烽火18台系列之六——网站群安全治理的核心能力解析

什么是网站群?网站群治理又指什么?据统计中国网站总数为423万个,较2014年增长了88万,年增长率达到26.3%。中国网页数量首次突破2000亿。——《第37次中国互联网络发展状况统计报告》。但脆弱的Web安全防护能力却与之形成极大的反差,“有人建,没人管;有人用,没人防“成为我国网站的普遍现象。自2013年到2015年,公安部、网信办先后对全国政府网站(gov.cn域名)以及大量央企、省级门户网站、高校网站进行监测排查,55%左右政府网站存在安全隐患,过半高校网站存在安全漏洞。

图1 中国网站数量-《第37次中国互联网络发展状况统计报告》

为了应对网站数量的快速增长导致的一系列安全、管理的问题,四部委在2015年9月联合发文,首次提及“网站群”建设。从技术角度来看,网站群是指具有统一规划,统一标准,并建立在统一技术构架基础之上,分级管理,分级维护,耦合程度高,信息可以实现基于特定权限共享呈送的网站集合。但从管理以及实际情况上来定义,广义上的“网站群”是指按照一定的隶属关系组织在一起,在同一网络内部的,既可以统一管理,也可以独立管理自成体系的网站(包含业务系统)集合。例如一般高校,网站群中网站数量大致100-200之间;而一个市级教委,网站数量可以达到2000个左右。

第二个问题,对于“网站群治理”,其跟据四部委2562号文件的要求,主要要做到对于下设网站的统一管理、统一监测、统一防护。从而改变过去的网站安全工作的重点一般都放在单个网站的相关安全工作上的问题。

网站群治理面临的问题通过对政府、高校、大型企业等用户的网站及业务系统的安全现状的研究,网站群的治理主要面临以下四个方面问题:

管理难度大 l 网站数量众多,小且分散;虽然开展了站群建设,但仍有外部网站,管理成本高。

没有明确的备案管理系统,工作主要依靠人工,责任划分不明确。

私搭乱建现象严重,不易检测。

退运的网站,缺乏有效管理手段,常常成为孤岛网站。

缺少风险发现能力 l 网站以及内部业务系统存在弱口令,存在较大风险。

85%以上的攻击是利用安全漏洞发起,但由于缺乏检测机制,无法发现下设网站也业务系统存在的漏洞风险。

网站被植入后门,导致黑客可以长期越过防护设备控制服务器。

缺少安全监控机制 l 对篡改、暗链、敏感词等网站内容缺乏监控手段,出现问题无法第一时间响应。

监控网站,防止网站挂马而导致的用损失。

对已上线网站缺少定期漏洞检测,对突发事件无法对下设网站整体进行检测。

缺少安全防护手段 l 网站防攻击、防篡改、防挂马。

传统防火墙无法防御针对Web的攻击。

缺少统一管理、统一监测、统一防护平台。

对于安全攻击不能及时响应、溯源。

“摸清家底,认清风险,找出漏洞,通报结果,督促整改” 针对网站管理者日常运维中遇到的问题,以及国家相应要求,WebRAY总结出网站群治理的9大核心能力。

① 及时了解网络内有哪些网站在提供服务。

② 网站上线前必须经过审核、备案及安全检查。

③  实时监控每个网站的安全情况。

④ 能够确保发布内容的合法合规。

⑤ 对于不合格网站(私建、不安全、无标识)具有自动退运机制。

⑥ 发生攻击要快速发现,快速响应,并能溯源。

⑦ 对于典型攻击要有防御能力。

⑧ 对于篡改攻击要有复原能力。

⑨ 网站运行情况建立基线数据。

核心能力解析:

资产自动发现摸清网络内网站及业务系统的数量是管理的第一步。WebRAY网站群治理平台通过在网络出口旁路部署,自动发现网络内对外提供访问的网站及业务系统。对于内网业务系统的发现,可以通过在各安全域部署探针,发现内部基于Web访问的业务系统,并将内容汇总到网站群治理平台。

网站安全准入能力根据2562号文件要求,政府部门开办的网站要进行备案。备案也是网站管理的一个必备步骤。WebRAY网站群治理平台具有备案审核机制并将安全检查融合在备案过程中。网站的安全准入实现逻辑如下:

每个网站的状态分为四种:待审核、已审核、已驳回、未申请。管理人员可通过平台实现对网站及业务系统的审核工作。在备案过程中,还要能够对网站的安全情况进行检测,实现网站安全准入。

网站安全监控与检查 WebRAY网站群治理平台利用安全检查引擎对下设重点网站与业务系统进行安全监控,其中安全监控模块包括基本配置功能以及可选功能两大部分。基本功能包含以下三项:

1、内容监控:

包括篡改监控、敏感词监控、以及暗链监控。其中篡改检测采用自主知识产权的页面矢量比较算法,能够识别页面正常更新和篡改。暗恋检测采用动态沙箱技术检测js动态生成的暗链,css暗链等。敏感词检测采用语义分析技术针对政治、色情、犯罪等敏感信息进行检测。发现不合规内容及时告警,并可以通过配置对高危问题自动进行阻断,WebRAY治理平台同时提供专业的处理意见。

2、漏洞检测:

漏洞检测包含Web漏洞、系统漏洞、数据库漏洞、中间件漏洞。目前该系统支持OWASP定义的Web威胁和及其相关的漏洞扫描监控服务。通过远程的Web应用业务漏洞扫描服务,由安全专家定期进行Web应用业务结构分析、漏洞分析,即时获得Web应用业务的漏洞情况,以及修补建议。

3、后门检测:

WebRAY网站群治理平台不同于传统的网站后门检测,不需要在服务器上安装检测插件,而是通过对流量的分析,以及自有的后门传输特征库,实现对Webshell的检测。

可选增强功能包含:网络钓鱼检测、网站木马检测、网站可用性检测。

1、网络钓鱼监测

通过构建可信URL数据库、IP信誉和自动化的扫描辅助以人工确认等综合手段,从而构建高效、准确的反钓鱼监控系统。

2、网站木马监测

采用业内领先的一体化挂马检测技术,高效、准确的识别网站页面中的恶意代码,从而使的网站管理员能够第一时间感知网站的安全状态,及时清除网页木马,避免给用户带来安全威胁,继而影响网站信誉。

3、可用性监测

Web应用业务可用性、Web应用业务从不同线路来访问得速度情况、Web应用业务响应时间,从而判断是否能达到最优、最安全的服务质量。一旦发现网站无法访问,第一时间通知用户。

告警能力 WebRAY网站群治理平台提供了多种告警方式,发布网站遭受篡改、暗链等攻击的及时信息,以便应急响应,发布最新的安全漏洞以及相关新闻。

告警方式包括短信、邮件、syslog、SNMP等多种告警方式。

旁路阻断能力 WebRAY 网站群治理平台为了在不影响客户网络拓扑的情况下,又能具备对不合规、不安全的网站进行阻断的目的,在平台内增加了旁路阻断能力。通过分析网络流量,可以阻断访问者对于不合规、不安全站点的访问请求,并进行告警,提醒修复。

通过阻断能力可以有效降低风险,并及时阻断被篡改网站,将攻击危害降到最低。

网站攻击防御与溯源能力(可选) 1)Web安全防护

WebRAY网站群治理平台可通过扩展,实现与防御设备的联动。根据监测到的威胁,自动制定防护策略,并启动平台具有的SQL注入/XSS防护、Web常规攻击防护、扫描防护、Cookie安全防护、URL ACL、CSRF防护、HTTP协议防护、ARP欺骗防护、信息过滤防护、非法下载防护、非法上传防护、Web内容安全防护、页面盗链、爬虫防护、流量攻击防护等防护模块进行防护。

2)篡改防护

平台提供内核级防护,保护页面不会被非法篡改。Windows防篡改支持32位和64位系统,Linux防篡改支持32位和64位系统。

图1防篡改配置界面

3)Webshell防护

WebRAY治理平台能够实时检测过滤WebShell发起的各种攻击命令,阻断利用WebShell 发起的挂马、文件下载、端口扫描、内容篡改等各种攻击和非法操作。

“有人建,有人管;有人用,有人防” WebRAY治理平台通过9大核心能力来解决网站群治理中四大主要问题,从而协助网络管理者进行网站群治理,并符合国家2562号文件规定,最终使辖区内的所有网站实现“有人建、有人管;有人用,有人防”。

上一篇:哈勃发布六月威胁情报:DarkComet木马协议成最多恶意网络协议

下一篇:EasyStack获评2016年度制造行业OpenStack最佳实践