近年来针对网站的攻击不仅仅攻击数量在上升,种类也在急剧增加,受攻击范围也在逐步增大,据统计95%以上的Web站点,均被黑客“光顾”过。Web网站作为企业和用户、合作伙伴及员工的快速、高效的交流平台,因需要被公众访问而暴露于因特网上,因此更容易成为黑客或恶意程序的攻击目标,造成数据损失,网站被篡改或其他安全威胁。当前面临的主要WEB应用安全问题包括以下几类:
·频繁多变的WEB应用攻击
Web应用程序最常见、最危险的十大安全问题,包括非法注入、失效的访问控制、失效的账户和线程管理、跨站脚本攻击、缓冲区溢出、注射攻击、异常错误处理、不安全的存储、拒绝服务攻击、不安全的配置管理等威胁。Web应用攻击与其他网络层攻击不同,因为它们通常更难被发现,而且可能来自任何在线用户,甚至是经过验证的用户。
·网页被篡改或被挂马
据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)监测,中国大陆被篡改网站总数逐年增多,其中,政府网站被篡改数量也越来越多。网页篡改事件的屡屡发生,不仅会给政府的公信力和企业的形象造成不良影响,也会给人民群众带去不安定的因素。另外一种篡改方式是网页挂马:网页内容表面上没有任何异常,却可能被偷偷的挂上了木马程序。网页挂马虽然未必会给网站带来直接损害,但却会给浏览网站的用户带来损失。
·数据泄露和被篡改
很多网站数据库中存放着大量的个人敏感信息,是企业或政府的核心IT资产,但近年来网站数据泄露事件愈演愈烈。例如社保网站,个人社保信息一旦泄露将会严重干扰参保人的日常生活,损害参保人的利益,甚至制造诈骗等事件等。同样,后台核心数据库信息如果被恶意篡改也常常会造成重要的经济损失。
一、WEB应用及数据库安全防护技术
现阶段的安全解决方案通常把重点放在网络层,当应用层被攻击时,由于Web应用系统的复杂性和多样性导致系统漏洞层出不穷、防不胜防,传统的网络层安全设备,如防火墙,很容易被WEB应用攻击绕过,难以阻挡此类攻击,由此需要一系列专门的WEB应用防护系统。
通过对Web应用系统的安全威胁进行针对性研究,各种专业的WEB应用安全防护技术也应运而生,以满足全方位的WEB网站安全防护要求,主要包括Web应用防火墙、网页防篡改、数据库防护技术等。下面针对各项产品关键技术分别进行介绍。
1、WEB应用防火墙
Web应用防火墙(Web Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。WAF会对所有Web流量(包括客户端请求流量和服务器返回的数据流量)进行深度内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
·基于规则的检测保护
面对复杂的攻击,WAF防火墙支持基于规则的保护,支持丰富的规则特征库,并能够根据最新威胁实时更新。针对各种渗透攻击行为,用户开启这些规则对应用进行全方面检测,例如SQL注入、命令注入、cookie注入、跨站脚本、敏感信息泄露、恶意代码等安全策略,用于阻断来自互联网的渗透攻击行为。
WAF提供双向报文检测,输入检测模块对WEB用户提交的Http请求协议头、请求内容进行细粒度解析,可分类解析URL、cookie、Method、Request body等字段,解析完成后对报文内容进行匹配特征库,当匹配SQL注入、跨站脚本攻击、命令注入攻击等特征后,对报文采用阻断、放行、仅检测、重定向等动作。WAF输出检测模块对服务器的响应协议头、页面内容进行解析,解析完成后对报文内容进行匹配特征库,当匹配目录遍录、错误信息、信息泄露等特征后,WAF对报文采用阻断、放行、仅检测、重定向等动作。
·基于异常的保护
前面提到的基于规则检测技术是通过特征库匹配技术实现安全防护,需要提取已有攻击特征后才能防护。但为了应对更为专业复杂的攻击,WAF会对网站的正常访问行为规律进行分析及总结,建立合法应用数据模型,并以此为依据判断应用数据的是否存在异常,当发现不符合该合法模型的行为产生后,WAF会对该行文进行阻断或告警,以实现对WEB应用的防护。这种方式不需要匹配多条规则特征库,有助于提高检测效率及准确率。
·WEB业务自动侦测技术
WEB业务自动侦测技术可对经过WAF的流量自动学习,从混杂流量中学习WEB业务服务器信息,从中获取WEB服务器IP、TCP端口、域名等信息,对需要防护的WEB应用服务器按需添加至WAF的防护中,从而避免人工配置容易出错,并节省实施成本。
·高性能检测技术
一般来说,WAF设备需要支持高性能检测能力。当用户访问时,WAF会检查其访问的文件类型,发现访问文件类型为图片、CSS、txt等静态文件时,WAF直接通过高性能检测模块进行线速转发,而文件类型为asp、jsp或php等动态文件则需要规则检测模块进行深度过滤后再转发。网站访问流量一般为“二八原则”,动态文件流量为20%,静态文件流量为80%,由于WAF对静态文件不实行规则检查,但对存在攻击风险的文件格式仍进行规则检查,因此既可保证攻击防护有效性,同时又提升了用户访问效率;考虑到安全性,WAF可仅对常见的静态文件格式进行高性能转发,而对未知的文件类型仍采取规则检测。
2、网页防篡改技术
当前,随着技术不断进步,网页防篡改技术已逐渐从传统的数字水印技术向多因子检测技术发展,多因子检测技术包括文件驱动、内核事件触发、核心内嵌等技术,完全杜绝了普通防篡改软件可能发生的计算校验占用系统资源过多,校验值计算不正确,篡改备份后无法恢复等一系列的风险。
·基于文件驱动的保护技术
文件驱动即通过操作系统底层文件驱动级保护技术,与操作系统紧密结合,在操作系统内核中加入文件操作过滤策略达到对文件操作的控制,限制文件修改权限。通过文件驱动技术对保护的对象(静态网页、动态执行脚本、文件夹)实时监测其属性,一旦发现更改立刻阻断非法篡改操作,即刻阻止网页文件被修改,并实时通知管理客户端。
·内核事件触发保护机制
在面对大规模连续的篡改时,防篡改系统检测到首个非法操作后就会实时阻断其后续其他的篡改操作。系统针对来源和操作行为,提前终止其后续篡改操作请求。系统在底层完成这些防护措施并不会将这些大规模连续篡改请求发送到上层应用,极大的降低了应用程序的处理负担,有效的提高了工作效率。
·核心内嵌动态防护技术
前述技术主要用于保护静态文件,采用核心内嵌技术可以对网站动态应用及数据库内容进行特征过滤,通过设定关键字、IP、时间过滤规则,对扫描,非法访问请求等操作进行拦截,杜绝篡改;在系统核心内嵌web动态防攻击模块,提供对SQL注入攻击、跨站攻击、溢出代码攻击等构造类网络攻击方式的检测,能够进行有效的阻止与保护。
·篡改恢复技术
网页防篡改系统带有同步端程序,在一般情况下WEB服务器保护路径下的网页文件不会被非法篡改,如果发生文件篡改现象,同步端程序会及时把未被篡改的文件同步到WEB服务器上,确保网站内容正常展示。
3、数据库审计技术
数据库是任何商业和公共安全中最具有战略性的资产,通常都保存着重要的商业伙伴和客户信息,这些信息需要被保护起来,以防止竞争者和其他非法者获取。互联网的急速发展使得企业数据库信息的价值及可访问性得到了提升,同时,也致使数据库信息资产面临严峻的挑战。现有的数据库内部操作不明,无法通过外部的任何安全工具(比如:防火墙、IDS、IPS等)来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。
数据库审计技术能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。
·多层业务关联审计
通过应用层访问和数据库操作请求进行多层业务关联审计,实现访问者信息的完全追溯,包括:操作发生的URL、客户端的IP、请求报文等信息,通过多层业务关联审计更精确地定位事件发生前后所有层面的访问及操作请求,使管理人员对用户的行为一目了然,真正做到数据库操作行为可监控,违规操作可追溯。
·细粒度审计技术
数据库类型众多,需要支持多种数据库审计,实现对数据库协议的完整解析,支持解析数据库协议的所有字段,支持根据所有字段任意自定义审计规则。通过细粒度的审计,可以从中发现数据库潜在问题。通过对不同数据库的SQL语义分析,提取出SQL中相关的要素(用户、SQL操作、表、字段、视图、索引、过程、函数、包…);系统不仅对数据库操作请求进行实时审计,而且还可对数据库返回结果进行完整的还原和审计,同时可以根据返回结果设置审计规则。
·数据建模及海量数据挖掘分析技术
能够提供针对数据行为基线建模及智能告警功能,自动建立数据库访问行为基线,并依据行为基线自动智能识别可疑行为进行告警。提供海量审计数据综合分析功能,从不同的空间、时间对各个维度进行对比分析。提供多种不同维度的报表,从不同角度分析数据库行为,便于审计员进行合规审计。一旦发生安全事件,提供基于数据库对象的完全自定义审计查询及审计数据展现,彻底摆脱数据库的黑盒状态。
·数据库审计与防火墙联动技术
数据库审计设备检测到数据库攻击行为及其他危险操作时,可以与传统防火墙联动,向防火墙发送通知报文,报文中包括攻击类型、攻击源等信息,防火墙收到该通知,则根据预先设定策略,针对不同攻击类型实施不同的安全策略,确保从源头限制或阻断非法访问。
结束语
通过使用WEB应用防火墙、网页防篡改、数据库审计,从防护、监测、审计等多方面、多层次对web网站实施综合防护,可以有效地缓解网站及WEB应用系统面临如OWASP TOP 10中定义的常见威胁,可以快速地应对恶意攻击者对WEB业务带来的冲击,可以智能锁定攻击者并通知管理员对网站代码进行合理的加固,能够有效抵御黑客对WEB应用攻击,对WEB业务保驾护航,从而避免企业损失。