网站应用安全成为“短板”
目前,Web服务器已经成为黑客攻击以及病毒、木马感染传播的重灾区。网站网页不仅被篡改、后台数据被窃取,而且更可恨地是还成为了病毒、木马的传播者。即使一些网络管理员采取了一些措施,虽然可以保住网站的主页不被篡改,但是却很难避免自己的网站被当作肉鸡来传播病毒、恶意插件、木马等等。
国舜科技副总裁 汤志刚
对此,国舜科技的副总裁汤志刚称:据Gartner调查显示,超过75%的攻击来应用层。从整体安全来看,网络层相对完善,防火墙部署以及相应的制度,阻断绝大多数的外部主动连接。与之对比,网站允许外部用户主动连接,鼓励用户参与,网站的防御更加困难,网站应用安全成为主要的突破口。
国舜科技研究发现,85%以上的有效渗透以网站为突破口。在某电信运营商组织的安全检查中,找到十几条从互联网到内网(包括计费、网关、OA)的路径,而其中大约80%是以网站作为突破口进入的,网站成为安全实践中的短板。据了解,国家相关部门今年多次通报网络安全问题中,网站安全问题占绝大部分,日前, 国家相关部门将网站作为今年十八大保障的重点。
网站应用安全新趋势
对于网站安全的新趋势,汤总指出主要有以下两个趋势:
一是以数据泄漏为代表的窃取性攻击成为主流。由破坏性攻击向窃取性攻击演变。网页被篡改是典型的破坏性攻击,是黑客张扬自己的经典手段,但近年更多的是数据泄露型的窃取性攻击。数据泄露攻击以其隐蔽性和高经济价值倍受黑客青睐,其对用户的伤害也更大。
二是出现高级持续性攻击(APT,Advanced Persistent Threat),网站更显羸弱。 APT攻击的特点是:目标明确,有周密完善的信息搜集,不计成本地挖掘、购买0day漏洞,多种方式组合渗透、定向扩散,而且是长期持续地进攻。ATP攻击方式加大网络威胁,实践中也展示巨大威力,本身就相对薄弱的网站就更加脆弱。如何缓解针对Web 业务的各类安全威胁,优化业务资源和提高应用系统,以保障Web 应用的可用性、可靠性,是CIO们面临的巨大挑战。
“主动防御”才是硬道理
汤总强调:目前,网络安全普遍采取被动防御的方式,该方式在网站防御中有相当的局限性,有必要引入主动防御。但全网实现主动防御是有困难的,容易造成误伤,应该考虑有针对性地来主动防御,就是在网站安全部分采用主动防御。完整的主动防御必然是以执法部门牵头,各业务单位配合,充分利用各种先进技术,形成能快速感知网络进攻,跟踪攻击行为,打击不法分子的体系。这个建成需要相当长的时间,当前的努力方向主要有两方面:
一方面是提高感知度。具体方式:清楚地识别进攻、识别进攻源(进攻区域、组织、进攻习惯、善意恶意等)。目前支持产品主要有“网站综合监控平台”。
另外一方面是加强反制能力。具体方式:截断攻击源、系统跟踪攻击、取证,进而协助执法机关抓捕起诉,目前支持产品主要有网页防篡改、WAF等防护产品升级。
汤总将被动防御和主动防御做如下对比:
|
类别 |
被动防御 |
主动防御 |
|
监控 |
攻击 |
攻击、相关日志 |
|
识别 |
识别攻击行为 |
识别攻击行为、识别攻击源 |
|
攻击感知度 |
低 |
高,不断提高识别精度 |
|
攻击分级 |
危害严重性 |
识别攻击的准确性 |
|
反制 |
阻断当次攻击行为 |
阻断攻击源、攻击行为追踪、取证 |
|
安全改进方式 |
加固、修补漏洞、增加防护规则 |
增加识别规则、更精准地反制 |
|
震慑作用 |
无 |
有 |
|
0day漏洞 |
能防住部分与已知漏洞有类似特征的0day漏洞 |
在攻击探测阶段,已经识别阻断。也可以识别不阻断,通过跟踪来学习0day |
通过对比,汤总坚信,主动防御将是网站安全发展的方向。
应用在变,安全不变
面对网络安全的新趋势,国舜科技始终牢记公司的使命“以务实创新的技术,推动不断变化的应用更加安全”,近几年来, 国舜科技通过加大技术投入,深入研发,取得一些成绩:
首先,推出网站安全综合监控平台,这个平台将国舜科技以往的网页防篡改,网站漏洞扫描系统等领先技术融合在一起,是一个实时监控网站性能、状态、安全漏洞等的综合监控平台,该平台是对现有监控的巨大推进,同时也为主动防御打下基础,对网站的安全有巨大的促进作用。
其次,对现有产品也有大幅改进,推出三款新型号的WAF应用防火墙产品,该产品在同样硬件条件下,性能明显提高。
网页防篡改系统地持续改进,在业界相当部分的防篡改仍旧停留在第三代技术网页水印时,国舜科技在前两年推出的第四代核心内嵌的第四代技术上,又加以改进,除静态防护和动态防护性能的大幅提高外,还加入识别和反制功能,成为有主动防御能力的第五代产品。国舜科技期望通过产品改进来提高客户的安全体验和性价比。
据此,国舜科技以纵深、动态、主动的WEB应用安全防护理念为基础,充分发挥自身产品研发和安全服务的特长,为客户提供全方位的网站安全解决方案,全方位提升WEB应用安全。
