由于Web應用的發(fā)展,所承載的信息內容越來越多,安全威脅來源開始從傳統(tǒng)的網(wǎng)絡和系統(tǒng)層,轉向以惡意代碼、頁面篡改為代表的應用層。目前,攻擊者已經形成了明顯的“地下產業(yè)鏈”,從個人、小團隊的攻擊行為轉向了經濟利益驅動、有組織的攻擊行為。攻擊者利用站點的安全漏洞獲取重要信息,從而進行欺詐甚至直接獲取信用卡賬號等敏感數(shù)據(jù),例如近期索尼BMG網(wǎng)站、本田汽車美國官網(wǎng)方遭到黑客攻擊,導致大量用戶數(shù)據(jù)泄露。另一方面由于黑客對站點管理者的不滿或者出于技術炫耀的目的,導致大量重要站點進行篡改。據(jù)CNCERT/CC的統(tǒng)計數(shù)據(jù),2010年全年,中國大陸每月被篡改網(wǎng)站數(shù)量平均為2904個。其中境內政府網(wǎng)站被篡改數(shù)量為4635個,與2009年的2765個相比增加67.6%[1]。還有一類危害范圍非常大的攻擊行為是攻擊者通過對目標站點植入惡意代碼,當計算機用戶瀏覽植入惡意代碼的站點而導致被感染病毒、木馬,從而被攻擊者控制。這類攻擊是目前互聯(lián)網(wǎng)黑色地下產業(yè)中進行最為猖獗的、對互聯(lián)網(wǎng)安全危害較為嚴重的非法活動。在微軟2009年7月至12月的安全統(tǒng)計報告中,以.cn(中國)結尾的掛馬站點比例將近1%,遠遠超過由Bing 跟蹤的平均0.24%的網(wǎng)站包含一個惡意頁面的比例[2]。
針對網(wǎng)站頻發(fā)的安全事件如網(wǎng)站掛馬、注入類攻擊、篡改攻擊等,極大地困擾著網(wǎng)站提供者,給企業(yè)形象、信息網(wǎng)絡甚至核心業(yè)務造成嚴重的破壞,導致了機構門戶的形象受損和公信力的下降。
傳統(tǒng)的網(wǎng)站安全監(jiān)管手段的不足
傳統(tǒng)的網(wǎng)站安全監(jiān)管方式通常是采用Web應用安全掃描工具周期性的對網(wǎng)站進行安全掃描與評估,然后根據(jù)評估結果進行安全加固和風險管理。這種安全檢查工作是一種靜態(tài)的檢查工作,能夠反映站點被檢查那一時期站點的安全問題,但是缺少風險的持續(xù)監(jiān)測性。例如,通常情況下一個網(wǎng)站一周甚至一個月做一次安全檢查,而對于網(wǎng)站掛馬、網(wǎng)站篡改等事件通常都是突發(fā)性事件,持續(xù)時間短,通過每周或者每月一次的安全檢查并不能夠第一時間發(fā)現(xiàn)這些已經產生的嚴重風險事件并做出相應的處理工作。另一方面通常監(jiān)管者面臨著上百個站點的安全檢查,傳統(tǒng)安全評估工作中所采用Web應用漏洞掃描工具在掃描規(guī)模、頁面爬取和分析能力、檢測結果關聯(lián)分析等方面存在局限性,并且無法做到高頻率的風險監(jiān)測、及時發(fā)現(xiàn)風險。
對于承擔網(wǎng)站監(jiān)管與安全治理責任的機構來說,針對類型復雜、數(shù)量眾多的網(wǎng)站群如何進行安全監(jiān)管,如何第一時間發(fā)現(xiàn)某個站點的安全事件,如何有效地對大量的站點群進行監(jiān)測數(shù)據(jù)的匯總分析和統(tǒng)計,如何反映所有被監(jiān)測站點風險分布的總體狀況,成為新的難題。
變“檢測”為“監(jiān)測”的Web安全監(jiān)管手段
若能夠主動的發(fā)現(xiàn)網(wǎng)站的風險隱患,并及時采取修補措施,則可以降低風險、減少損失。記者了解到,綠盟科技針對該需求,已經推出了綠盟網(wǎng)站安全監(jiān)測系統(tǒng)(簡稱:NSFOCUS WSM),旨在根據(jù)網(wǎng)站系統(tǒng)監(jiān)管要求,通過對目標站點進行頁面爬取和分析,為用戶提供透明模式的遠程集中化安全監(jiān)測、風險檢查和安全事件的實時告警,并為客戶提供全局視圖的風險度量報告,最終幫助客戶構建完善的網(wǎng)站安全體系。
NSFOCUS WSM系統(tǒng)采用智能頁面爬取技術,透明遠程的對站點進行監(jiān)測,通過對頁面進行爬取和分析,從而為用戶提供對網(wǎng)站群的監(jiān)測能力,而無需在站點服務器端部署任何代理設備,無需改變現(xiàn)有網(wǎng)絡結構。該系統(tǒng)能夠從站點的脆弱性、完整性、可用性三方面全方位的對站點的安全能力要求進行監(jiān)管。并且可為一個大型的站點群同時提供安全監(jiān)測的能力。用戶可對每一個網(wǎng)站創(chuàng)建不同的監(jiān)測策略,同時可根據(jù)網(wǎng)站的關注度,對同一網(wǎng)站下的不同關鍵頁面配置不同的監(jiān)測策略,實現(xiàn)對網(wǎng)站不同粒度、全面的風險監(jiān)測。
NSFOCUS WSM系統(tǒng)整個系統(tǒng)物理架構分為控制中心和監(jiān)測引擎兩種設備。
控制中心:負責對整個監(jiān)測系統(tǒng)進行統(tǒng)一的管理,監(jiān)測策略管理,監(jiān)測引擎的任務分發(fā)、調度,數(shù)據(jù)收集和報表呈現(xiàn)。
監(jiān)測引擎:負責對被監(jiān)測站點進行頁面的爬取、頁面解析、漏洞掃描、滲透測試和輔助邏輯分析。下圖說明了NSFOCUS WSM在進行Web應用安全隱患監(jiān)測的部署視圖。
與傳統(tǒng)采用Web掃描器用以進行安全評估的方式相比,綠盟網(wǎng)站安全監(jiān)測系統(tǒng)具有更為鮮明的特點:
一是變“檢測”為“監(jiān)測”,可提供持續(xù)風險監(jiān)測能力。眾所周知,網(wǎng)站掛馬、頁面篡改都是實時性很強的安全事件,而不定期的評估檢查并不能幫助用戶實時發(fā)現(xiàn)這些安全事件。而采用持續(xù)的對站點頁面進行爬取,進一步檢測,能夠為客戶提供不間斷的風險監(jiān)測能力,及時發(fā)現(xiàn)風險并通知用戶,降低或避免用戶損失。
二是集中化安全監(jiān)測,系統(tǒng)采用節(jié)點樹的形式管理網(wǎng)站群,形成了多站點的集中化安全監(jiān)測,同時可實現(xiàn)簡潔的分類管理,相比各個站點的獨立管理,能夠大幅降低管理成本和檢測時間,提升風險監(jiān)測能力和水平。
三是透明化系統(tǒng)采用智能頁面爬取技術遠程對站點進行頁面爬取和分析,從而為用戶提供對網(wǎng)站群的監(jiān)測能力,而無需在站點服務器端部署任何代理設備,無需改變現(xiàn)有網(wǎng)絡結構。
四是可擴展的架構設計,系統(tǒng)采用靈活可擴展的彈性架構設計,可通過擴充監(jiān)測引擎的數(shù)量來擴展整個系統(tǒng)的監(jiān)測規(guī)模,從而輕松應對被監(jiān)測網(wǎng)絡業(yè)務規(guī)模擴展的需求,實現(xiàn)“零斷網(wǎng)監(jiān)測”。
目前,全球網(wǎng)絡用戶已近20億,用戶利用互聯(lián)網(wǎng)進行購物、銀行轉賬支付和各種軟件下載,企業(yè)用戶更是依賴于網(wǎng)絡構建他們的核心業(yè)務,對此,Web安全性已經提高一個空前的高度。而黑客們也將注意力從以往對網(wǎng)絡服務器的攻擊逐步轉移到了對Web應用的攻擊上,他們針對Web站點和應用的攻擊愈演愈烈,頻頻得手,頁面篡改、網(wǎng)站掛馬、注入類攻擊、DDoS攻擊等,極大地困擾著網(wǎng)站提供者,給企業(yè)形象、信息網(wǎng)絡甚至核心業(yè)務造成嚴重的破壞。
綠盟科技網(wǎng)站監(jiān)測系統(tǒng)旨在幫助需要多個站點進行安全監(jiān)測與管理的機構。根據(jù)站點管理者的監(jiān)管要求,在事前階段,NSFOCUS WSM系統(tǒng)能夠監(jiān)測該站點的安全風險漏洞,以及早提出風險解決辦法。在事中階段,一旦發(fā)現(xiàn)監(jiān)測到風險事件后,如監(jiān)測站點發(fā)生掛馬事件、篡改時間,系統(tǒng)能夠第一時間進行安全報警,盡可能早的啟動應急方案,以減少安全事件所照成的影響。在周期性的監(jiān)測過程中,產品能夠提供完善的風險監(jiān)測視圖,對風險趨勢、危害、各站點安全風險值進行統(tǒng)計分析,直觀、清晰的從總體上反映了所有被監(jiān)測站點的風險分布情況,以提供決策支持。通過對目標站點進行不間斷的頁面爬取、分析、匹配,為客戶的互聯(lián)網(wǎng)網(wǎng)站提供遠程安全監(jiān)測、安全檢查、實時告警,是構建完善的網(wǎng)站安全體系的最好補充。