云數(shù)據(jù)中心網(wǎng)頁安全解決方案
應(yīng)用背景
國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布《2012年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》,該報(bào)告顯示:去年我國網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行總體平穩(wěn),但安全形勢不容樂觀,面臨的境外攻擊威脅依然嚴(yán)重。據(jù)監(jiān)測,去年我國境內(nèi)被篡改網(wǎng)站數(shù)量為16388個,據(jù)監(jiān)測,其中政府網(wǎng)站1802個,分別同比增長6.1%和21.4%。
去年3016個政府網(wǎng)站被植入后門,安卓平臺成惡意程序攻擊重災(zāi)區(qū)
網(wǎng)絡(luò)釣魚日漸猖獗,嚴(yán)重影響在線金融服務(wù)和電子商務(wù)的發(fā)展,危害公眾利益。2012年,國家互聯(lián)網(wǎng)應(yīng)急中心共監(jiān)測發(fā)現(xiàn)針對我國境內(nèi)網(wǎng)站的釣魚頁面22308個,接收到網(wǎng)絡(luò)釣魚類事件投訴9463起,約占總接收事件數(shù)量的一半。
大數(shù)據(jù)和云平臺技術(shù)發(fā)展將引入新安全風(fēng)險:
與以往通過明顯篡改網(wǎng)頁內(nèi)容以表達(dá)訴求或炫耀技術(shù)不同的是,2012年,黑客傾向于通過隱蔽的危害更大的后門程序,獲得經(jīng)濟(jì)利益和竊取網(wǎng)站內(nèi)存儲的信息。據(jù)不完全統(tǒng)計(jì),2012年,約有50余個我國網(wǎng)站用戶信息數(shù)據(jù)庫在互聯(lián)網(wǎng)上公開流傳或通過地下黑色產(chǎn)業(yè)鏈進(jìn)行售賣,其中已證實(shí)確為真實(shí)信息的數(shù)據(jù)近5000萬條。
惡意代碼和漏洞技術(shù)不斷演進(jìn),針對“高價值”目標(biāo)的高級可持續(xù)攻擊風(fēng)險持續(xù)加深,嚴(yán)重威脅網(wǎng)絡(luò)空間安全;信息竊取和網(wǎng)絡(luò)欺詐將繼續(xù)成為黑客攻擊的重點(diǎn);移動互聯(lián)網(wǎng)惡意程序數(shù)量將持續(xù)增加并更加復(fù)雜;大數(shù)據(jù)和云平臺技術(shù)的發(fā)展引入新的安全風(fēng)險,面臨數(shù)據(jù)安全和運(yùn)行安全雙重考驗(yàn)。
為此,我司為各云數(shù)據(jù)中心,云服務(wù)提供商(政府,門戶網(wǎng)站,公司企業(yè)等)提供更快速,更安全,更可靠的網(wǎng)頁安全解決方案。
網(wǎng)站是網(wǎng)絡(luò)中被訪問最多的一種服務(wù),也是最容易遭受攻擊的。網(wǎng)站直接代表著政府、企業(yè)的形象,一旦頁面被篡改,將導(dǎo)致企業(yè)、政府形象和無形資產(chǎn)的巨大損失。這種攻擊方式和攻擊后果屢見不鮮。
根據(jù) Gartner 的調(diào)查,信息安全攻擊有 75% 都是發(fā)生在 Web 應(yīng)用層,2/3的 Web 站點(diǎn)都相當(dāng)脆弱,易受攻擊。而針對web的攻擊往往隱藏在大量的正常訪問業(yè)務(wù)行為中,導(dǎo)致傳統(tǒng)防火墻、入侵防御系統(tǒng)無法發(fā)現(xiàn)和阻止這些攻擊。
即使部署了層層的應(yīng)用安全防護(hù)設(shè)備,網(wǎng)頁還是被篡改了!這是因?yàn)榘踩雷o(hù)并不能百分之百的確保所有攻擊都被攔截,因?yàn)橐膊荒艽_保網(wǎng)頁不被篡改。聰明的黑客甚至?xí)米钚碌摹?”day漏洞獲取服務(wù)器權(quán)限,篡改網(wǎng)頁。
一、網(wǎng)頁篡改的途徑分析
(1)SQL注入后獲取Webshell:
(2)XSS漏洞引入惡意HTML界面:
(3)控制了Web服務(wù)器:
(4)控制了DNS服務(wù)器:
(5)遭遇了ARP攻擊:
二.用戶需求
基于網(wǎng)頁篡改的現(xiàn)象和問題,某私有云服務(wù)提供商提出了具體的安全性要求,對于網(wǎng)站的安全防護(hù)主要需要解決的問題和具備的防篡改措施如下:
1、具備防護(hù)篡改網(wǎng)站各類攻擊的完整安全防御體系。包括針對web應(yīng)用程序的web攻擊;針對承載網(wǎng)站應(yīng)用的發(fā)布服務(wù)器漏洞攻擊、數(shù)據(jù)庫應(yīng)用的漏洞利用攻擊等;針對網(wǎng)站服務(wù)器群的系統(tǒng)漏洞利用攻擊等攻擊手段。防止網(wǎng)頁篡改需要具備從網(wǎng)絡(luò)到系統(tǒng)再到應(yīng)用層面的各類安全威脅的防護(hù)能力;
2、具備事后驗(yàn)證網(wǎng)頁內(nèi)容發(fā)布合法性的檢查。一切發(fā)布于互聯(lián)網(wǎng)或者內(nèi)網(wǎng)用戶的網(wǎng)頁內(nèi)容需要經(jīng)過篡改與否的合規(guī)性檢驗(yàn),防止繞過防御體系潛入網(wǎng)站篡改網(wǎng)頁的風(fēng)險和管理員賬號被竊取后正常發(fā)布的非法內(nèi)容發(fā)布;
3、具備篡改后應(yīng)急處理機(jī)制。網(wǎng)頁被篡改后,需要有良好的善后保障措施和業(yè)務(wù)承接能力。以便于網(wǎng)站用戶訪問網(wǎng)站的連續(xù)性。
因此網(wǎng)頁篡改防護(hù)需要能夠提供動態(tài)防護(hù)L2-L7層的攻擊,被攻擊了也有篡改判定機(jī)制做到事后補(bǔ)償?shù)谋Wo(hù)手段,確保網(wǎng)頁不被篡改;同時需要具備篡改后應(yīng)急響應(yīng)的機(jī)制,即使網(wǎng)頁內(nèi)容被篡改了也不會發(fā)布與眾。
4、避免攻擊者對網(wǎng)站的域名服務(wù)器進(jìn)行滲透,獲取了域名的解析權(quán)限,改變了解析地址以達(dá)到篡改的效果;例如:百度被黑事件;
據(jù)此4點(diǎn),設(shè)計(jì)拓?fù)淙缦拢?/span>
三.具體實(shí)施功能實(shí)現(xiàn)
1.DNS域名解析負(fù)載均衡設(shè)備,負(fù)責(zé)公網(wǎng)的域名解析工作,防止DNS的DDoS攻擊,預(yù)防百度事件的再次發(fā)生,避免攻擊者對網(wǎng)站的域名服務(wù)器進(jìn)行滲透,獲取了域名的解析權(quán)限,改變了解析地址以達(dá)到篡改的效果;
2.網(wǎng)頁服務(wù)器集群區(qū)域部署WAF網(wǎng)頁防護(hù)防火墻,具體實(shí)現(xiàn)內(nèi)容如下:
(1)深度內(nèi)容檢測技術(shù),可解析網(wǎng)站交互流量中隱藏的威脅
(2)典型的Web攻擊防護(hù),防止Owasp十大web安全威脅
(3)基于應(yīng)用的漏洞防御,有效防止服務(wù)器漏洞利用攻擊
(4)多種篡改應(yīng)急處理機(jī)制,確保用戶訪問網(wǎng)站連續(xù)性
1.指定網(wǎng)頁
檢測到篡改事件時,可將用戶的訪問重定向引導(dǎo)到預(yù)先編輯的顯示提示頁面。該頁面可由管理員預(yù)先設(shè)定,防止用戶訪問到被篡改的頁面。
2.web服務(wù)器
用戶可搭建一個備份服務(wù)器實(shí)現(xiàn)關(guān)鍵頁面的實(shí)時備份。系統(tǒng)檢測到篡改事件后,也可將用戶的訪問請求重定向到備份的web服務(wù)器上,保證用戶訪問業(yè)務(wù)的永續(xù)性,防止用戶訪問到被篡改的頁面。
(5)快速及時的報(bào)警方式,便于應(yīng)急響應(yīng)并及時修復(fù)