启明星辰网站安全解决方案(二)
发布时间:2012-09-17   录入:启明星辰

3 网站安全解决方案


启明星辰一直非常关注网站安全问题,并针对不同时期的不同安全威胁提供相应的产品、服务和解决方案。从天榕网站防篡改与恢复系统、到天清入侵防御系统,再到安星远程网站安全检查服务,相关产品和服务一直代表着启明星辰对网站安全持续关注。同时,启明星辰也在服务客户的过程中形成了完善的网站安全解决方案。此方案从结构性安全的角度考虑,分别从检测、防护和响应的角度为网站安全保障提供最佳支持。


检测:通过对网站的定期检查,建立一套有效的检查机制,及时掌握Web网页的安全状况;


防护:通过部署入侵防御系统,完善Web业务的防护功能,重点防御主流的Web应用攻击如SQL注入和XSS攻击;


响应:通过启明星辰的网页安全修复服务,对远程网站安全检查服务发现的网站安全问题进行及时补救,防患与未然。 


3.1 主动的检测机制


Web应用攻击成功的根本原因是Web程序存在安全漏洞,预防的一个有效途径是:在网站遭到持续危害之前,主动识别Web漏洞以及网页木马,并实施补救措施来避免攻击,减少损失。

 

然而,Web漏洞不可能在开发的时候就被完全发现并修复,因此在网站提供服务的过程中,会被黑客不断挖掘,造成攻击。大多数中小网站的所有者,由于缺乏足够的专业知识储备,无法建立一个Web程序的安全检查机制,因此会对网站安全的实际情况浑然不知。解决这个难题,传统方案是:购买相关的Web扫描
工具,同时聘用专业安全人员,定期对网站进行扫描和检测。这种方案不仅昂贵费时,而且其实施效果会受到扫描工具的限制,存在较大局限。

 

启明星辰提供创新的主动式服务解决方案,可使客户无需亲自关注网站安全检查的过程,即可及时、全面掌握网页木马和Web漏洞的情况,并根据专家级的建议实施补救行动。启明星辰通过整合多种专业检查工具的自动化检测平台和专业安全服务团队提供网站安全检查服务,每次检查都先由自动化检测平台进行初筛,确保检查尽可能高效且没有遗漏;然后再由专业安全服务专家对初筛结果进行逐一审核和修订,确保最终结果的准确性。启明星辰通过完善的流程有效的将工具的效率和专家的质量很好的结合起来,确保服务的连续性和质量稳定性。

 

图2. 启明星辰远程网站安全检查服务检查流程

 
启明星辰的Web应用程序安全检查,具有以下优势:


3.1.1 建立主动检查机制


根据网站可能遭受攻击的风险,可选择每天、每周或每月执行定期检查,以此建立对于网站安全的主动关注机制,改变以往被动的事件应急状态,降低安全事件爆发带来的损失。借助启明星辰的定期检查报告,客户可及时、清晰掌握网站的Web安全风险情况——网站有没有被挂马,Web页面是否存安全漏洞,以便采取进一步行动,清除网页木马,修补Web漏洞,采取防护措施,降低网站被攻击的风险,防患于未然。


3.1.2 实施对客户透明


启明星辰的实施是远程进行,检查过程等同于正常的Web访问,只要网站能够正常提供服务,检查即可顺利实施,而无需客户进行实时配合,做网络调整或者网络割接。


3.1.3 节约网站运维成本


相对于购买Web安全扫描工具以及定期请专业团队进行网站安全风险评估来讲,启明星辰可以节约客户对于网站安全检查的投入。前者,不仅购买专业的Web安全扫描工具需要付出较高代价,而且雇佣专业人员使用工具进行检查同样需要付出高昂的成本;后者,请专业人员进行现场安全风险评估,每次都需要付出较高费用,虽然对网站的操作系统、Web应用程序等可以进行较为全面的安全评估,但其检查的深度以及频率都不足以匹配当前环境下的网站安全风险变化情况;然而,相对于两者来说,启明星辰可以较小的投入,避免单一Web检查工具带来的结果片面性,又能够保证足够的网站安全检查频率以及Web安全检查的深度,可使客户无需亲自关注检查的过程,即可得到可以信赖的专业网站安全检查报告。


3.1.4 专业化的检查结果


启明星辰的服务质量源自启明星辰10年来超过2000个服务客户的经验积累,启明星辰的服务水平源自启明星辰业界一流的M2S、ADLAB专业服务支撑团队,因此启明星辰的专业化检查结果,是完全值得信赖的。


3.2 完善的Web业务防护


通过主动安全检查机制了解网站安全问题后,修复工作通常需要比较长的时间,尤其是对于比较大的网站。因此,针对实时变化的动态攻击,需采取有效的防护措施,在未完成修复的时间内,对网站进行保护。此防护措施应与防火墙不同,要能够对于主要的Web应用层攻击进行防护,如最流行的SQL注入、XSS攻击,确保Web业务得到完善的保护。

 

然而,对Web业务的保护,不仅需要能够阻断攻击,又要不影响正常业务的访问,因此,Web业务的防护首先需要能够精确识别常见的Web攻击,然后予以阻断。由于SQL注入攻击、XSS攻击一样,都是利用了Web应用程序的编码疏漏,未对Web表单、URL等做合法性检查,所以每一次攻击所利用和针对的具体漏洞都不尽相同,这就给此类漏洞识别带来了困难:不可能以单一特征来概括所有XSS攻击。

 

目前产业界有两种针对此类攻击的检测方法,但都有较大缺陷:

 

1、基于攻击特征检测方法

 

以SNORT为代表的这种检测方法,类似于传统的IDS,通过抽取SQL注入、XSS攻击中的关键字,构建攻击特征库,依据特征库进行比对检测。由于黑客可以通过转义等方法容易的绕过特征,因此此类方法的漏报率很高,如果设置了过于严格的特征,又可能限制客户的Web业务体验,甚至产生误报。

 

2、基于异常攻击检测方法

 

此方法的核心思想是通过学习期的训练,为Web应用程序自动建立各参数的正常使用模型(URL/COOKIE)。在此后的检测过程中依据此模型来判断实际网络中的各种行为是否异常。这种方法的优势在于能够不受限制的发现各种异常行为,但异常并不意味着攻击,其误报率相较高。另外,由于此类防护部署后需要一个学习期,此期间需要一个非常“干净”的数据来构造正常使用模型,但互联网上的访问一般都不符合这个要求,而且一旦内部的业务模型发生了变化,这个学习过程又需要重新进行。因此,这种方法的误报率较高,实时性不够。

 

启明星辰Web业务防护解决方案围绕深层防御、精确阻断的核心,通过对深层攻击行为进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的保护网络的安全。尤其在针对Web应用攻击的防护上,具有独特创新的VXID防护技术,能够较好的避免业界目前两种方法的弊端,实现Web攻击的精确阻断。

 

VXID技术(包括针对SQL注入攻击的VSID技术、以及针对XSS攻击的VXSSD等技术在内的Web应用攻击防护技术统称)是启明星辰公司独创的Web业务威胁检测算法,该算法分为两个个阶段,第一阶段是行为提取阶段,分析和提取Web攻击的行为特征而非数据特征,建立Web击行为特征库;第二阶段是实时分析网络数据,构建“轻型虚拟机”,模拟攻击行为以观察其行为特征,正确判断攻击行为的发生。这种基于原理的检测方式避免了对固化特征的匹配造成的高漏报率,也避免了由于检测规则过于严苛造成的误报。其工作流程图如下:

 


 

图3. VXID技术示意图


启明星辰Web业务防护解决方案,具有如下优势:


3.2.1 为网站提供最佳防护


能够对网站提供有效的攻击防御,尤其是提供针对Web漏洞攻击的精确阻断功能。除此之外,还可以实现针对通用漏洞(操作系统,数据库,应用软件等)攻击的精确阻断以及企业违规应用的精确阻断,确保网站不受到网络层以及其他威胁的影响。启明星辰Web业务防护解决方案可精确阻断的攻击类型列表如下:

 

 

表1. 启明星辰Web业务防护解决方案能精确阻断的攻击类型


3.2.2 部署便捷不影响业务


启明星辰Web业务防护解决方案不仅支持路由模式、代理模式,更可以透明方式部署于一个或者多个网站服务器之前,无需配置IP地址,因此部署时,无需更改客户的原有网络拓扑,也无需更改用户原有网络配置,切换快捷,将产品实施给Web业务的影响降到最低。


3.2.3 充分保障Web应用交付的连续性


启明星辰Web业务防护解决方案部署在Web服务器前面,为了不影响用户Web应用交付的连续性,一方面具有完善的HA功能、Bypass功能,而且能够与负载均衡、Web Cache等Web服务器前的常见的产品协调部署。

 

启明星辰Web业务防护解决方案代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,启明星辰Web业务防护解决方案工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,启明星辰Web业务防护解决方案对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。


启明星辰Web业务防护解决方案提供了Web应用攻击防护能力,通过多种机制的分析检测,能够有效的阻断攻击,保证Web应用合法流量的正常传输,这对
于保障业务系统的运行连续性和完整性有着极为重要的意义。

 

同时,针对当前大多数用户关注的与Web应用交付相关的热点问题,结合Web入侵防护主功能,启明星辰都提供了较好的解决方案。

 

1、SSL攻击检测

 

启明星辰业务防护解决方案Web在代理和透明模式下都支持加密报文安全检测和SSL卸载功能。

 

2、应用层抗DDoS攻击

 

启明星辰业务防护解决方案Web,提供了应用层抗DoS/DDoS攻击功能,抑制异常用户对Web服务器资源的消耗,采用多种抗应用层DoS/DDoS技术可以轻易的区分出攻击请求和正常访问请求,一旦发现攻击请求立即实施自动阻断操
作,使后台服务器能抵御大规模应用层DoS/DDoS攻击。

 

3、Web应用参数检查

 

启明星辰业务防护解决方案Web,可以指定各种策略对URL、参数和格式等进行检查。检查各种应用参数的合理取值,对不符合要求的作出响应。

 

启明星辰业务防护Web解决方案能够对数据包进行深度检测,根据http的方法、参数、提交的代码进行规则设定,主动防御各种黑客攻击。

 

4、敏感信息防护

 

启明星辰业务防护解决方案Web,安全防护策略可以灵活定义http/https错误返回的默认页面,避免因为Web服务异常,导致敏感信息的泄露,如:


透露服务器OS类型的信息;


透露Web服务器类型的信息;


http协议的应答报文中包含的详细错误信息。

 
5、网页防篡改

 

启明星辰业务防护解决方案Web能够提供基于事中、事后的针对网页篡改行为的在线防护解决方案。

 

6、多服务器负载均衡

 
启明星辰业务防护解决方案Web,能够实现第四层负载均衡,可以定义多个为同一个IP地址服务的内部服务器之间的权重,充分利用计算资源。


3.3 及时的响应修复

 

明确了具体的网站安全问题之后,就应当立即响应,以便将网站安全“未雨绸缪”的工作进一步落实,这样才能够形成检测——修复——再检测的动态循环机制,网页木马才能够被及时清除,Web漏洞才能够逐一被修复,网站遭受攻击的风险就会维持在较低水平。

 

启明星辰的网站安全检查报告中,不仅精确定位了网页木马以及Web漏洞的具体位置,并且给出了木马清除建议,以及针对每一类Web漏洞的修复方案。相关的补救工作可以由网站开发人员(客户的网站开发人员、网站开发的供应商等)依据启明星辰报告的内容进行,在第一轮修复完成之后,可通过再次的检查,查漏补缺。

 

启明星辰的ADLAB以及M2S提供专业的网页安全修复服务,其具体内容是:对网站应用程序存在的Web漏洞、网页木马进行彻底清除,同时以白盒测试、黑盒测试方式对网站相关的安全源代码进行审核,找出源代码方面存在的问题,通过服务用户能够获得源代码问题所在以及安全修复建议或修改服务,该类服务由
启明星辰国家级实验室的专业攻防技术团队提供支持。缺乏专业外援团队的重要网站,能够通过这个专业团队的服务来强化网站系统的安全源代码设计,加强网站应用程序自身的安全性。


4 案例分析


阶段一:事前安全检查阶段

 

在部署防御措施之前的阶段,启明星辰服务的作用体现在两个方面。

 


 

在网站已经遭受攻击并挂马的情况下,单独部署其他安全产品也无法防止网站再次受到攻击:骇客可以利用已有的后门进入系统,这就需要在部署安全产品前,先对整个网站进行检查,找出骇客留下的后门并进行相应的修补。同时还需要检查网站存在哪些漏洞,在选择防御产品时需能对这些漏洞进行防御。

 

阶段二:部署启明星辰Web业务防护解决方案

 

启明星辰Web业务防护解决方案采用基于攻击机理方式,而非攻击数据特征方式来对Web业务威胁进行防御。

 

SQL注入、XSS攻击等Web威胁利用漏洞数量繁多,且变种多样,单独靠数据特征无法准确识别。只有通过攻击机理分析方式的安全产品才能实现对多变种Web威胁的防范。

 

阶段三:再次进行安全检查

 

安全防护措施是否落实到位,需要通过再次的检查才能验证,所以在部署完成网站防护措施后,需要再次对已有的安全防护措施做检验。

 

 


5 方案总结


网站的价值在日益提升,其安全问题也变得愈加重要。作为网站所有者,组织虽然采取了一些传统的安全措施,但应对新的Web应用层威胁却显得力不从心,主要表现在:缺乏Web应用安全的主动检查机制,简陋的防护不足与应对Web应用层攻击,以及未能采取及时有效的修复措施。这些问题使得组织仍持续遭受网站攻击事件的困扰。

 

启明星辰的网站安全解决方案,用360度的视角审视了目前普遍存在的网站安全问题,并在此基础上建立了一个有检测、防护、响应三个环节相互促进的网站安全的保障机制:在检测环节,通过定期的检查,组织可及时掌握网站的安全状况;在防护环节,启明星辰Web业务防护解决方案可精确检测和防御主要的Web应用层攻击,解决Web安全漏洞修复期间的攻击防护问题,并应对针对新的Web安全漏洞的攻击;在响应环节,具有专业Web安全代码审查和修复技术的团队,能够根据检查的结果,对发现的Web安全问题及时实施修复,降低网站被攻击的风险。在此机制可帮助组织可建立主动的网站安全保障机制,并以检测环节为起点,通过三个环节不断的循环促进,有效应对Web应用变化带来的新安全威胁,保障网站的持续正常运营。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号