Web应用安全是近年来安全监管的重点,传统的安全监管方式通常是采用Web应用安全扫描工具周期性的对网站进行安全扫描与评估。这种安全检查工作是一种静态的检查工作,能够反映站点被检查那一时期站点的安全问题,但是缺少风险的持续监测性。
由于Web应用的发展,所承载的信息内容越来越多,安全威胁来源开始从传统的网络和系统层,转向以恶意代码、页面篡改为代表的应用层。目前,攻击者已经形成了明显的“地下产业链”,从个人、小团队的攻击行为转向了经济利益驱动、有组织的攻击行为。
攻击者利用站点的安全漏洞获取重要信息,从而进行欺诈甚至直接获取信用卡账号等敏感数据,例如近期索尼BMG网站、本田汽车美国官网方遭到黑客攻击,导致大量用户数据泄露。
另一方面由于黑客对站点管理者的不满或者出于技术炫耀的目的,导致大量重要站点进行篡改。据CNCERT/CC的统计数据,2010年全年,中国大陆每月被篡改网站数量平均为2904个。其中境内政府网站被篡改数量为4635个,与2009年的2765个相比增加67.6%。
还有一类危害范围非常大的攻击行为是攻击者通过对目标站点植入恶意代码,当计算机用户浏览植入恶意代码的站点而导致被感染病毒、木马,从而被攻击者控制。这类攻击是目前互联网黑色地下产业中进行最为猖獗的、对互联网安全危害较为严重的非法活动。在微软2009年7月至12月的安全统计报告中,以.cn(中国)结尾的挂马站点比例将近1%,远远超过由Bing 跟踪的平均0.24%的网站包含一个恶意页面的比例[2]。
针对网站频发的安全事件如网站挂马、注入类攻击、篡改攻击等,极大地困扰着网站提供者,给企业形象、信息网络甚至核心业务造成严重的破坏,导致了机构门户的形象受损和公信力的下降。
传统的网站安全监管手段的不足
传统的网站安全监管方式通常是采用Web应用安全扫描工具周期性的对网站进行安全扫描与评估,然后根据评估结果进行安全加固和风险管理。这种安全检查工作是一种静态的检查工作,能够反映站点被检查那一时期站点的安全问题,但是缺少风险的持续监测性。
例如,通常情况下一个网站一周甚至一个月做一次安全检查,而对于网站挂马、网站篡改等事件通常都是突发性事件,持续时间短,通过每周或者每月一次的安全检查并不能够第一时间发现这些已经产生的严重风险事件并做出相应的处理工作。
另一方面通常监管者面临着上百个站点的安全检查,传统安全评估工作中所采用Web应用漏洞扫描工具在扫描规模、页面爬取和分析能力、检测结果关联分析等方面存在局限性,并且无法做到高频率的风险监测、及时发现风险。
对于承担网站监管与安全治理责任的机构来说,针对类型复杂、数量众多的网站群如何进行安全监管,如何第一时间发现某个站点的安全事件,如何有效地对大量的站点群进行监测数据的汇总分析和统计,如何反映所有被监测站点风险分布的总体状况,成为新的难题。
Web应用安全的更多内容读者阅读:
【编辑推荐】