在甲流肆虐的今天,笔者想谈谈这一事件对于木马检测防范的启示。
检测、防御、响应
四、检测、防御、响应——360度网站安全解决方案
以网站安全为例,当前网站主要存在如下的风险。结合PDR模型,我们不难发现P、D、R都存在着一些问题。
1.网站防护脆弱:防不住SQL注入、XSS等网站常见的攻击。
2. 网站缺乏对安全漏洞、网页挂马的发现机制:往往是网站发生损失和利用造成伤害后才发现被入侵。
3. 响应对象不完整:由于缺乏有效的检测,很多网站有事故才响应,不知道有安全漏洞和入侵存在,自然没有及时响应,直至损失被发现才有响应,甚至响应也仅仅停留在恢复层面,而没有解决导致入侵存在的安全问题。
启明星辰是以网站安全360的视角来实施解决之道。根据这一视角,就需要一个不仅仅是简单,而且要完整的安全措施来对应上述这些问题。这一措施必须能够分别加强网站的防御、检测、响应的质量,一方面加强防御,提升有效防护的时间(Pt),一方面缩小Dt(检测的时间)和Rt(响应的时间)。分解了每部分的安全需求,就可以使用明确的安全措施来完善网站安全。
根据网站安全360视角,国内信息安全领域的领军企业启明星辰,提供了完善解决网站安全的产品及服务,从防护、检测、响应三个方面入手,让网站安全变得更简单。据介绍,网站安全360包括三大部件:检测部件(安星服务)、防御部件(天清IPS)和响应部件(源代码审计和应急响应服务)。
1. 检测部件
安星,是被称为网站安全体检专家的服务。它是启明星辰基于安全检测技术成果和专业远程监控安全服务团队,为客户互联网网站的WEB页面进行远程安全检查的有偿服务,包括检查网页挂马和网站漏洞两种可选项目。服务的过程将经过三个层次筛选,第一层是自动化的网页异常搜索,通过远程搜索发现网页异常;第二层进行精确筛选,排除肯定不是攻击的部分;第三层是专业人员的人工审查,确定漏洞或挂马存在的位置、形态、功能等并形成可视化报告。
2. 防御部件
天清IPS,被称为WEB应用入侵防御系统,是专门针对WEB网站攻击进行优化的入侵防御产品。天清IPS是一个硬件设备,通常透明串行模式部署于网站前端,此产品运用了一套启明星辰的专利算法,因此成为目前为数不多能够做到精确阻断SQL注入攻击、XSS跨站脚本攻击的IPS产品,有效防范利用WEB漏洞的入侵网站并实施网页挂马、种植木马后门。
3. 响应部件
源代码审计和应急响应服务,对网站应用程序存在的漏洞、页面中存在的恶意代码进行彻底清除,同时可以选择白盒测试、黑盒测试对网站相关的安全源代码进行检查,找出源代码方面的问题,获得源代码问题所在以及安全修复建议或修改服务。该类服务由启明星辰国家级实验室的专业攻防技术团队(ADLAB)提供支持。一些缺乏专业外援团队的重要网站,能够通过这个专业团队的服务来强化网站系统的安全源代码设计,加强系统自身的安全性。
有了网站安全360各个部件发挥的作用,我们就可以降低网站入侵造成的损失。各部件作用如下图所示:
作为国内信息安全领域的旗舰企业,启明星辰在2009年通过一系列的产品和服务,将网站安全治理工作效率推向了一个新的高度,将防御产品、检测、修复服务相结合,运用更加简单而有效的方式强化网站自身的安全性,防范木马攻击,促进WEB业务应用的健康发展。
五、展望
流感病毒侵袭人类是很正常的事情,H1N1爆发也就有其必然性的。通过技术手段是可以控制SARS、天花等病毒,但这并不意味着人类在大自然中能所向披靡。 H1N1事件,时刻提醒人类在和病毒的斗争中不可大意。自然界的神秘莫测使我们无法控制新病毒不出现,但是我们可以通过良好的卫生生活习惯、完善的公共防疫体系和科学技术的突破来控制流感病毒的传播,降低流感病毒造成的危害,最终形成对流感病毒的免疫力。
互联网也是攻击事件和木马的孳生之地,既然我们应用了网络,也就无法不承受黑客、木马的攻击,而且攻击者往往会利用热点事件来集中攻击。如:受甲型H1N1流感事件影响,各类健康专题网站、地方卫生局类网站的关注度和访问量都持续攀升,也因此成为商业黑客选择攻击的目标。因此,及时发现和防范挂马、新型木马会是一个持久性的话题,这就需要安全从业人员不妨用跨界思维来拓宽思路,加强研究,打造一个全新的木马检测防范体系。
网友评论