企业安全体系建设之路之Web安全篇
|
通信流量监控主要是针对Web站点的所有流量进行的监控,在通信流量里面一般会包含攻击行为,那么对于匹配性的攻击行为进行预警,筛选出攻击流量进行分析,如果可靠的话,我们有一定的几率可以获得新的攻击技巧、0day漏洞或者发现站点新的漏洞等。对于某些攻击流量来说,一个站点存在命令执行,在流量中会出现系统命令或其他第三方命令等特征字符。 文件监控是站点监控里比较重要的监控之一了,因为攻击者攻击站点时一般都会对文件进行操作,文件的变动可以让被入侵的站点快速定位入侵点,从而应急及时,减小损失;文件监控对于权限管控不到位而造成的安全问题有着比较好的支撑,对于那些正常文件被写入脚本木马的文件来说,我们可以知道写入的代码是否为木马代码,是否为正常代码,是否为非法写入。 系统操作监控主要为针对Web站点所执行的系统操作,在系统操作监控里面,我们可以看到Web站点和系统的所有交互行为,通过监控日志,我们可以分析得出,Web站点的哪些文件在与系统进行交互,执行的行为是否为正当合法的行为(和syslog取证差不多)。 通过监控的手段,我们可以清楚的了解到站点服务器都做了些什么,它们所做的事情是否是正当的。监控手段所带来的好处就是,如果出现安全问题能够在第一时间找出问题所在,监控手段在检测到疑是攻击行为时,可以进行有效的攻击阻断,即使是Web站点存在漏洞情况下。这一点就和WAF的功能有相识之处了。 WAF 权限管控是Web安全的最后一道防线,那么WAF(Web Application Firewall)可以说是Web安全中的第一道防线。 在目前互联网的Web站点中,无论网站大小或多或少会安装WAF来保护网站,在安装了WAF的网站比不安装WAF的网站安全性要高,站点安装了WAF提高了攻击的门槛,可以防范一般的(没有什么技术能力的)攻击者。随着技术的发展和安全攻防的交锋加剧,WAF的功能也从以前的功能单一逐渐变为现在的多功能WAF,不仅能够拦截过滤还能杀毒等。 当然,不得不说的就是现在常用的加速器CDN(Content Delivery Network)了,CDN发展也是差不多,以前只是单一个给网站加个速,发展到现在,CDN有了WAF的功能,能够代替WAF做一些攻击拦截的事情,当然不是有了CDN就能完全代替WAF了,如果攻击者绕过了CDN找到了服务器的真实IP地址呢,又当如何? 在Web安全的建设中,WAF不能说必不可少,但是有了WAF,站点的安全性能够提高到一个档次,不仅能够挡掉一些普通攻击者的攻击,还能够提高高级攻击者的攻击成本,即使网站沦陷了,不是还有其他的防护手段吗?都是摆设?没错,其他的防护手段就是摆设。 安全建设就是这样,防护做的再好,如果没有从根源解决问题,攻击者只要有心,那么一切的防护手段绕过只是时间问题,这个就和擒贼先擒王是一个道理了。所以,Web漏洞的根源就是站点代码,只要代码层显性漏洞不存在,加上代码层的其他安全防护措施做到位,那么站点就能做到相对安全,而能够让站点做到相对安全的就是“代码安全审计”。 代码安全审计 代码审计作为安全测试中重要的一环,代码审计能够发现一些潜在的漏洞,帮助企业更好的完善Web程序,减少被攻击的风险。 如上文所述,站点服务器的防护做的再好,如果站点的程序代码存在问题的话,那么一切的防护措施可能成为摆设。作为一个负责的企业,要对自己和自己的用户负责,那么Web产品在发布或新版本更新时,就需要进行代码审计,以最大的可能减小漏洞发生的几率。 对于Web程序来讲,代码审计一般特别针对常规高危漏洞,因为对于常规漏洞一般的扫描器都是可以扫的出来的,而对于那些需要特定条件才能触发的漏洞(如CSRF,埋雷攻击),产品能做的就是尽可能的控制各个交互的权限分离和绑定(加强验证)。 目前市面上免费的和收费的代码审计产品有很多,大多数都是基于静态分析,所以误报率还是比较高的,审计工具它只能是个参考,具体的逻辑分析还是需要专业的安全技术人员跟进。那么代码审计也有一定的盲区,因为随着一个产品的功能增加,代码量的加大,有时候一个产品的代码就有几万行,大小几十上百兆,不可能说完全依靠人工能够审计的完的,就算审计完了,质量还是得不到保证。在这个情况下,工具就有了用武之地,代码审计可以以白加黑的方式进行,审计效率可以提升很多。 在我们代码审计无法触及之处,其余的漏洞就只能交由网络白帽子来进行发现了。 安全众测 众测是最近几年火起来的,在网上也有许多的众测平台,在这些平台上,企业可以花比较少的钱就能把Web安全做的上个大的档次。由于人的精力和攻击知识面不同,在企业内部代码审计和渗透测试无法再找到漏洞时,拿去进行一次众测,不出意外的话,一定可以收到不一样的效果。正所谓“山外青山楼外楼”,白帽子发现的漏洞和其独特的利用姿势可以作为Web产品安全的完善方向。而对于比较小型的网站来说,众测就显得没有什么必要了。 业务风控 一个web系统的安全性如果做的很好了,常规漏洞一般是不会出现的,那么由于攻击手法的不确定性,如果有新型的漏洞或者更高级的攻击手法出现,那么一个web系统将面临高风险。所以企业需要自身有一套完善的风控制度,一旦发生安全问题,能够在第一时间以最快速度解决问题,降低损失。整个风控的方面可以从:社会影响、内部影响、经济损失等方面着手,建立起完善的灾备恢复体系。着重加强纵深防御,防止外部威胁扩大到内部。 Web安全建设总结 在Web安全中,攻击利用的手法多变,它不像系统漏洞那样,只要管控好端口,那么远程攻击就会失效。Web虽然简单,但是漏洞的成因还是很复杂的,不是我们把可能存在的漏洞点堵上就能没事的,反之,Web以一个小小的错误都有可能会导致所有的防御失效。攻击者攻击Web程序只需要一个点,而防御者却需要防御的是整个面,在Web攻防中,一直以来Web的防御都是处于被动的局面,企业想要改变这一局面,只能是任重而道远。 鉴于Web漏洞防御和漏洞成因的复杂性,Web安全建设不是本篇文章能够说的清的,也不是企业把握好文章中的几个点就能把Web安全建设的好的,这样的话只能说笔者站着说话不嫌腰疼了。Web安全的体系建设不仅仅是安全漏洞的管控,当然还包括了其他的方方面面,攻击者可能利用合法的网站功能来干一些不可描述的事情,如果Web安全的建设是很简单的话,就不会出现众多安全专家都头疼的事情了。 所以,具体的Web安全建设各个企业不同,所属业务不同,自然所做的建设方案也会有所不同,能够建设起来非常棒的Web安全体系,企业都是经过了众多实践积累下来的经验。 不过,对于Web防御重要的几个点,倒还是比较通用的。 权限问题 权限在Web安全中是很重要的,因为攻击者有了操控站点的权限后,就会想方设法的拿到服务器的权限,进而完成更深入的渗透。权限的管控在于当前业务所属类型决定,权限分制能够让权限得到更好的管控。 主动防御问题 主动防御就是一些WAF等审计系统了,主动防御不是万能的,使用不当还可能会对自身业务产生影响,主动防御会被绕过的几率还是有的。 监控问题 监控这一部分是比较难的点,因为由于攻击手法的不确定性,监控规则不够灵活等方面,造成了监控可能会有遗漏的地方。 代码安全审计问题 代码的安全审计是Web安全之根本,如果没有审计过的程序上线的话,可能存在的高风险就会比审计过的程序多,所以,代码审计是Web程序正式发布版本前的必要工作。 (编辑:海南站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
