一年一度的全国两会即将召开,网站安保工作也都被各级政府部门和企事业单位提上了日程。作为国家网络与信息安全信息通报机制支撑单位,盛邦安全有着丰富的重大活动网站安保工作经验,是抗战胜利70周年阅兵和北京世锦赛安保工作支撑单位,也是13届冬运会和2015年全国两会的支撑单位,可谓身经百战。两会在即,在积极开展自身承担的安保工作同时,盛邦安全也希望分享一下自己对网站安保工作的心得,希望对广大网站管理者能够有所帮助。
盛邦安全屡次承担重大事件安保工作
首先是风险分析
风险分析的目的在于找到网站可能被攻击的弱点并提前修补,从而减少网站被攻击的可能性。风险分两类,一类是系统性风险,一类是技术性风险。从技术的角度讲,核心是做两件事情,一个是漏洞扫描,一个是安全配置检查。漏洞可能存在于各种位置,比如操作系统,比如网站应用系统,比如数据库系统等等,因此漏洞扫描必须做到全面,漏洞库必须做到最新。另外,安全配置检查也非常重要,一条弱密码就可能打破我们投入重金打造的安全防护系统,而对外开放的不必要服务则给我们带来不必要的攻击风险。
经常有客户有这样的质疑,黑客可能会通过0day漏洞进行攻击,你们的漏洞扫描无法发现这种0day漏洞。应该说这种质疑是有一定道理的,0day就是还未曾被厂商发现却被黑客掌握的一种漏洞,通过漏洞扫描的方式是无法发现0day的。但是从网站安保工作的实践出发,这个质疑又是不恰当的。其实,从实际的情况来看,真正带来威胁的不是0day漏洞,而是1day或者nday漏洞,也就是已经被公布出来,却没有被网站管理者注意到的那些漏洞。不同于被极少数黑客掌握的0day漏洞,1day和nday漏洞被全世界所有黑客所掌握,一旦被管理者疏忽掉,将肯定带来攻击。根据美国国防部的分析,他们所面临的所有攻击中,即使是最高级的攻击者也没有用到0day漏洞,而是寻找一些配置不当的计算机,泄漏的密码,以及未升级的漏洞进行攻击,而这些恰恰是漏洞扫描所关注的重点。
当然,还有一部分风险不属于漏洞或者配置范畴,而是属于系统自身天然的一些风险属性,比如DDOS攻击风险,域名劫持风险等。针对于这一类风险,最重要的是识别出这些风险的存在。并根据每一种识别出来的风险做好相应安全方法工作。
漏洞扫描的目标就是排除隐藏在信息系统中的地雷
然后是整改加固
对于漏洞扫描发现的漏洞和错误配置要进行修复和调整。直接对服务器和应用系统的相关配置进行调整是最直接和有效的手段,但是很多时候服务器不能被修改(尤其对于一些承担重要职能的服务器,管理者都不愿意承担升级可能带来的额外风险)。这时候盛邦安全可以给您支一招——利用虚拟补丁!所谓虚拟补丁,就是不在服务器上面进行升级和补丁操作,而是在服务器前边部署的web应用防火墙(WAF)上做补丁升级工作,盛邦安全的WAF等领先的WAF产品基本都支持这个功能。
而对于识别出的那些系统性风险首先要进行评估,评估一下风险的可能性以及一旦发生所带来危害的成度,并针对性的采取一些应对措施。比如对于一些不承担媒体发布任务的政府网站而言,DDOS攻击风险虽然存在,但是损害并不大。相反的,如果网站发生了主页篡改攻击,则是非常严重的安全事件,必须采取措施进行防范。而对于那些承担了信息发布责任的媒体而言,必须对DDOS攻击风险做好充分的准备,比如应用运营商和一些CDN厂商的抗拒绝服务攻击服务以应对大流量攻击,并部署专业的抗DDOS攻击设备以应对一些不通过域名(URL)而是通过IP地址进行的攻击,或者一些面向上层协议进行的慢速拒绝服务攻击。
可以有选择的进行渗透测试
如果将风险分析与漏洞扫描成为一种白盒分析手段的话,那么渗透测试就是以黑客思维进行的一种黑盒评测手段。渗透测试由技术人员执行,对网站系统进行攻击,攻击过程中可能采用各种目前被黑客所掌握的攻击方法和工具,通过这种方式来测试一个网站是否可以真正防御黑客的攻击,并对攻击过程中发现的漏洞进行弥补。由于渗透测试属于高水平技术人员的一种安全服务,成本相对较高,网站管理者可以根据实际情况选择是否要采用这种方式。
一定要做好应急预案与应急演练
根据我们的经验,攻击不存在会不会发生的问题,只存在何时发生,如何发生的问题,换句话讲,攻击是一定会发生的,不要心存侥幸!在做好各种安全防范措施的同时,必须要做好安全预案,也就是说一旦攻击发生了,我们应该如何响应,最正确的做法是什么,应该通知哪些人等等。有了预案的存在,才会使我们在面对攻击时能够做到工作有条不紊,及时有效应对。
光有预案还不行,这个预案有没有效,能不能执行,只有通过演练才能得到确认,所以还需要针对预案进行模拟演练,一方面确认预案的有效性,一方面让相关负责人熟悉应急流程。
网站监控与风险预警
要做到快速响应,首先要做到的是快速发现。过去,安全事件响应的时间往往是在攻击已经发生后较长时间,影响已经较大,通过外部反馈了负面信息之后,这个时候进行响应,恶劣的影响已经形成,无论如何处置,都已经造成了不可挽回的损失。因此,现在的网站安保普遍引入了网站安全监控服务。也就是通过一个监控平台,实时对网站的运行情况进行全方位监控,对于攻击做到近似于实时的发现,并通过预订的预警通报机制将相关信息第一时间通告给相关负责人以采取快速的相应措施。这里讲一个例子,去年两会期间,某大学网站主页遭到篡改,我们的监控平台第一时间发现了问题(2秒),并通知给了公安部门和该大学负责人,根据我们的通告,负责人立刻进行了处置(5分钟),将此次攻击的影响基本消弭于无形。
盛邦安全烽火台网站监控平台
而至于攻击发生后如何做应急处置,比如取证,分析,溯源,加固等过程,相对来说是比较成熟的工作过程,在此就不详细阐述了。
最后要说的是,网站安全保障工作渐有常态化趋势。一方面是因为网络安全的形式日益严峻,网站所面临的攻击越来越多,而且重大事件也越来越多,网站是网络攻击的焦点,与其每逢大事都做一次事件性处置,不如引入常态机制更加有效。还有就是攻击往往不是发生在一个时点,而是一个长期的复杂行为,很多时候攻击所利用的后门都是较长时间以前就植入在服务器里的,所以安保工作要常抓不懈。