现如今网络互连的世界,保护WWeb网站在某种程度上讲等同于保护公司的业务与商业信誉,维护用户良好的访问体验。随着互联网时代的到来,电子商务彻底改变了业务经营的模式,例如B2C、B2B、内部网络与外部网络成了日常的业务词汇。由此,网站要么是业务扩展的绝对优势手段,要么就成了一块静态的广告板。
网站除了是公司的另一张“名片”外,它还是商业联结的通道。通过网站,用户可以查找公司的产品与信息,合作伙伴访问共享的资源,或是用户直接通过网站下单购买商品。对于eBay、Amazon等这样的公司来讲,“网站”就是其业务。如果网站运行出问题,不仅会让公司的业务遭受影响,也会无形中降低用户对公司信任度,进而流失掉部分用户。
与此同时,网站最大的优点也是其最大的弱点所在,任何人都可以访问。这种可达性使网站很容易成为网络罪犯、黑客甚至激进主义者的攻击目标。无论是出于怎样的动机或使用何种方式方法,网站被攻击了就意味着几种情况:收入损失、负面的商业信誉、敏感数据泄露(例如用户信用卡信息与个人信息)。
有关攻击网站的案例已被广泛的报道过,例如:
▎2014年2月17日,乌云漏洞报告平台爆出淘宝认证缺陷可登录任意淘宝账号及支付宝,随后支付宝安全团队承认此漏洞是由新业务促发,但是没有造成用户数据泄露。
▎2014年2月底,网上流传出疑似京东商城一批用户的用户名和密码信息,3月3日京东官方回应此次事件为用户账号被盗,并称经内部调查,没有发生大规模用户注册信息泄露的情况。
Web应用安全防护面临的挑战
网站不仅带来的是访问信息或购买物品的便捷,而且越来越多的互联网公司的内部架构是基于WWeb的。这种从传统方式到基于Web应用的转移,增加了敏感信息被窃取的风险。
根据Verizon公司的调研发现 ,对网站攻击原因排名最前的两位是信息窃取(金融或个人信息)与激进示威(不满或抗议性质)。这些攻击利用操作系统或Web应用软件中存在的安全漏洞进行攻击,更为精巧的攻击例如SQL注入与XSS(跨站脚本)也会被用来获取访问敏感数据。
保护Web网站与应用的难度在于其透明的架构与动态的应用。网络安全是相对直接的, 简单说来就是定义安全策略允许或阻断往来于网络服务器的具体流量;但是网站的构成因素却相当多,包括众多的URL、参数与cookie等。对这些不同条目手动创建不同的策略基本上是不现实的。另外,随着新的URL与参数的添加,Web网站变化也比较频繁, 增加了安全管理员更新策略的难度。
另一方面,对网站实际运行的应用进行不断检测的过程中,发现大量的软件漏洞进一步加剧了网站保护的难度,研发与应用的更新、代码修改与更新、 面市的压力等。
本已复杂的环境下更为不堪的是大多数Web网站是多服务器的分布式架构,使得这些关键因素的防护变得难上加难了。
保护在线的资产
保护网站资源必须采取整体的防御方法,包括网站的架构与网络为基础的应用。Fortinet建议采取三种能够齐头并进的方式进行:
▎安全的代码编写习惯与代码审查:良性且安全的Web应用开发环境以及遵从开放Web应用安全计划(OWASP)或其他机构的Web开发标准,用户能够创建更多的安全或受信的应用,减少整个应用生命周期的漏洞数量是Web应用安全的有力保障之一。
▎执行Web应用漏洞评估/穿透测试: Web应用程序应经过手动或自动应用漏洞评估工具进行漏洞评估。后续还应对关键的应用程序穿透测试。
▎部署一款Web应用防火墙: Web应用防火墙(WAF)的作用是检测并阻断应用层攻击。传统的网络安全解决方案是用于检测与防御网络与网络端口级别的威胁与攻击,而不针对应用级别,所以需要一款专用的防火墙。在现有的防火墙层面上部署WAF不仅保护基于Web的应用并增加整理网络的安全性。
现如今有许多WAF做了功能上的延伸。 Fortinet的FortiWeb设备在单机设备中将WAF与XML防火墙功能相集成,且增加了漏洞扫描、应用加速与服务器负载均衡模块化设置。FotiWeb中基于双向的流量分析集成了主动与被动安全模块与基于异常检测引擎的嵌入式行为功能, 不干扰网络架构与应用更改的情况下防御广泛的Web应用层威胁。
智能化IT越来越进入到日常的生活, 公司的数据库中积累的用户信息容量与敏感数据只增不减。与此同时,网络的威胁也在方式与技巧方面进化的日益复杂与成熟,采取主动的安全防御是任何公司保护数据的先行手段。建立安全的Web应用环境、定期执行漏洞检测、部署先进的WAF方案所有的这些都是深入防御不可或缺的。