月账户上少一块钱,真的不能引起注意。后来这个事怎么被发现的呢?这个哥们可能在女朋友那里吹牛,说我有钱如何如何,这个朋友很好奇,说你怎么挣钱?他说我就通过一个什么样的工作,而事实上一直没有讲。后来可能有一次是激动了还是喝多了,就把这个事说出来了,女朋友一看很危险,回头就把他举报了,这个哥们就被抓起来了,这个事情也就暴露出来了。黑客攻击到银行的数据库,通过相应的操作,能够盗取客户信息的事件还是很严重的。从安全的角度来讲,近期比较大的一个政府的动作,就是工信部牵头,三大运营商,包括腾讯、金山一块来围剿十大病毒集团,这是近期的一件事情。为什么工信部能牵头做这个事情?还是因为黑客在后面攻击的事情屡见不鲜,造成大量终端用户利益的损失。
Web安全问题的分析
前面是针对现状,对于安全问题的分析,为什么会有这样的状况出现?简洁来讲可能就是从三个方面,包括主观因素、客观因素和攻击动机。主观上来讲就是因为Web的应用数量越来越大,另外在整个技术开发的过程和软件开发的过程当中,漏洞的状态或者漏洞的数量是客观存在的,而且是数量巨大的,而且给黑客提供了很多便捷的空间。相应的资源越来越多,我是指黑客的攻击工具,在网上可以下载,如果做大攻击有大的方面,小攻击有小的方法,一种是为了名要炫耀,举一个典型的例子,我们梭子鱼总部在上海,有一次梭子鱼的同事和复旦大学的老师聊天交流,新入学的两个宿舍的学生在PK,就说我们两个宿舍分别组两个组,看两个宿舍谁先把学校的网站攻瘫,输掉的一方要请赢的一方喝酒吃饭,从这个目的来看仅仅是为了娱乐或者是玩,这是其中一个因素。但是真正巨大的,更具有危害性的是利益,刚才我讲了,包括做假学历,黑客是有一个产业链的,更大的是利益因素,包括操纵赌博,这个利益就更大。至少从我认识的人当中,有专门在网上赌博从业的人,后来他转到安全厂商这边,有些故事非常多,但是根本原因就是利益。还有一个因素就是政府因素,大家经常会看到或者听到的政府之间的攻击。比如说我们发生一个事件,比如领土被占了,或者有领土纠纷的地方,这样的话对方国家的网站肯定会被黑掉,这样的事情会很多,要更多的看到攻击的原因。
相应安全的问题有四个因素构成所谓Web的安全,首先是本质上讲应用和安全的鸿沟,一边是整个安全专家,另一边是商用软件的商用化。从整个开发过程来看,从开发者的角度讲,因为商用时间的限制,因为工程量的限制,所以对于这些开发的环节当中,对于安全的结构也好,或者语言过程当中的安全规范也好,或多或少有意无意的就忽略掉了,同时作为安全的这些从业人员和审计人员,可能对商用软件具体的应用部署熟悉程度不够,不能真正把建议提到更确切或者更实用的问题。主要的原因就是因为商业软件的工作量巨大,一如从现有的统计来看,每一千行代码就会存在15个左右的安全漏洞,还有一个就是修改代码的代价很大,从国际的统计数据来看,在软件开发的阶段发现了漏洞进行修补,和这个软件投入到使用之后发现漏洞再进行修补,这两个修补之间的代价大概是30倍的差距。在开发阶段发现漏洞进行修补可能花1千美金,如果真正投入商用之后发现漏洞被攻击了如何修复弥补和完善?这些可能会投入3万美金。所以这就带来了鱼和熊掌,不可兼得,就是快速的商业需求和较小安全性之间的矛盾。如果在20万行左右代码的软件,如果完全规范起来投入运行去修复,大概需要花3到6个月的时间,这是已经上线之后的,你再去修复大概花3到6个月的时间,这是梭子鱼的一个客户在美国做的分析。如果对于很重要领域的应用,这个时间成本和运行之后经济利益之间的挑战是无法承受的,所以说有的时候可能就只能是事后补救了。
现在最大的问题就是复杂性,大家看这几个颜色,有Web服务器、应用服务器和数据服务器。同时对于不同的应用当中有相应的操作系统,有不同的开发工具,不同类型当中还有相应的应用程序,所以说IT的结构、内容、相互的关联度和复杂度是越来越高的,这样的情况下要做到完全在开发设计阶段的安全,我想投入时间是非常巨大的,甚至从商业角度来讲是非常不划算的,这是它应用复杂性带来的安全本源问题。现有的防护方式对于目前这样大量的使用来讲效果不见得好,我们列的是三个主要的情况:一是消防式博士,不能真正出问题的时候及时进行补救,二是补丁总是不及时或者出错,三是对于临时性的攻击,目前毫无办法,对于已知漏洞的防护,从实用角度来讲总是会存在延时的现象。现在有大量的安全措施存在,从攻击的角度来讲,现在92%的攻击是利用的应用层的漏洞。针对Web网站的恶意攻击大部分安装在请求当中,再就是并不篡改网页,这个问题更严重,对网页的篡改,不管是事后十分钟还是一个小时是能够发现的,就像我刚才举的例子,英国那个人盗用客户的帐号,每个月汇一块钱给自己,银行发现不了,客户也发现不了。攻击手段迅猛发展,这一方面可以理解道高一尺,魔高一丈,这是技术循环往复的过程。我们看到现有的这些方式,传统的方法对于80端口实际的防护是不起作用的,就像刚才那个图片当中,最多的攻击是来自80端口。入侵监测和入侵防御方面,实际上是事后防御,传统的防火墙是边界防御,包括网页防篡改也是事后防御。
梭子鱼对于防御当中的缺陷提出和研发了自己的Web应用防火墙产品,这是一个相应的结构图。从工作原理上大概分成三步:一是把对于Web服务器防御的请求先停下来。二是进行安全处理,当然这里面有相应的技术,无论对于网站隐藏的、破性的,包括DNS攻击、挂码等等,会有相应的技术手段来实现。三是把请求处理完之后进行加速,必须通过加速的手段恢复到使用户不影响正常的使用,这是基本原理。Web应用防火墙的几大功能特点,可以对Web服务器隐身,看不到网站,对于请求和下发的数据进行双向的检测和防护。停下来之后要加速主要的方法就是服务器负载均衡,利用缓存和压缩,包括TCP连接修复等方面进行加速。还有一块是从产品自身的实用角度,从管理者的角度提供了强大的日志和报表功能,对于所有的访问可以进行分类、审计,对流量和攻击类型进行分类。同时利用日志进行启发式和策略式,是一种动态人性化的管理,不管优化防御策略,这一方面是从管理的角度进行防护,应用之后从管理角度能够提供更便捷的手段和方法。
很重要的一条就是合规性,本身从Web应用防火墙自身来说,最早的客户群体实际是在北美的银行业,原因就是因为北美最早银行业PCI规范当中出来,如果银行业从业必须在开业之前,所有的流程和相应的设施要符合PCI规范,凡是给网银提供设置和提供支持的厂商和设备,也必须符合PCI规范。银行业的规范应该是各行各业当中最严格的,因为实实在在的涉及到了资金,涉及到了钱和具体的盈利,从合规性的角度来讲,基于决策访问的控制,有相应的管理方式,还有各种审计报表,像欧美国家的萨班斯法案贯彻的非常好,国内也在执行,针对审计相关内容,这边的报告和报表可以提供相应的对策。09年测评机构对几款流行的Web应用防火墙进行了测试,得出的结论就是从易用性、功能、操作边界性等几个方面,梭子鱼综合评价处于第一位,细节就不再介绍了。
梭子鱼是2002年在硅谷成立,目前在全球100个国家有自己的销售和服务网络,现在在全球注册用户数是13万个,IDC2010年的评价在内容安全领域的销量是最多的,包括防火墙、反垃圾邮件、邮件归档、上网信息管理等等,梭子鱼在全球的销量是最大的。梭子鱼Web应用防火墙是2007年开始投入商用,从这个角度来看,梭子鱼的产品在Web应用防火墙领域投入商用的时间是最早的。梭子鱼的定位是对于云的支撑,从存储、计算、服务到安全,整个产品分成三大序列:一是网络产品,二是安全产品,三是存储产品。网络产品包括VPN产品,包括负载均衡产品,从使用对象的角度来讲比较集中在直接使用层面,安全产品就是梭子鱼的核心产品,反垃圾邮件防火墙现在在全球,包括在大陆都是排名第一的,邮件归档在全球和大陆地区也是排名第一的。Web安全网关这一款产品在欧美国家比较多,在大陆销售比较少一些。Web应用防火墙,从应用角度、客户群构成和客户级别角度来讲目前排名是全球靠前的,还有就是下一代防火墙,这是梭子鱼在全球从去年开始推广的一款产品。三是存储产品,实际上在大陆地区没有完全开展起来,在北美地区已经建立了各自的中心,而且运营的状态和盈利效果在北美地区的反映非常良好,也是非常强的。
今天的介绍就到这里,谢谢大家!
