2.通過部署WAF產品來抵御Web威脅
隨著攻擊技術的發(fā)展�����,尤其是注入技術的出現(xiàn)�����,DMZ已經不能起到安全防護的作用了,攻擊者可以通過最為正常不過的HTTP協(xié)議�,攻陷Web業(yè)務前臺系統(tǒng),從而直接對后臺數(shù)據(jù)進行訪問或者是篡改����。于是出現(xiàn)了用于抵御應用層攻擊的WAF類產品,對Web業(yè)務前臺系統(tǒng)的漏洞進行封堵�����,藉此來防護Web業(yè)務系統(tǒng)的安全���。
多技術組合對抗復雜攻擊手段的時期
這個時期,網絡帶寬�����、應用業(yè)務的復雜度都進入了一個新的階段�����。Web業(yè)務資產價值的提升��、Web威脅行為的危害程度升級,都進一步加大了Web業(yè)務的風險值����。這個時期對Web威脅的防御,不能僅僅考慮Web業(yè)務本身���,而應當擴展到全業(yè)務流程中去�。
仔細審視大流量環(huán)境下的Web業(yè)務系統(tǒng)�,我們可以發(fā)現(xiàn)安全風險點不僅僅存在于網絡的出口。由于業(yè)務系統(tǒng)的龐雜��,各個節(jié)點都可能存在安全隱患��。
1.網絡出入口的安全隱患
分布式拒絕服務攻擊(DDoS)����。意大利政府網站、墨西哥政府網站�����、CIA網站都是DDoS攻擊的受害者�。
數(shù)據(jù)竊取和頁面篡改。今年�����,某黑客組織曾攻陷了數(shù)百個政府機關網站并篡改其網站頁面。后來�,該黑客組織還公布了1.7G的竊取自美國司法部的數(shù)據(jù)。
2.后臺數(shù)據(jù)庫的安全隱患
數(shù)據(jù)庫的越權訪問�����。對于大型Web業(yè)務系統(tǒng)而言�����,后臺數(shù)據(jù)庫服務器的維護者往往采用另外的維護入口進行數(shù)據(jù)庫相關維護�����,擁有數(shù)據(jù)庫訪問權限的維護人員的越權操作�����,將影響Web業(yè)務系統(tǒng)的正常運行���。
敏感信息泄露。除了可能存在的越權數(shù)據(jù)庫訪問之外�,運維人員所使用的PC上往往存放著一些重要的信息�,如數(shù)據(jù)庫表結構��、管理員密碼等�。這些信息也存在通過IM或者是郵件、U盤等泄露的可能��。
一個面對復雜Web業(yè)務系統(tǒng)的安全解決方案����,需要考慮到上面所提到的所有問題。同時�����,結合信息安全體系中經典的PDR模型��,還需要同時考慮到檢測���、防護和響應三個方面�����。
以國內信息安全領軍企業(yè)啟明星辰的產品為例�,通過將萬兆WAF、萬兆流量清洗與抗拒絕服務產品(ADM)和其他安全產品進行組合�,能夠提供全面的 Web應用安全解決方案。在網絡出入口部署WAF����、流量清洗與抗拒絕服務產品進行防御;在網絡內部部署堡壘機及數(shù)據(jù)防泄密(DLP)產品,降低由于內部運 維人員的違規(guī)操作帶來的安全風險����,同時還提供針對業(yè)務系統(tǒng)的漏洞掃描產品,以提前發(fā)現(xiàn)安全隱患��。而PDR模型中的響應部分��,大型Web業(yè)務系統(tǒng)需要建立安 全應急響應規(guī)范及隊伍�,以應對緊急情況下的應急處理。
從上面的例子可以看出�,萬兆網絡的安全問題并不只與帶寬相關,帶寬的變化同時也帶來了業(yè)務復雜度的增加��,從而對安全提出了更高的要求���。當然,帶來變 化的不僅僅有帶寬��,無線����、IPV6���、云計算、BYOD(自帶設備辦公)��、SCADA��,這些業(yè)務模式的變化都引發(fā)了安全狀況變化�����。為了適應這種變化���,安全防 護手段亦需隨之而變��。
