第二回:未雨绸缪 构筑WEB安全检测防护
引言:
随着互联网的逐渐普及,应用层安全问题正逐渐的显露出来。越来越多的政府等重要网站或WEB办公系统被渗透,在通过浏览器方式实现展现与交互的同时,用户的业务系统所受到的威胁也随之而来,并且随着业务系统的复杂化及互联网环境的变化,所受威胁也在飞速增长。而网络管理人员却对此无能为力,因为传统的WEB应用防火墙和入侵检测系统等安全产品并不能发现并阻止来自于应用层的入侵攻击。网站应用的安全性事先必须进行有效测试和评估,这样才能避免在日益增长的应用层攻击事件中遭受损失。
江湖危机:WEB安全受到的挑战
最权威的RSA大会研究显示,Web应用安全已超过所有以前网络层安全,逐渐成为最严重、最广泛、危害性最大的安全问题。
WEB安全的挑战主要来自以下几个方面:
◆ XSS跨站攻击
◆ SQL 注入
◆ 网络钓鱼
◆ 恶意代码
◆ 伪造ARP报文
◆ RootKit隐身技术
◆ 等等
黑客出击:攻击由网络层转向应用层
随着互联网技术的迅猛发展,许多政府和企业的关键业务活动越来越多地依赖于WEB应用,在向客户提供通过浏览器访问企业信息功能的同时,企业所面临的风险在不断增加。主要表现在两个层面:一是随着Web应用程序的增多,这些Web应用程序所带来的安全漏洞越来越多;二是随着互联网技术的发展,被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗,组织性和经济利益驱动非常明显。
然而与之形成鲜明对比的却是:现阶段的安全解决方案无一例外的把重点放在网络安全层面,致使面临应用层攻击(如:针对WEB应用的SQL注入攻击、跨站脚本攻击等)发生时,传统的网络WEB应用防火墙、IDS/IPS等安全产品对网站攻击几乎不起作用,许多政府和企业门户网站成为黑客组织成批传播木马的最有效途径。
据统计75%的网络攻击和互联网安全侵害源于应用软件,网页上的漏洞的根源还是来自程序开发者对网页程序编制和检测。未经过安全训练的程序员缺乏相关的网页安全知识;应用部门缺乏良好的编程规范和代码检测机制等等。解决此类问题必须在WEB应用软件开发程序上整治,仅仅靠打补丁和安装WEB应用防火墙是远远不够的。
安恒信息高手点析:面向应用层新型攻击特点简析
◆ 隐蔽性强:利用Web漏洞发起对WEB应用的攻击纷繁复杂,包括SQL注入,跨站脚本攻击等等,一个共同特点是隐蔽性强,不易发觉。
◆ 攻击时间短:可在短短几秒到几分钟内完成一次数据窃取、一次木马种植、完成对整个数据库或Web服务器的控制,以至于非常困难做出人为反应。
◆危害性大:目前几乎所有银行,证券,电信,移动,政府以及电子商务企业都提供在线交易,查询和交互服务。用户的机密信息包括账户,个人私密信息(如身份证),交易信息等等,都是通过Web存储于后台数据库中,这样,在线服务器一旦瘫痪,或虽在正常运行,但后台数据已被篡改或者窃取, 都将造成企业或个人巨大的损失。据权威部门统计,目前身份失窃(identity theft)已成为全球最严重的问题之一。
◆ 造成非常严重的有形和无形损失:目前,很多大型企业都是在国内外上市的企业,一旦发生这类安全事件,必将造成人心惶惶,名誉扫地,以致于造成经济和声誉上的巨大损失,即便不上市,其影响和损失也是不可估量的。#p#
江湖告急:现有的网络层防护产品面对应用层攻击束手无策
传统的WEB应用防火墙或IDS产品存在以下不足:
◆ WEB应用防火墙:通过端口限制实现访问控制,但对于WEB应用而言,其HTTP/HTTPS端口是开放的。因此,WEB应用防火墙无法检测到WEB应用攻击的发生,更谈不上阻止攻击。
◆ IDS:依靠特征库检测已知攻击,而对于WEB应用攻击,变形非常多(比如:SQL注入、跨站脚本、恶意文件包含等),IDS无法穷尽所有的特征,当然,更加不可能预知未来的变形。
Web应用安全现状分析
◆ 网站及在线Web应用(B/S)的重要性
据CNCERT/CC(国家互联网应急中心)发布的网络安全工作报告显示,我国网站的安全问题十分严峻,大量网站被黑客入侵和篡改,甚至被植入木马攻击程序,成为黑客的得力工具。利用网站操作系统的漏洞和WEB服务程序的SQL注入漏洞等,黑客能够得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码(俗称"网页挂马"),使得更多网站访问者受到侵害。网页挂马是黑客最喜欢的木马散播方式。
很多用户的网站或基于Web的在线应用系统(B/S架构)承担着"对外交流、公开信息、网上办事、在线业务"等重要职能,是服务于和谐社会的窗口。如此重要的网站和系统,一旦受到黑客攻击,不仅影响用户的正常工作,降低网站的公信力,严重的情况下会导致重要信息的泄密,危及其形象。
常见WEB应用攻击影响分析
◆ 网页木马:直接控制网站主机或者借此攻击访问者客户端
◆ SQL注入漏洞:数据库信息窃取、篡改、删除
◆ Cookie注入:数据库信息窃取、篡改、删除,控制服务器
◆ 跨站脚本漏洞:用户证书、网站信息、用户信息被盗
◆ 缓冲区溢出:攻陷和控制服务器
◆ 表单绕过漏洞:攻击者访问禁止访问的目录
◆ 文件上传漏洞:主页篡改、数据损坏和传播木马
文件包含:服务器信息窃取、攻陷和控制服务器
安恒信息专家提出,如果存在上述安全隐患,若不及时修复有可能导致网站页面被篡改、网页木马传播、后台数据库信息被篡改或盗窃,严重影响用户的正常业务运营,有损其形象。
因此安恒信息逐渐具有向用户提供有个性化、立体化安全方案的能力,为企业证多元化的网络安全检测防护:
网络安全检测技术主要包括实时安全监控技术和安全扫描技术。实时安全监控技术通过硬件或软件实时检查网络数据流并将其与系统入侵特征数据库的数据相比较,一旦发现有被攻击的迹象,立即根据用户所定义的动作做出反应。这些动作可以是切断网络连接,也可以是通知WEB应用防火墙系统调整访问控制策略,将入侵的数据包过滤掉。安全扫描技术(包括网络远程安全扫描、WEB应用防火墙系统扫描、Web网站扫描和系统安全扫描等技术)可以对Web站点、主机操作系统以及WEB应用防火墙系统的安全漏洞进行扫描,及时发现漏洞并予以修复,从而降低系统的安全风险。
网络安全检测技术基于自适应安全管理模式。该管理模式认为:任何一个网络都不可能安全防范其潜在的安全风险。它有两个特点:一是动态性和自适应性,这可通过网络安全扫描软件的升级及网络安全监控中的入侵特征库的更新来实现;二是应用层次的广泛性,可用于操作系统、网络层和应用层等各个层次网络安全漏洞的检测。
很多早期的网络安全扫描软件是针对远程网络安全扫描。这些扫描软件能检测并分析远程主机的安全漏洞。事实上,由于这些软件能够远程检测安全漏洞。因而也恰是网络攻击者进行攻击的有效工具。网络攻击者利用这些扫描软件对目标主机进行扫描,检测可以利用的安全性弱点,通过一次扫描得到的信息将是进一步攻击的基础。这也说明安全检测技术对于实现网络安全的重要性。网络管理员可以利用扫描软件,及时发现网络漏洞并在网络攻击者扫描和利用之前予以修补,从而提高网络的安全性。
利用网络安全检测技术可以实现网络安全检测和实时攻击识别,但它只能作为网络安全的一个重要的安全组件,还应该结合WEB应用防火墙组成一个完整的网络安全解决方案。
如何更有效的关联业务应用与安全措施?如何结合WEB应用防火墙组成一个完整的网络安全解决方案?且听下回分解!
