當(dāng)前位置：安全 → 行業(yè)動(dòng)態(tài) → 正文

綠盟網(wǎng)站安全監(jiān)測(cè)變“檢測(cè)”為“監(jiān)測(cè)”

責(zé)任編輯：Lucy |來(lái)源：企業(yè)網(wǎng)D1Net 2011-06-08 08:55:46 本文摘自：51CTO

由于Web應(yīng)用的發(fā)展，所承載的信息內(nèi)容越來(lái)越多，安全威脅來(lái)源開(kāi)始從傳統(tǒng)的網(wǎng)絡(luò)和系統(tǒng)層，轉(zhuǎn)向以惡意代碼、頁(yè)面篡改為代表的應(yīng)用層。目前，攻擊者已經(jīng)形成了明顯的“地下產(chǎn)業(yè)鏈”，從個(gè)人、小團(tuán)隊(duì)的攻擊行為轉(zhuǎn)向了經(jīng)濟(jì)利益驅(qū)動(dòng)、有組織的攻擊行為。攻擊者利用站點(diǎn)的安全漏洞獲取重要信息，從而進(jìn)行欺詐甚至直接獲取信用卡賬號(hào)等敏感數(shù)據(jù)，例如近期索尼BMG網(wǎng)站、本田汽車美國(guó)官網(wǎng)方遭到黑客攻擊，導(dǎo)致大量用戶數(shù)據(jù)泄露。另一方面由于黑客對(duì)站點(diǎn)管理者的不滿或者出于技術(shù)炫耀的目的，導(dǎo)致大量重要站點(diǎn)進(jìn)行篡改。據(jù)CNCERT/CC的統(tǒng)計(jì)數(shù)據(jù)，2010年全年，中國(guó)大陸每月被篡改網(wǎng)站數(shù)量平均為2904個(gè)。其中境內(nèi)政府網(wǎng)站被篡改數(shù)量為4635個(gè)，與2009年的2765個(gè)相比增加67.6%[1]。還有一類危害范圍非常大的攻擊行為是攻擊者通過(guò)對(duì)目標(biāo)站點(diǎn)植入惡意代碼，當(dāng)計(jì)算機(jī)用戶瀏覽植入惡意代碼的站點(diǎn)而導(dǎo)致被感染病毒、木馬，從而被攻擊者控制。這類攻擊是目前互聯(lián)網(wǎng)黑色地下產(chǎn)業(yè)中進(jìn)行最為猖獗的、對(duì)互聯(lián)網(wǎng)安全危害較為嚴(yán)重的非法活動(dòng)。在微軟2009年7月至12月的安全統(tǒng)計(jì)報(bào)告中，以.cn（中國(guó)）結(jié)尾的掛馬站點(diǎn)比例將近1%，遠(yuǎn)遠(yuǎn)超過(guò)由Bing 跟蹤的平均0.24%的網(wǎng)站包含一個(gè)惡意頁(yè)面的比例[2]。

針對(duì)網(wǎng)站頻發(fā)的安全事件如網(wǎng)站掛馬、注入類攻擊、篡改攻擊等，極大地困擾著網(wǎng)站提供者，給企業(yè)形象、信息網(wǎng)絡(luò)甚至核心業(yè)務(wù)造成嚴(yán)重的破壞，導(dǎo)致了機(jī)構(gòu)門(mén)戶的形象受損和公信力的下降。

傳統(tǒng)的網(wǎng)站安全監(jiān)管手段的不足

傳統(tǒng)的網(wǎng)站安全監(jiān)管方式通常是采用Web應(yīng)用安全掃描工具周期性的對(duì)網(wǎng)站進(jìn)行安全掃描與評(píng)估，然后根據(jù)評(píng)估結(jié)果進(jìn)行安全加固和風(fēng)險(xiǎn)管理。這種安全檢查工作是一種靜態(tài)的檢查工作，能夠反映站點(diǎn)被檢查那一時(shí)期站點(diǎn)的安全問(wèn)題，但是缺少風(fēng)險(xiǎn)的持續(xù)監(jiān)測(cè)性。例如，通常情況下一個(gè)網(wǎng)站一周甚至一個(gè)月做一次安全檢查，而對(duì)于網(wǎng)站掛馬、網(wǎng)站篡改等事件通常都是突發(fā)性事件，持續(xù)時(shí)間短，通過(guò)每周或者每月一次的安全檢查并不能夠第一時(shí)間發(fā)現(xiàn)這些已經(jīng)產(chǎn)生的嚴(yán)重風(fēng)險(xiǎn)事件并做出相應(yīng)的處理工作。另一方面通常監(jiān)管者面臨著上百個(gè)站點(diǎn)的安全檢查，傳統(tǒng)安全評(píng)估工作中所采用Web應(yīng)用漏洞掃描工具在掃描規(guī)模、頁(yè)面爬取和分析能力、檢測(cè)結(jié)果關(guān)聯(lián)分析等方面存在局限性，并且無(wú)法做到高頻率的風(fēng)險(xiǎn)監(jiān)測(cè)、及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)。

對(duì)于承擔(dān)網(wǎng)站監(jiān)管與安全治理責(zé)任的機(jī)構(gòu)來(lái)說(shuō)，針對(duì)類型復(fù)雜、數(shù)量眾多的網(wǎng)站群如何進(jìn)行安全監(jiān)管，如何第一時(shí)間發(fā)現(xiàn)某個(gè)站點(diǎn)的安全事件，如何有效地對(duì)大量的站點(diǎn)群進(jìn)行監(jiān)測(cè)數(shù)據(jù)的匯總分析和統(tǒng)計(jì)，如何反映所有被監(jiān)測(cè)站點(diǎn)風(fēng)險(xiǎn)分布的總體狀況，成為新的難題。

變“檢測(cè)”為“監(jiān)測(cè)”的Web安全監(jiān)管手段

若能夠主動(dòng)的發(fā)現(xiàn)網(wǎng)站的風(fēng)險(xiǎn)隱患，并及時(shí)采取修補(bǔ)措施，則可以降低風(fēng)險(xiǎn)、減少損失。記者了解到，綠盟科技針對(duì)該需求，已經(jīng)推出了綠盟網(wǎng)站安全監(jiān)測(cè)系統(tǒng)（簡(jiǎn)稱：NSFOCUS WSM），旨在根據(jù)網(wǎng)站系統(tǒng)監(jiān)管要求，通過(guò)對(duì)目標(biāo)站點(diǎn)進(jìn)行頁(yè)面爬取和分析，為用戶提供透明模式的遠(yuǎn)程集中化安全監(jiān)測(cè)、風(fēng)險(xiǎn)檢查和安全事件的實(shí)時(shí)告警，并為客戶提供全局視圖的風(fēng)險(xiǎn)度量報(bào)告，最終幫助客戶構(gòu)建完善的網(wǎng)站安全體系。

NSFOCUS WSM系統(tǒng)采用智能頁(yè)面爬取技術(shù)，透明遠(yuǎn)程的對(duì)站點(diǎn)進(jìn)行監(jiān)測(cè)，通過(guò)對(duì)頁(yè)面進(jìn)行爬取和分析，從而為用戶提供對(duì)網(wǎng)站群的監(jiān)測(cè)能力，而無(wú)需在站點(diǎn)服務(wù)器端部署任何代理設(shè)備，無(wú)需改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)。該系統(tǒng)能夠從站點(diǎn)的脆弱性、完整性、可用性三方面全方位的對(duì)站點(diǎn)的安全能力要求進(jìn)行監(jiān)管。并且可為一個(gè)大型的站點(diǎn)群同時(shí)提供安全監(jiān)測(cè)的能力。用戶可對(duì)每一個(gè)網(wǎng)站創(chuàng)建不同的監(jiān)測(cè)策略，同時(shí)可根據(jù)網(wǎng)站的關(guān)注度，對(duì)同一網(wǎng)站下的不同關(guān)鍵頁(yè)面配置不同的監(jiān)測(cè)策略，實(shí)現(xiàn)對(duì)網(wǎng)站不同粒度、全面的風(fēng)險(xiǎn)監(jiān)測(cè)。

NSFOCUS WSM系統(tǒng)整個(gè)系統(tǒng)物理架構(gòu)分為控制中心和監(jiān)測(cè)引擎兩種設(shè)備。

控制中心：負(fù)責(zé)對(duì)整個(gè)監(jiān)測(cè)系統(tǒng)進(jìn)行統(tǒng)一的管理，監(jiān)測(cè)策略管理，監(jiān)測(cè)引擎的任務(wù)分發(fā)、調(diào)度，數(shù)據(jù)收集和報(bào)表呈現(xiàn)。

監(jiān)測(cè)引擎：負(fù)責(zé)對(duì)被監(jiān)測(cè)站點(diǎn)進(jìn)行頁(yè)面的爬取、頁(yè)面解析、漏洞掃描、滲透測(cè)試和輔助邏輯分析。下圖說(shuō)明了NSFOCUS WSM在進(jìn)行Web應(yīng)用安全隱患監(jiān)測(cè)的部署視圖。

與傳統(tǒng)采用Web掃描器用以進(jìn)行安全評(píng)估的方式相比，綠盟網(wǎng)站安全監(jiān)測(cè)系統(tǒng)具有更為鮮明的特點(diǎn)：

一是變“檢測(cè)”為“監(jiān)測(cè)”，可提供持續(xù)風(fēng)險(xiǎn)監(jiān)測(cè)能力。眾所周知，網(wǎng)站掛馬、頁(yè)面篡改都是實(shí)時(shí)性很強(qiáng)的安全事件，而不定期的評(píng)估檢查并不能幫助用戶實(shí)時(shí)發(fā)現(xiàn)這些安全事件。而采用持續(xù)的對(duì)站點(diǎn)頁(yè)面進(jìn)行爬取，進(jìn)一步檢測(cè)，能夠?yàn)榭蛻籼峁┎婚g斷的風(fēng)險(xiǎn)監(jiān)測(cè)能力，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)并通知用戶，降低或避免用戶損失。

二是集中化安全監(jiān)測(cè)，系統(tǒng)采用節(jié)點(diǎn)樹(shù)的形式管理網(wǎng)站群，形成了多站點(diǎn)的集中化安全監(jiān)測(cè)，同時(shí)可實(shí)現(xiàn)簡(jiǎn)潔的分類管理，相比各個(gè)站點(diǎn)的獨(dú)立管理，能夠大幅降低管理成本和檢測(cè)時(shí)間，提升風(fēng)險(xiǎn)監(jiān)測(cè)能力和水平。

三是透明化系統(tǒng)采用智能頁(yè)面爬取技術(shù)遠(yuǎn)程對(duì)站點(diǎn)進(jìn)行頁(yè)面爬取和分析，從而為用戶提供對(duì)網(wǎng)站群的監(jiān)測(cè)能力，而無(wú)需在站點(diǎn)服務(wù)器端部署任何代理設(shè)備，無(wú)需改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)。

四是可擴(kuò)展的架構(gòu)設(shè)計(jì)，系統(tǒng)采用靈活可擴(kuò)展的彈性架構(gòu)設(shè)計(jì)，可通過(guò)擴(kuò)充監(jiān)測(cè)引擎的數(shù)量來(lái)擴(kuò)展整個(gè)系統(tǒng)的監(jiān)測(cè)規(guī)模，從而輕松應(yīng)對(duì)被監(jiān)測(cè)網(wǎng)絡(luò)業(yè)務(wù)規(guī)模擴(kuò)展的需求，實(shí)現(xiàn)“零斷網(wǎng)監(jiān)測(cè)”。

目前，全球網(wǎng)絡(luò)用戶已近20億，用戶利用互聯(lián)網(wǎng)進(jìn)行購(gòu)物、銀行轉(zhuǎn)賬支付和各種軟件下載，企業(yè)用戶更是依賴于網(wǎng)絡(luò)構(gòu)建他們的核心業(yè)務(wù)，對(duì)此，Web安全性已經(jīng)提高一個(gè)空前的高度。而黑客們也將注意力從以往對(duì)網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對(duì)Web應(yīng)用的攻擊上，他們針對(duì)Web站點(diǎn)和應(yīng)用的攻擊愈演愈烈，頻頻得手，頁(yè)面篡改、網(wǎng)站掛馬、注入類攻擊、DDoS攻擊等，極大地困擾著網(wǎng)站提供者，給企業(yè)形象、信息網(wǎng)絡(luò)甚至核心業(yè)務(wù)造成嚴(yán)重的破壞。

綠盟科技網(wǎng)站監(jiān)測(cè)系統(tǒng)旨在幫助需要多個(gè)站點(diǎn)進(jìn)行安全監(jiān)測(cè)與管理的機(jī)構(gòu)。根據(jù)站點(diǎn)管理者的監(jiān)管要求，在事前階段，NSFOCUS WSM系統(tǒng)能夠監(jiān)測(cè)該站點(diǎn)的安全風(fēng)險(xiǎn)漏洞，以及早提出風(fēng)險(xiǎn)解決辦法。在事中階段，一旦發(fā)現(xiàn)監(jiān)測(cè)到風(fēng)險(xiǎn)事件后，如監(jiān)測(cè)站點(diǎn)發(fā)生掛馬事件、篡改時(shí)間，系統(tǒng)能夠第一時(shí)間進(jìn)行安全報(bào)警，盡可能早的啟動(dòng)應(yīng)急方案，以減少安全事件所照成的影響。在周期性的監(jiān)測(cè)過(guò)程中，產(chǎn)品能夠提供完善的風(fēng)險(xiǎn)監(jiān)測(cè)視圖，對(duì)風(fēng)險(xiǎn)趨勢(shì)、危害、各站點(diǎn)安全風(fēng)險(xiǎn)值進(jìn)行統(tǒng)計(jì)分析，直觀、清晰的從總體上反映了所有被監(jiān)測(cè)站點(diǎn)的風(fēng)險(xiǎn)分布情況，以提供決策支持。通過(guò)對(duì)目標(biāo)站點(diǎn)進(jìn)行不間斷的頁(yè)面爬取、分析、匹配，為客戶的互聯(lián)網(wǎng)網(wǎng)站提供遠(yuǎn)程安全監(jiān)測(cè)、安全檢查、實(shí)時(shí)告警，是構(gòu)建完善的網(wǎng)站安全體系的最好補(bǔ)充。

關(guān)鍵字：檢測(cè)監(jiān)測(cè)

熱文