今年的315晚会上,曝光了多起个人信息泄密事件,从儿童信息的泄露到人脸识别、恶意手机充电桩导致的个人信息泄密,数据泄露所带来的破坏力和损失已经能够影响到当今社会的各个方面。而针对网站的泄密事件虽然躲过了315的曝光,但依然是数据泄露不容忽视的一环,近几年来,网站数据的泄密已呈现越发严重的态势,网站安全已经成为第一安全问题。
防守偏科,导致网站系统脆弱
调查数据显示75%的攻击是针对WEB系统,而68%的WEB系统是脆弱的,从投入预算的角度看,90%的预算投入在基础设施防护和网络防护上,而针对WEB的安全防护只占到10%,我们在网络基础设施防护和网络防护中投入大量的精力与预算,却忽略了网站应用层方面的防护,这种严重“偏科”的现象的存在,也加重了数据泄露的风险。随着针对WEB系统的高级安全威胁带来的挑战,传统的防护手段虽然还能保持一定的作用,但却会因为相对有效性减弱,导致其在未来的安全体系建设中占比逐渐降低。
为了解决这一“偏科”问题,让安全防护越来越适应新形势下的攻击和威胁,事前及时检测;事中实时监测、态势感知、攻击预警、安全防护;事后应急响应等多个环节必然要形成严丝合缝的闭环,才能保障WEB系统安全、可靠、流畅运行。
1、外部攻击原因
没有100%的安全,同样存在于Web系统,这些系统无论基于何种架构基本都会存在漏洞,对于黑客来说,发现漏洞、编写木马、利用漏洞、攻击网站、获取信息、销售信息、获取利润等一系列,早已形成产业链,而攻击手段、攻击方法、攻击工具可从网络上相关论坛随时下载,无形中降低了入侵的成本,而从发现漏洞到修复漏洞之间存在一段不短的时间差,而黑客很好的利用这些时间差作案,漏洞修复的及时与否就成为关键。
2、内部人员导致
FortScale的调查报告则显示,85%的数据泄露是来于内部威胁,内部人员作案为什么如此频繁,一是人员自身原因,另一方面就是安全制度不够健全导致。人员素质、安全监控和防护、安全规范要求几个因素组合起来才能更大程度上降低内部人员作案的风险。通过及时、周期性的安全意识培训,增强内部人员安全意识;通过制定严格的内部制度,警示内部人员;通过实时监控增加管控手段;通过合理安全防护保证数据无法被随意导出。
3、用户自身安全意识缺乏
最终用户的对于个人信息的保护意识不强,没有安全“觉悟”,也是信息泄露的一大原因。弱密码、多系统密码一致、网站注册时随意提交个人信息等等,如果再加上网站的明文保存账户信息,一轮拖库、撞库之后,个人信息基本泄露个七七八八了。
4、立法缺失到逐步立法
2017年6月1日即将正式颁布执行的《网络安全法》明确规定了与企业对拥有的用户信息安全负有法律责任,而且刑法第253条中也有明确的对信息泄露的刑事处罚条款。这将极大的弥补了之前因立法不严导致的一些列问题,例如:针对企业防护力度弱的法律说明、针对黑客产业链法规说明等等。
从生到死,无死角保护网站安全
近年来,各行业客户对网站安全的重视程度逐渐增加,预算投入也逐年在进行,那么,这里就要思考一个问题,是不是我预算投入增加了,网站就变得安全可靠了,数据就不会泄露出去了?其实不然,不同的客户,有不同的需求和应用场景,需要不同的防护手段和防护策略,从网站安全防护角度来看,需要全生命周期的防护策略,只有这个生命周期的每个点都覆盖到了,从技术角度可以说防护到位了。
图:网站安全全生命周期防护图 全生命周期防护说明:
- 网站架构设计:选择漏洞少,更新频繁的架构;
- 网站编码要求:编码符合安全编码规范,代码需经过专业代码审查设备进行缺陷检测;
- 网站发布前的安全检测:通过相应的Web漏洞扫描工具进行漏洞扫描,对发现的漏洞及时修复后方可上线;
- 网站防护要求:针对网站所在数据中心节点需要合理的部署本地WAF设备以及云端的DDOS防护能力,通过云+盒子的方式组合防御、流量清洗;
- 网站实时监测:通过360网站云监测系统,实时监测网站存在的可用性问题、DDOS攻击、漏洞情况、Web攻击情况等事件,针对出现的事件快速修复;
- 网站规范运维:先需要制定网站运维的规范,并严格要求网站管理员在照章办事、规范运维,避免内部运维错误导致数据泄露风险;建立相应的应急响应机制,当出现网站安全事件而内部人员无法解决时,需第一时间求助网络安全厂商的应急响应团队,以免数据泄露事件发生。
- 网站下线:网站一旦停止对内、外服务,需尽快备份、清空设备中的数据,并停止该Webserver运行,以免成为僵尸网站,避免其成为黑客的攻击跳板,通过该跳板可跳转到其他Web站点,随意窃取数据。
态势感知,基于威胁情报建立实时防御体系
所谓威胁情报,涉及到网络安全相关的数据均可成为威胁情报,针对网站安全这个细分技术领域的威胁情报大概包含以下内容:网站的DNS、URL、IP地址、网站安全实时监测数据、APT样本、黑客组织、社区跟踪信息、网络爬虫、漏洞信息、攻击脚本、攻击工具、开源架构等等。需要从Internet网上将以上类型信息持续收集、存储、分析并与目标网站系统进行关联,通过安全大数据技术的分析,最终得出对目标网站安全有利的情报,建立威胁情报中心。
而态势感知系统的建立,与威胁情报中心是强相关的,没有威胁情报中心,谈不上态势感知。通过使用360网站云监测对目标网站群进行7*24小时的实时监测,监测过程中得出的数据与360威胁情报中心的数据实时分析、联动,得出对目标网站群有价值的信息,例如:某一时刻,某网站架构在某区域爆出了漏洞信息,下一时刻,该信息就可推送到目标网站群管理员,促使他对使用该架构的网站进行及时的漏洞修复,降低数据泄露风险。
图:国内第一个安全情报平台 360威胁情报中心 所建立的态势感知系统需最起码包含以下基础安全能力:
- 需要有遍布全国的网络节点,多链路探测网站可用性,并针对网站可用性事件的及时通报;
- 可通过威胁情报中心的数据及时推送目标网站群相关的钓鱼网站信息;
- 可通过威胁情报中心的数据或情报,及时推送与目标网站群想类似的漏洞信息,便于用户及时修复,快速降低数据泄露风险;
- 针对DDOS攻击应有相应的感知能力,并拥有不低于历史上发生过最高达600G的DDOS攻击的防护能力;
- 需要有对僵尸网站、未经审批域名及时发现的能力;
比黑客提前一点点
网站已成为黑客的香饽饽,而防御总是被动的,如果能比攻击提前一点,哪怕一点点,也值得我们去努力,在这个过程中,最关键的因素是人,领导的远见卓识;对建立全生命周的安全感知、预警、监测、防护、响应系统的决心;内部人员的安全素养或安全意识、是否能严格执行相关的安全规范等等都是需要我们去思考和改变的地方。
|
|
|
|
|
|
|
京公网安备 11000002002063号
京ICP备08010314号-6 Copyright©2005- 360.com 版权所有 360互联网安全中心
安全卫士
极速浏览器
360壁纸
360摄像机
360动态
手机卫士
评论
直达楼层