周报全文
2008-07-16 16:07    文章来源:网界网

[周报全文]Web安全之攻防战争

作者:网界网 赵晓涛

碰撞与变迁

鉴于上述对Web业务系统常见攻击的分析,对Web业务系统的保护已经刻不容缓。安全学术界和产业界的研究机构和各大厂商也纷纷拿出了识别和防御的措施及技术方案,力求为Web业务系统提供深层的安全防御。

但遗憾的是,由于Web威胁的迅猛发展,仅借助硬件、操作系统、服务、应用程序提供商提供没有漏洞的系统,显然是不够的。因此,需要在网络边界和服务器前增加安全控制设备,或者在服务器系统上部署软件来防御各种攻击。

据孙大军介绍,目前防御Web威胁的主要挑战在于各种新的攻击方式不断出现,而传统的针对Web威胁的防御方式主要是从代码分析入手,导致随着各种攻击方式的不断翻新,防御方式也要被动地跟着更新,无法从根本上解决问题。

据悉,针对SQL 注入攻击和跨站脚本攻击,在传统的安全产业界,主要的识别和防御方法有基于特征的关键字匹配技术和基于异常检测技术。基于特征的关键字匹配技术是目前的主流方法,一些主流的IPS产品都采用这种检测技术。但由于其技术的局限性和机械性,使得这类IPS产品会形成漏报和误报。

而应用于像Web防火墙这类产品中的基于异常检测技术,能够发现一些异常情况。但其缺陷也显而易见,比如需要一定的学习期才能投入使用,而且一但业务模型发生变化,就需要重新学习,更为重要的是,异常未必就是攻击。

在学术界,针对SQL注入,同样有两个重要的研究方向,即基于正常行为模型的AMNESIA和基于数字签名技术的SQL Rand 方法。这两种方法的主要弱点是需要能够获得应用程序的源代码和修改源码。同时需要改变原有业务系统的部署,方案相当复杂。

传统的产业界和学术界解决方案的不足,还主要存在于对SQL 注入攻击和跨站脚本攻击的误报、漏报,以及部署复杂的问题。可见,解决Web业务安全的关键在于检测和部署。

对此,万卿的看法是,目前更加有效的防御手段可以采用融合基于原理和基于特征的柔性化检测机制来解决Web攻击的防御问题。比如基于攻击手法VXID的检测算法,可以在很大程度上解决上述难题。

据悉,VXID算法是一种将规则分析(建立虚拟机检测规则的过程)和异常分析(符合Web攻击模型的,就是Web攻击)相结合的技术。其核心内容是首先收集、分析各种可能的Web攻击方法(包括SQL注入特征和XSS攻击特征),并提取出相应的有针对性的攻击机理。之后为这些攻击方法建立相应的检测模型(VXID算法误用检测模型)。根据这些虚拟机检测来自URLCookiePOST-Form中的各参数域值是否符合SQL注入模型,检测提交的脚本代码是否符合XSS攻击模型,如果符合则表示发生了Web攻击。

采用此类算法的好处是,避免了单纯特征匹配方法的大量漏报和误报。换句话说,这种技术不会因为将关键字定义得过于严格而出现误报,也不会因为仅能定义有限多个特征而使得变种攻击可以轻易绕过。另外,此种技术不需要在业务系统的代码上做任何修改,实现难度较低。

另外,徐学龙介绍说,在面对不断自我更新、快速动态变化的Web威胁时,一些企业往往显得很被动。传统解决方案往往是当病毒入侵企业并造成明显程度的损害后,IT人员才知道问题的发生,随后才展开问题的调查、对策研究、获取厂商支持、解决方案测试和部署等工作。由于发现病毒到清除病毒的周期较长,使得企业在此期间面临很大的风险。此外,由于企业IT人员所能掌握的技术有限,对有些安全威胁了解不够,使得他们在面对这些Web攻击时往往显得束手无策。这些问题的存在,使很多企业虽然部署了软硬件网络安全解决方案,却无法最大限度地发挥它们的功能,IT维护成本也居高不下,给企业带来很大的风险和负担。

从这个意义上说,用户急需一套具备动态、主动防御Web威胁的技术,其中Web信誉服务(WRS)技术成为了一个热点。借助Web信誉服务,一旦嵌有恶意程序的网站刚刚出现,安全厂商就可以通过独特的防护技术保护用户的访问不受侵害,有效拦截出现在每个区域的Web威胁。

一般来说,WRS技术为每个URL提供一个信誉分值,这个信誉分值基于该网站的存在时间长短、地理位置变化和历史情况等诸多因素计算而来。通过信誉分值的比对,就可以知道某个URL潜在的风险级别。当用户访问具有潜在风险的网站时,就可以及时获得系统提醒或阻止,Web信誉服务可以帮助用户快速地确认目标网站的安全性。

编看编想

Web安全与人员意识

在很多情况下,Web安全防御常常都会牵扯到人员的意识问题。举例来看,有很多企业的网管对网站的价值认识仅仅是一台服务器或者是网站的建设成本,为了这个服务器而增加超出其成本的安全防护措施则认为是得不偿失。

而实际上,当网站遭受攻击之后,带来的直接和间接的损失往往不能用一台服务器或者是网站建设成本来衡量。因为很多信息资产在遭受攻击之后会造成无形价值的流失。不幸的是,当前很多用户单位的网站负责人员,只有在Web站点遭受攻击,且造成的损失远超过网站本身价值之后才开始意识到这一点。

另外,由于各种用户的应用环境千差万别,所以用户在进行Web安全防御的时候,更多地应该考虑因地制宜。适合于自己的安全方案才是最好的方案。

具体的建议有两点:

一是应该尽量从系统开始规划的时候就考虑Web威胁问题;

二是尽量从根本入手,避免头痛医头、脚痛医脚,而是针对于Web威胁,尽量从保护相关进程免受攻击入手。

相关链接

防御Web威胁的产品与服务

■ 浪潮安全

浪潮自主研发的SSR产品能够保证企业Web应用安全可靠运行,避免被非法的中断和更改。而浪潮Web卫士产品是保护用户网站免受各种Web攻击而设计的一款Web安全产品;SSRWeb卫士配合使用,能够保证企业用户的Web安全。

■ 启明星辰

天清入侵防御系统可以提供全面的Web防御支持。该系统报警准确率高,避免了仅采用单纯的特征匹配方法的大量漏报和误报。不会因为将关键字定义得过于严格而出现误报,也不会因为仅能定义有限多个特征而使得变种攻击可以轻易绕过。系统将检测和防御功能都固化在硬件产品中,用户仅需要简单部署产品就可以全面防御SQL注入、XSS攻击等Web攻击行为。

■ 趋势科技

TMES安全专家服务将企业的被动防御转化为快速响应。主动出击的主动式安全防御,可以快速帮助企业客户有效管理安全事件并减少业务损失。TMES通过日常巡检,对用户的防毒体系进行全面检查,尽早发现潜在的问题,并根据当前的状态和存在的问题,给出调整的意见。另外,通过集成的TMSN服务商紧急上门服务,可帮助企业以最快的速度应对Web威胁。

■ 深信服

深信服AC系列上网行为管理设备具备识别率高、确保用户远离Web风险的能力。该系列上网行为管理产品除了识别普通的明文数据外,还可识别加密的流量和应用,并通过基于统计学的网络行为智能检测技术(NBID),对用户最新面临的应用进行管理,进而提高用户的工作效率,避免机密信息的泄漏。

1  2  3  4  5  
责任编辑:程永来

文章评论

发表评论
查看全部
评论加载中...请稍后

精彩专题