【51CTO.com综合报道】由于Web应用的发展,所承载的信息内容越来越多,安全威胁来源开始从传统的网络和系统层,转向以恶意代码、页面篡改为代表的应用层。目前,攻击者已经形成了明显的“地下产业链”,从个人、小团队的攻击行为转向了经济利益驱动、有组织的攻击行为。攻击者利用站点的安全漏洞获取重要信息,从而进行欺诈甚至直接获取信用卡账号等敏感数据,例如近期索尼BMG网站、本田汽车美国官网方遭到黑客攻击,导致大量用户数据泄露。另一方面由于黑客对站点管理者的不满或者出于技术炫耀的目的,导致大量重要站点进行篡改。据CNCERT/CC的统计数据,2010年全年,中国大陆每月被篡改网站数量平均为2904个。其中境内政府网站被篡改数量为4635个,与2009年的2765个相比增加67.6%[1]。还有一类危害范围非常大的攻击行为是攻击者通过对目标站点植入恶意代码,当计算机用户浏览植入恶意代码的站点而导致被感染病毒、木马,从而被攻击者控制。这类攻击是目前互联网黑色地下产业中进行最为猖獗的、对互联网安全危害较为严重的非法活动。在微软2009年7月至12月的安全统计报告中,以.cn(中国)结尾的挂马站点比例将近1%,远远超过由Bing 跟踪的平均0.24%的网站包含一个恶意页面的比例[2]。
针对网站频发的安全事件如网站挂马、注入类攻击、篡改攻击等,极大地困扰着网站提供者,给企业形象、信息网络甚至核心业务造成严重的破坏,导致了机构门户的形象受损和公信力的下降。
传统的网站安全监管手段的不足
传统的网站安全监管方式通常是采用Web应用安全扫描工具周期性的对网站进行安全扫描与评估,然后根据评估结果进行安全加固和风险管理。这种安全检查工作是一种静态的检查工作,能够反映站点被检查那一时期站点的安全问题,但是缺少风险的持续监测性。例如,通常情况下一个网站一周甚至一个月做一次安全检查,而对于网站挂马、网站篡改等事件通常都是突发性事件,持续时间短,通过每周或者每月一次的安全检查并不能够第一时间发现这些已经产生的严重风险事件并做出相应的处理工作。另一方面通常监管者面临着上百个站点的安全检查,传统安全评估工作中所采用Web应用漏洞扫描工具在扫描规模、页面爬取和分析能力、检测结果关联分析等方面存在局限性,并且无法做到高频率的风险监测、及时发现风险。
对于承担网站监管与安全治理责任的机构来说,针对类型复杂、数量众多的网站群如何进行安全监管,如何第一时间发现某个站点的安全事件,如何有效地对大量的站点群进行监测数据的汇总分析和统计,如何反映所有被监测站点风险分布的总体状况,成为新的难题。
变“检测”为“监测”的Web安全监管手段
若能够主动的发现网站的风险隐患,并及时采取修补措施,则可以降低风险、减少损失。记者了解到,绿盟科技针对该需求,已经推出了绿盟网站安全监测系统(简称:NSFOCUS WSM),旨在根据网站系统监管要求,通过对目标站点进行页面爬取和分析,为用户提供透明模式的远程集中化安全监测、风险检查和安全事件的实时告警,并为客户提供全局视图的风险度量报告,最终帮助客户构建完善的网站安全体系。
NSFOCUS WSM系统采用智能页面爬取技术,透明远程的对站点进行监测,通过对页面进行爬取和分析,从而为用户提供对网站群的监测能力,而无需在站点服务器端部署任何代理设备,无需改变现有网络结构。该系统能够从站点的脆弱性、完整性、可用性三方面全方位的对站点的安全能力要求进行监管。并且可为一个大型的站点群同时提供安全监测的能力。用户可对每一个网站创建不同的监测策略,同时可根据网站的关注度,对同一网站下的不同关键页面配置不同的监测策略,实现对网站不同粒度、全面的风险监测。
图 1.1 NSFOCUS WSM监测能力视图
NSFOCUS WSM系统整个系统物理架构分为控制中心和监测引擎两种设备。
控制中心:负责对整个监测系统进行统一的管理,监测策略管理,监测引擎的任务分发、调度,数据收集和报表呈现。
监测引擎:负责对被监测站点进行页面的爬取、页面解析、漏洞扫描、渗透测试和辅助逻辑分析。下图说明了NSFOCUS WSM在进行Web应用安全隐患监测的部署视图。
图 1.2 NSFOCUS WSM监控部署视图
与传统采用Web扫描器用以进行安全评估的方式相比,绿盟网站安全监测系统具有更为鲜明的特点:
一是变“检测”为“监测”,可提供持续风险监测能力。众所周知,网站挂马、页面篡改都是实时性很强的安全事件,而不定期的评估检查并不能帮助用户实时发现这些安全事件。而采用持续的对站点页面进行爬取,进一步检测,能够为客户提供不间断的风险监测能力,及时发现风险并通知用户,降低或避免用户损失。
二是集中化安全监测,系统采用节点树的形式管理网站群,形成了多站点的集中化安全监测,同时可实现简洁的分类管理,相比各个站点的独立管理,能够大幅降低管理成本和检测时间,提升风险监测能力和水平。
三是透明化系统采用智能页面爬取技术远程对站点进行页面爬取和分析,从而为用户提供对网站群的监测能力,而无需在站点服务器端部署任何代理设备,无需改变现有网络结构。
四是可扩展的架构设计,系统采用灵活可扩展的弹性架构设计,可通过扩充监测引擎的数量来扩展整个系统的监测规模,从而轻松应对被监测网络业务规模扩展的需求,实现“零断网监测”。
目前,全球网络用户已近20亿,用户利用互联网进行购物、银行转账支付和各种软件下载,企业用户更是依赖于网络构建他们的核心业务,对此,Web安全性已经提高一个空前的高度。而黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上,他们针对Web站点和应用的攻击愈演愈烈,频频得手,页面篡改、网站挂马、注入类攻击、DDoS攻击等,极大地困扰着网站提供者,给企业形象、信息网络甚至核心业务造成严重的破坏。
绿盟科技网站监测系统旨在帮助需要多个站点进行安全监测与管理的机构。根据站点管理者的监管要求,在事前阶段,NSFOCUS WSM系统能够监测该站点的安全风险漏洞,以及早提出风险解决办法。在事中阶段,一旦发现监测到风险事件后,如监测站点发生挂马事件、篡改时间,系统能够第一时间进行安全报警,尽可能早的启动应急方案,以减少安全事件所照成的影响。在周期性的监测过程中,产品能够提供完善的风险监测视图,对风险趋势、危害、各站点安全风险值进行统计分析,直观、清晰的从总体上反映了所有被监测站点的风险分布情况,以提供决策支持。通过对目标站点进行不间断的页面爬取、分析、匹配,为客户的互联网网站提供远程安全监测、安全检查、实时告警,是构建完善的网站安全体系的最好补充。