當(dāng)今時(shí)是網(wǎng)絡(luò)的天下���,各個(gè)行業(yè)都開始了利用網(wǎng)絡(luò)進(jìn)行營(yíng)銷����,促進(jìn)產(chǎn)品的交易�����,那么企業(yè)如何做服務(wù)器托管及主機(jī)租用中更加的安全���,怎樣進(jìn)行很好的防護(hù)了�?
數(shù)據(jù)中心機(jī)房里��,Web服務(wù)器是網(wǎng)絡(luò)病毒����、木馬的重災(zāi)區(qū)。不但企業(yè)的門戶網(wǎng)站容易被篡改�、資料被竊取,同時(shí)還可能成為網(wǎng)絡(luò)病毒與木馬的傳播者�。有些Web管理員采取了一些措施,雖然可以保證門戶網(wǎng)站的主頁(yè)不被篡改����,但是卻很難避免自己的網(wǎng)站被當(dāng)作肉雞��,來(lái)傳播病毒���、惡意插件、木馬等等��。朗思通普認(rèn)為����,這很大一部分原因是服務(wù)器管理員在Web安全防護(hù)上太被動(dòng)。他們只是被動(dòng)的防御�����。為了徹底提高Web服務(wù)器的安全�,朗思通普認(rèn)為,Web服務(wù)器安全要學(xué)會(huì)主動(dòng)出擊����。
一、在代碼編寫時(shí)就要進(jìn)行漏洞測(cè)試
現(xiàn)在的企業(yè)網(wǎng)站做的越來(lái)越復(fù)雜���、功能越來(lái)越強(qiáng)�����。不過這些都不是憑空而來(lái)的����,是通過代碼堆積起來(lái)的���。如果這個(gè)代碼只供企業(yè)內(nèi)部使用��,那么不會(huì)帶來(lái)多大的安全隱患����。但是如果放在互聯(lián)網(wǎng)上使用的話�,則這些為實(shí)現(xiàn)特定功能的代碼就有可能成為攻擊者的目標(biāo)。舉一個(gè)簡(jiǎn)單的例子����。在網(wǎng)頁(yè)中可以嵌入SQL代碼。而攻擊者就可以利用這些SQL代碼來(lái)發(fā)動(dòng)攻擊�����,來(lái)獲取管理員的密碼等等破壞性的動(dòng)作��。有時(shí)候訪問某些網(wǎng)站還需要有某些特定的控件。用戶在安裝這些控件時(shí)�,其實(shí)就有可能在安裝一個(gè)木馬(這可能訪問者與被訪問者都沒有意識(shí)到)。
為此在為網(wǎng)站某個(gè)特定功能編寫代碼時(shí)�����,就要主動(dòng)出擊����。從編碼的設(shè)計(jì)到編寫、到測(cè)試�����,都需要認(rèn)識(shí)到是否存在著安全的漏洞�。筆者在日常過程中,在這方面對(duì)于員工提出了很高的要求�。各個(gè)員工必須對(duì)自己所開發(fā)的功能負(fù)責(zé)。至少現(xiàn)在已知的病毒��、木馬不能夠在你所開發(fā)的插件中有機(jī)可乘���。通過這層層把關(guān)��,就可以提高代碼編寫的安全性�。
二、對(duì)Web服務(wù)器進(jìn)行持續(xù)的監(jiān)控
冰凍三尺�����、非一日之寒�。這就好像人生病一樣,都有一個(gè)過程�。病毒�����、木馬等等在攻擊Web服務(wù)器時(shí)���,也需要一個(gè)過程�����?��;蛘哒f(shuō),在攻擊取得成功之前�����,他們會(huì)有一些試探性的動(dòng)作。如對(duì)于一個(gè)采取了一定安全措施的Web服務(wù)器����,從攻擊開始到取得成果�����,至少要有半天的時(shí)間。如果Web管理員對(duì)服務(wù)器進(jìn)行了全天候的監(jiān)控����。在發(fā)現(xiàn)有異常行為時(shí),及早的采取措施�����,將病毒與木馬阻擋在門戶之外����。這種主動(dòng)出擊的方式,就可以大大的提高Web服務(wù)器的安全性�����。
筆者現(xiàn)在維護(hù)的Web服務(wù)器有好幾十個(gè)。現(xiàn)在專門有一個(gè)小組�����,來(lái)全天候的監(jiān)控服務(wù)器的訪問���。平均每分鐘都可以監(jiān)測(cè)到一些試探性的攻擊行為���。其中99%以上的攻擊行為,由于服務(wù)器已經(jīng)采取了對(duì)應(yīng)的安全措施���,都無(wú)功而返。不過每天仍然會(huì)遇到一些攻擊行為�����。這些攻擊行為可能是針對(duì)新的漏洞��,或者采取了新的攻擊方式�。在服務(wù)器上原先沒有采取對(duì)應(yīng)的安全措施。如果沒有及時(shí)的發(fā)現(xiàn)這種行為���,那么他們就很有可能最終實(shí)現(xiàn)他們的非法目的�����。相反�,現(xiàn)在及早的發(fā)現(xiàn)了他們的攻擊手段,那么我們就可以在他們采取進(jìn)一步行動(dòng)之前����,就在服務(wù)器上關(guān)掉這扇門,補(bǔ)上這個(gè)漏洞��。
筆者在這里也建議���,企業(yè)用戶在選擇互聯(lián)網(wǎng)Web服務(wù)器提供商的時(shí)候����,除了考慮性能等因素之外��,還要評(píng)估服務(wù)提供商能否提供全天候的監(jiān)控機(jī)制��。在Web安全上主動(dòng)出擊�,及時(shí)發(fā)現(xiàn)攻擊者的攻擊行為。在他們采取進(jìn)一步攻擊措施之前��,就他們消除在萌芽狀態(tài)�����。
三、設(shè)置蜜罐����,將攻擊者引向錯(cuò)誤的方向
在軍隊(duì)中,有時(shí)候會(huì)給軍人一些“偽裝”��,讓敵人分不清真?zhèn)?����。其?shí)在跟病毒����、木馬打交道時(shí),本身就是一場(chǎng)無(wú)硝煙的戰(zhàn)爭(zhēng)�����。為此對(duì)于Web服務(wù)器采取一些偽裝���,也能夠?qū)⒐粽咭蝈e(cuò)誤的方向。等到供給者發(fā)現(xiàn)自己的目標(biāo)錯(cuò)誤時(shí)��,管理員已經(jīng)鎖定了攻擊者,從而可以及早的采取相應(yīng)的措施�����。筆者有時(shí)候?qū)⑦@種主動(dòng)出擊的行為叫做蜜罐效應(yīng)�����。簡(jiǎn)單的說(shuō)�,就是設(shè)置兩個(gè)服務(wù)器。其中一個(gè)是真正的服務(wù)器����,另外一個(gè)是蜜罐。現(xiàn)在需要做的是���,如何將真正的服務(wù)器偽裝起來(lái)�����,而將蜜罐推向公眾�����。讓攻擊者認(rèn)為蜜罐服務(wù)器才是真正的服務(wù)器����。要做到這一點(diǎn)的話,可能需要從如下幾個(gè)方面出發(fā)�����。
一是有真有假���,難以區(qū)分��。如果要瞞過攻擊者的眼睛�����,那么蜜罐服務(wù)器就不能夠做的太假�。筆者在做蜜罐服務(wù)器的時(shí)候��,80%以上的內(nèi)容都是跟真的服務(wù)器相同的����。只有一些比較機(jī)密的信息沒有放在蜜罐服務(wù)器上���。而且蜜罐服務(wù)器所采取的安全措施跟真的服務(wù)器事完全相同的����。這不但可以提高蜜罐服務(wù)器的真實(shí)性,而且也可以用來(lái)評(píng)估真實(shí)服務(wù)器的安全性�。一舉兩得。
二是需要有意無(wú)意的將攻擊者引向蜜罐服務(wù)器�����。攻擊者在判斷一個(gè)Web服務(wù)器是否值得攻擊時(shí)����,會(huì)進(jìn)行評(píng)估。如評(píng)估這個(gè)網(wǎng)站的流量是否比較高�����。如果網(wǎng)站的流量不高���,那么即使被攻破了���,也沒有多大的實(shí)用價(jià)值。攻擊者如果沒有有利可圖的話���,不會(huì)花這么大的精力在這個(gè)網(wǎng)站服務(wù)器上面���。如果要將攻擊者引向這個(gè)蜜罐服務(wù)器的話���,那么就需要提高這個(gè)蜜罐服務(wù)器的訪問量。其實(shí)要做到這一點(diǎn)也非常的容易?��,F(xiàn)在有很多用來(lái)交互流量的團(tuán)隊(duì)���。只要花一點(diǎn)比較小的投資就可以做到這一點(diǎn)。
三是可以故意開一些后門讓攻擊者來(lái)鉆�����。作為Web服務(wù)器的管理者�,不僅關(guān)心自己的服務(wù)器是否安全,還要知道自己的服務(wù)器有沒有被人家盯上����。或者說(shuō)�,有沒有被攻擊的價(jià)值。此時(shí)管理者就需要知道���,自己的服務(wù)器一天被攻擊了多少次���。如果攻擊的頻率比較高,管理者就高興��、又憂慮����。高興的是自己的服務(wù)器價(jià)值還蠻大的,被這么多人惦記著��。憂慮的是自己的服務(wù)器成為了眾人攻擊的目標(biāo)����。就應(yīng)該抽取更多的力量來(lái)關(guān)注服務(wù)器的安全。
四����、專人對(duì)Web服務(wù)器安全性進(jìn)行測(cè)試
俗話說(shuō),靠人不如靠自己����。在Web服務(wù)器的攻防戰(zhàn)上,這一個(gè)原則也適用��。如果企業(yè)對(duì)于Web服務(wù)的安全比較高�,如網(wǎng)站服務(wù)器上有電子商務(wù)交易平臺(tái)���,此時(shí)最好設(shè)置一個(gè)專業(yè)的團(tuán)隊(duì)。他們充當(dāng)攻擊者的角色����,對(duì)服務(wù)器進(jìn)行安全性的測(cè)試。這個(gè)專業(yè)團(tuán)隊(duì)主要執(zhí)行如下幾個(gè)任務(wù)����。
一是測(cè)試Web管理團(tuán)隊(duì)對(duì)攻擊行為的反應(yīng)速度。如可以采用一些現(xiàn)在比較流行的攻擊手段�����,對(duì)自己的Web服務(wù)器發(fā)動(dòng)攻擊�。當(dāng)然這個(gè)時(shí)間是隨機(jī)的。預(yù)先Web管理團(tuán)隊(duì)并不知道?����,F(xiàn)在要評(píng)估的是����,Web管理團(tuán)隊(duì)在多少時(shí)間之內(nèi)能夠發(fā)現(xiàn)這種攻擊的行為。這也是考驗(yàn)管理團(tuán)隊(duì)全天候跟蹤的能力。一般來(lái)說(shuō)�,這個(gè)時(shí)間越短越好。應(yīng)該將這個(gè)時(shí)間控制在可控的范圍之內(nèi)����。即使攻擊最后沒有成功�,Web管理團(tuán)隊(duì)也應(yīng)該及早的發(fā)現(xiàn)攻擊的行為。畢竟有沒有發(fā)現(xiàn)�����、與最終有沒有取得成功���,是兩個(gè)不同的概念�。
二是要測(cè)試服務(wù)器的漏洞是否有補(bǔ)上��。畢竟大部分的攻擊行為�����,都是針對(duì)服務(wù)器現(xiàn)有的漏洞所產(chǎn)生的?��,F(xiàn)在這個(gè)專業(yè)團(tuán)隊(duì)要做的就是���,這些已發(fā)現(xiàn)的漏洞是否都已經(jīng)打上了安全補(bǔ)丁或者采取了對(duì)應(yīng)的安全措施�。有時(shí)候我們都沒有發(fā)現(xiàn)的漏洞是無(wú)能為力����,但是對(duì)于這些已經(jīng)存在的漏洞不能夠放過。否則的話����,也太便宜那些攻擊者了。
由于在網(wǎng)絡(luò)受到攻擊的時(shí)候非常的麻煩��,我們應(yīng)及時(shí)的做好防護(hù)的工作��,積極的應(yīng)對(duì)很多的突發(fā)的事件�。
咨詢熱線:
400-996-8756
產(chǎn)品詳情頁(yè)
0371-89913000
