2.通過(guò)部署WAF產(chǎn)品來(lái)抵御Web威脅
隨著攻擊技術(shù)的發(fā)展�,尤其是注入技術(shù)的出現(xiàn),DMZ已經(jīng)不能起到安全防護(hù)的作用了����,攻擊者可以通過(guò)最為正常不過(guò)的HTTP協(xié)議����,攻陷Web業(yè)務(wù)前臺(tái)系統(tǒng),從而直接對(duì)后臺(tái)數(shù)據(jù)進(jìn)行訪問(wèn)或者是篡改���。于是出現(xiàn)了用于抵御應(yīng)用層攻擊的WAF類產(chǎn)品�����,對(duì)Web業(yè)務(wù)前臺(tái)系統(tǒng)的漏洞進(jìn)行封堵����,藉此來(lái)防護(hù)Web業(yè)務(wù)系統(tǒng)的安全。
多技術(shù)組合對(duì)抗復(fù)雜攻擊手段的時(shí)期
這個(gè)時(shí)期���,網(wǎng)絡(luò)帶寬��、應(yīng)用業(yè)務(wù)的復(fù)雜度都進(jìn)入了一個(gè)新的階段�。Web業(yè)務(wù)資產(chǎn)價(jià)值的提升���、Web威脅行為的危害程度升級(jí)���,都進(jìn)一步加大了Web業(yè)務(wù)的風(fēng)險(xiǎn)值。這個(gè)時(shí)期對(duì)Web威脅的防御�,不能僅僅考慮Web業(yè)務(wù)本身,而應(yīng)當(dāng)擴(kuò)展到全業(yè)務(wù)流程中去��。
仔細(xì)審視大流量環(huán)境下的Web業(yè)務(wù)系統(tǒng)��,我們可以發(fā)現(xiàn)安全風(fēng)險(xiǎn)點(diǎn)不僅僅存在于網(wǎng)絡(luò)的出口��。由于業(yè)務(wù)系統(tǒng)的龐雜����,各個(gè)節(jié)點(diǎn)都可能存在安全隱患。
1.網(wǎng)絡(luò)出入口的安全隱患
分布式拒絕服務(wù)攻擊(DDoS)��。意大利政府網(wǎng)站、墨西哥政府網(wǎng)站���、CIA網(wǎng)站都是DDoS攻擊的受害者���。
數(shù)據(jù)竊取和頁(yè)面篡改。今年��,某黑客組織曾攻陷了數(shù)百個(gè)政府機(jī)關(guān)網(wǎng)站并篡改其網(wǎng)站頁(yè)面���。后來(lái),該黑客組織還公布了1.7G的竊取自美國(guó)司法部的數(shù)據(jù)�����。
2.后臺(tái)數(shù)據(jù)庫(kù)的安全隱患
數(shù)據(jù)庫(kù)的越權(quán)訪問(wèn)�。對(duì)于大型Web業(yè)務(wù)系統(tǒng)而言,后臺(tái)數(shù)據(jù)庫(kù)服務(wù)器的維護(hù)者往往采用另外的維護(hù)入口進(jìn)行數(shù)據(jù)庫(kù)相關(guān)維護(hù)�����,擁有數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限的維護(hù)人員的越權(quán)操作����,將影響Web業(yè)務(wù)系統(tǒng)的正常運(yùn)行�。
敏感信息泄露���。除了可能存在的越權(quán)數(shù)據(jù)庫(kù)訪問(wèn)之外����,運(yùn)維人員所使用的PC上往往存放著一些重要的信息�,如數(shù)據(jù)庫(kù)表結(jié)構(gòu)、管理員密碼等�。這些信息也存在通過(guò)IM或者是郵件、U盤等泄露的可能�����。
一個(gè)面對(duì)復(fù)雜Web業(yè)務(wù)系統(tǒng)的安全解決方案���,需要考慮到上面所提到的所有問(wèn)題���。同時(shí),結(jié)合信息安全體系中經(jīng)典的PDR模型�,還需要同時(shí)考慮到檢測(cè)、防護(hù)和響應(yīng)三個(gè)方面���。
以國(guó)內(nèi)信息安全領(lǐng)軍企業(yè)啟明星辰的產(chǎn)品為例��,通過(guò)將萬(wàn)兆WAF�、萬(wàn)兆流量清洗與抗拒絕服務(wù)產(chǎn)品(ADM)和其他安全產(chǎn)品進(jìn)行組合,能夠提供全面的 Web應(yīng)用安全解決方案��。在網(wǎng)絡(luò)出入口部署WAF�����、流量清洗與抗拒絕服務(wù)產(chǎn)品進(jìn)行防御;在網(wǎng)絡(luò)內(nèi)部部署堡壘機(jī)及數(shù)據(jù)防泄密(DLP)產(chǎn)品����,降低由于內(nèi)部運(yùn) 維人員的違規(guī)操作帶來(lái)的安全風(fēng)險(xiǎn),同時(shí)還提供針對(duì)業(yè)務(wù)系統(tǒng)的漏洞掃描產(chǎn)品��,以提前發(fā)現(xiàn)安全隱患�����。而PDR模型中的響應(yīng)部分����,大型Web業(yè)務(wù)系統(tǒng)需要建立安 全應(yīng)急響應(yīng)規(guī)范及隊(duì)伍�����,以應(yīng)對(duì)緊急情況下的應(yīng)急處理。
從上面的例子可以看出�����,萬(wàn)兆網(wǎng)絡(luò)的安全問(wèn)題并不只與帶寬相關(guān)�����,帶寬的變化同時(shí)也帶來(lái)了業(yè)務(wù)復(fù)雜度的增加�����,從而對(duì)安全提出了更高的要求�。當(dāng)然,帶來(lái)變 化的不僅僅有帶寬��,無(wú)線���、IPV6����、云計(jì)算����、BYOD(自帶設(shè)備辦公)�、SCADA����,這些業(yè)務(wù)模式的變化都引發(fā)了安全狀況變化。為了適應(yīng)這種變化����,安全防 護(hù)手段亦需隨之而變。
