如今,電子政務(wù)、電子商務(wù)、運(yùn)營(yíng)商的增值業(yè)務(wù)、社交網(wǎng)站等Web應(yīng)用已經(jīng)逐漸滲透到人們?nèi)粘5墓ぷ骱蜕钪校S之而來的Web安全問題也逐漸彰顯。如果不保障Web應(yīng)用的安全,輕則名譽(yù)受損、客戶投訴,重則可能引起法律糾紛、商業(yè)損失等問題。部署專業(yè)的針對(duì)Web應(yīng)用交互數(shù)據(jù)進(jìn)行檢測(cè)并提供防御的產(chǎn)品成為一種很有必要的選擇。
Web應(yīng)用日漸普及
如今,Web應(yīng)用日益普及,表現(xiàn)出以下幾大特點(diǎn):
特點(diǎn)一,發(fā)展迅速。每秒鐘都有一個(gè)網(wǎng)頁相關(guān)的應(yīng)用產(chǎn)生,而且截止到11月,我國(guó)已經(jīng)有323萬個(gè)網(wǎng)站。
特點(diǎn)二,交互性應(yīng)用。以前,Web應(yīng)用通常都是網(wǎng)頁瀏覽,但現(xiàn)在越來越多的應(yīng)用將Web作為自己的舞臺(tái),例如聊天、網(wǎng)購、炒股、社交網(wǎng)絡(luò)等。統(tǒng)計(jì)數(shù)據(jù)表明,網(wǎng)民中有1.42億人會(huì)進(jìn)行網(wǎng)絡(luò)購物,占總?cè)藬?shù)的33.8%;1.28億會(huì)進(jìn)行網(wǎng)上支付,占總?cè)藬?shù)的30.5%;而1.22億人會(huì)用到網(wǎng)上銀行,占總?cè)藬?shù)的29.1%。
特點(diǎn)三,用戶創(chuàng)造內(nèi)容。例如現(xiàn)在的微博應(yīng)用,用戶不僅使用瀏覽器觀看網(wǎng)頁,自己也變成Web應(yīng)用的主角。
特點(diǎn)四,遠(yuǎn)程用戶接入。例如通過筆記本電腦進(jìn)行遠(yuǎn)程接入。
特點(diǎn)五,移動(dòng)終端。隨著3G普及,移動(dòng)接入互聯(lián)網(wǎng)的內(nèi)容越來越多,形式也越來越豐富。
Web攻擊事件頻發(fā)
2010年3月,谷歌公司高級(jí)副總裁公開發(fā)表聲明,稱“一群黑客對(duì)使用Gmail服務(wù)的人權(quán)活動(dòng)分子的電子郵箱進(jìn)行了有組織的、高水平的攻擊”。2010年1月,搜索引擎“百度”遭到黑客攻擊,導(dǎo)致其網(wǎng)站長(zhǎng)時(shí)間無法正常訪問。2009年11月,國(guó)防部網(wǎng)站上線3個(gè)月遭230萬次攻擊……越來越多的Web攻擊開始映入我們的眼簾。
CNCERT/CC國(guó)家互聯(lián)網(wǎng)應(yīng)急中心對(duì)網(wǎng)絡(luò)安全事件報(bào)告類型的統(tǒng)計(jì)表明,2010年1-6月,57.57%的安全事件是惡意代碼(含網(wǎng)頁掛馬),漏洞事件占25.96%,而網(wǎng)頁仿冒事件占15.48%,拒絕服務(wù)攻擊占0.98%。
來自Gartner的數(shù)據(jù)表明,當(dāng)前網(wǎng)絡(luò)上75%的攻擊是針對(duì)Web應(yīng)用的,這些攻擊可能導(dǎo)致網(wǎng)站遭受聲譽(yù)損失、經(jīng)濟(jì)損失甚至政治影響。
這些數(shù)據(jù)清楚地告訴我們一個(gè)事實(shí):Web安全事件正在變得越來越多。
應(yīng)用與安全的距離
為什么Web攻擊越來越多?在Web安全方面,我們還有哪些問題需要面對(duì)?
問題一,應(yīng)用和安全的鴻溝。安全專家不了解Web應(yīng)用的特點(diǎn),而應(yīng)用開發(fā)者和QA 不了解安全重點(diǎn),這也是導(dǎo)致Web應(yīng)用安全的根本原因
問題二,應(yīng)用安全的復(fù)雜性。Web應(yīng)用異常復(fù)雜,可能涉及不同的操作系統(tǒng)、不同的開發(fā)工具、不同的應(yīng)用程序、不同的軟硬件供應(yīng)商、嚴(yán)重的兼容性問題,如果對(duì)此沒有足夠的了解,是無法從根本上解決問題的。
問題三,對(duì)已知漏洞的防護(hù)延遲。由于采用一成不變的低效的“消防演習(xí)”模式,補(bǔ)丁總是不夠及時(shí)而且容易出錯(cuò),對(duì)于“零日攻擊”毫無辦法。
問題四,現(xiàn)有安全措施的局限性。現(xiàn)有攻擊特點(diǎn)是大部分攻擊在應(yīng)用層,針對(duì)Web網(wǎng)站的惡意攻擊絕大部分都將其封裝為HTTP請(qǐng)求,許多類型的攻擊并不篡改網(wǎng)頁,黑客往往會(huì)將攻擊隱藏在SSL內(nèi),攻擊手段發(fā)展迅猛,對(duì)于這些,防火墻、IPS、網(wǎng)頁防篡改等安全產(chǎn)品經(jīng)常無能為力。
WAF助力Web安全
越來越多的應(yīng)用開始基于Web應(yīng)用,越來越多的系統(tǒng)漏洞可以被利用,而傳統(tǒng)防火墻和IPS等安全設(shè)備對(duì)此卻無能為力。此時(shí),我們應(yīng)該靠誰來保護(hù)Web應(yīng)用的安全?Web應(yīng)用防火墻(Web Application Firewall,簡(jiǎn)稱WAF)應(yīng)運(yùn)而生。
Web應(yīng)用防火墻致力于為Web站點(diǎn)和Web服務(wù)器提供強(qiáng)大的應(yīng)用層安全防護(hù)。例如梭子魚網(wǎng)絡(luò)有限公司的梭子魚WEB應(yīng)用防火墻,就可以保護(hù)Web應(yīng)用安全漏洞,幫助企業(yè)合規(guī)達(dá)標(biāo),如PCI DSS(支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)),能夠防止在線信用卡交易的數(shù)據(jù)竊取及欺詐行為,防止因服務(wù)突然中斷而給用戶造成的經(jīng)濟(jì)損失,確保用戶業(yè)務(wù)在安全底線之上穩(wěn)定運(yùn)行。
京公網(wǎng)安備 11010502049343號(hào)