現(xiàn)在針對Web服務(wù)器的攻擊,,往往會同時(shí)采用多種攻擊手段,。如既有病毒攻擊、拒絕服務(wù)攻擊,、,,還有口令攻擊、路由攻擊等等多種方式,。通常情況下,,將同時(shí)具有多種攻擊手段的模式我們叫做混合攻擊。不過傳統(tǒng)的安全解決方案,,一般只能夠?qū)Ω秵畏N攻擊手段。這就好像蛇情一樣,被不同的蛇咬了,,要使用不同的蛇清,。否則的話,不能夠起到解毒的作用,。這也就對Web服務(wù)器的安全解決方案提出了新的要求,。面對這種種的威脅,Web服務(wù)器該如何應(yīng)對呢?對此,,筆者有如下幾個(gè)建議,。
一、圈地運(yùn)動,,已經(jīng)無法滿足安全的需求
在傳統(tǒng)解決方案中,,有一個(gè)比較顯著的特點(diǎn),即搞圈地運(yùn)動,。如針對郵件,,有一套郵件安全方案;針對FTP,有一個(gè)FTP安全解決方案,。傳統(tǒng)安全解決方案,,將IT領(lǐng)域根據(jù)其應(yīng)用的不同,認(rèn)為的劃分成一塊塊領(lǐng)域,,然后再設(shè)計(jì)對應(yīng)的安全措施,。如果只針對一種攻擊行為,這種安全解決方案,,固然有效,。但是在混合式攻擊面前,這種圈地性質(zhì)的解決方案,,弊端就非常明顯了,。因?yàn)楣粽邚囊粋€(gè)方向攻擊不成,還可以從另一個(gè)方向攻擊,。這種單獨(dú)的安全解決方案,,無法做到面面俱到。為此企業(yè)Web應(yīng)用的安全,,不能夠再依靠防火墻等解決方案來做圈地式的保護(hù)運(yùn)動,。混合攻擊會借助病毒,、木馬,、惡意軟件、肉雞等攻擊方法,,對系統(tǒng),、應(yīng)用程序等漏洞,,發(fā)起攻擊。從而在比較大的范圍內(nèi)發(fā)起攻擊,。
筆者建議,,在應(yīng)對混合攻擊方面,要有一個(gè)比較全面的規(guī)劃,,而不是各種解決方案各自為戰(zhàn),。在實(shí)際工作中,我們可以選擇一種解決方案為主,,然后其它解決方案為輔,,設(shè)計(jì)一個(gè)從上到下的全面的防護(hù)措施。如針對Web應(yīng)用,,筆者就推薦企業(yè),,可以以Web防火墻為主、然后結(jié)合郵件安全策略,、FTP安全策略,、SSL加密機(jī)制等手段,組成一個(gè)比較綜合的安全防護(hù)網(wǎng),。
二,、漏洞,攻擊的源頭
混合攻擊,,其實(shí)是多種已知攻擊手段的組合,。而現(xiàn)在已知的攻擊行為,90%以上是針對系統(tǒng)以及應(yīng)用程序的漏洞展開的,。俗話說,,蒼蠅不叮無縫的蛋。在實(shí)際工作中,,我們只要保證蛋沒有縫,,那么蒼蠅也就沒這么好叮了。
故筆者建議,,針對各種混合攻擊行為,,最好的預(yù)防措施之一就是對系統(tǒng)以及應(yīng)用程序打上對應(yīng)的補(bǔ)丁。不過需要注意的是,,這個(gè)補(bǔ)丁不光光是針對服務(wù)器,,而且還包括用戶的客戶端。因?yàn)橛袝r(shí)候攻擊者非常狡猾,,如果服務(wù)器攻不下的話,,他們可能會先對客戶端做文章。先把客戶端拿下,,做為他們?nèi)怆u,,然后再對服務(wù)器發(fā)起攻擊,。大部分時(shí)候,從內(nèi)部發(fā)起攻擊,,要比外部發(fā)起攻擊更加容易,。畢竟堡壘更容易從內(nèi)部攻破,。但是有時(shí)候客戶端的數(shù)量非常的多,,對每臺客戶端進(jìn)行補(bǔ)丁的管理比較困難。
在這里筆者推薦使用統(tǒng)一的補(bǔ)丁管理解決方案,,如微軟的補(bǔ)丁維護(hù)方案,。其原理比較簡單。先是用一臺補(bǔ)丁服務(wù)器,,從微軟的官方網(wǎng)站下載最新的補(bǔ)丁,。然后各個(gè)客戶端(包括用戶終端和服務(wù)器),每次啟動時(shí)從服務(wù)器上下載最新的補(bǔ)丁,,并進(jìn)行自動或者手工的安裝,。如果企業(yè)的安全級別比較高,筆者這里建議采用強(qiáng)制安裝,。有時(shí)候補(bǔ)丁安裝會比較麻煩,,如安裝完之后還需要重新啟動。為此一些用戶會偷懶,,當(dāng)服務(wù)器提示需要安裝補(bǔ)丁時(shí),,他們會當(dāng)作耳邊風(fēng)。不打補(bǔ)丁,,從而給企業(yè)的Web應(yīng)用安全留下隱患,。針對這種情況下,采取強(qiáng)制措施,,會更加的安全,。采取強(qiáng)制安裝時(shí),不會征詢用戶的意見,。只要管理人員認(rèn)為這個(gè)補(bǔ)丁重要,,那么客戶端在重新啟動后或者在線時(shí)就會強(qiáng)制安裝補(bǔ)丁。如果需要重新啟動的話,,也會先通知客戶端然后在一定的時(shí)間內(nèi)重新啟動,,以完成補(bǔ)丁的安裝工作。
不過對于補(bǔ)丁,,筆者還是要強(qiáng)調(diào)一點(diǎn),,就是補(bǔ)丁的兼容性。補(bǔ)丁一般分為操作系統(tǒng)的補(bǔ)丁和應(yīng)用程序的補(bǔ)丁,。通常情況下,,操作系統(tǒng)的補(bǔ)丁兼容性比較好,,與現(xiàn)有軟件發(fā)生沖突的情況比較少。但是應(yīng)用程序的補(bǔ)丁,,其兼容性就不怎么理想,。有些用戶,打上應(yīng)用程序的補(bǔ)丁之后,,會發(fā)現(xiàn)應(yīng)用程序運(yùn)行速度明顯變慢,、甚至無法啟動應(yīng)用程序的情況。這都是因?yàn)榧嫒菪圆缓脤?dǎo)致的,。為此在設(shè)計(jì)補(bǔ)丁解決方案時(shí),,需要做好兼容性方面的測試。如果給客戶端強(qiáng)制安裝了補(bǔ)丁,,但是發(fā)現(xiàn)與現(xiàn)有的應(yīng)用不兼容,,此時(shí)管理員就會搬起石頭砸自己的腳。對企業(yè)現(xiàn)有的應(yīng)用不利,。
總之,,筆者認(rèn)為針對漏洞的維護(hù),是應(yīng)對混合攻擊最有力的一種方式,。畢竟大部分的攻擊手段都是針對操作系統(tǒng)以及應(yīng)用程序現(xiàn)有的漏洞所展開的,。如果能夠?qū)⑦@些漏洞預(yù)先堵上,那么大部分的病毒,、木馬將望而興嘆,。
三、安全解決方案也需要集成
如果能夠?qū)⒏鱾€(gè)單獨(dú)的解決方案集成起來,,實(shí)現(xiàn)統(tǒng)一管理,,那么也可以很好的應(yīng)對混合攻擊。傳統(tǒng)的解決方案之所以無法應(yīng)對混合攻擊,,其最本質(zhì)的一個(gè)原因是各個(gè)解決方案各自為戰(zhàn),,成為了一個(gè)個(gè)安全的孤島。從而就會被混合攻擊各個(gè)擊破?,F(xiàn)在安全人員需要做的就是,,如何像軟件集成一樣,將各種各樣的解決方案集成起來,。
筆者這里建議大家使用模塊化的解決方案,。 筆者以前給客戶實(shí)施過APSolute安全解決方案,這就是一個(gè)模塊化的設(shè)計(jì)思路,。如企業(yè)現(xiàn)在可能只有電子郵件,、FTP服務(wù)器等簡單的信息化應(yīng)用。然后兩年之后,,又上了電子商務(wù),、企業(yè)門戶網(wǎng)站等信息化應(yīng)用,。針對這么多的信息化信用,該如何來防護(hù)混合式攻擊呢?
此時(shí)就可以采用模塊化的安全方案,。其原理其實(shí)比較簡單,。APSolute是一個(gè)安全解決方案的平臺。其主要用來包裝基礎(chǔ)方面的安全,。如網(wǎng)絡(luò)傳輸方面的安全等等,。簡單的說,就是用來解決一些共性的安全問題,。而不同的信息化應(yīng)用,,又會有各自的安全需求,。如郵件系統(tǒng)與企業(yè)的門戶網(wǎng)站,,其安全方面的需求就是不同的。此時(shí)企業(yè)就可以另外購買郵件系統(tǒng)安全解決方案(包括垃圾郵件,、病毒郵件的防護(hù)等等)和企業(yè)門戶網(wǎng)站安全解決方案(包括文件的安全等等),,然后像搭積木一般的,放置在安全平臺上,。此時(shí)由于是在同一個(gè)安全平臺上實(shí)現(xiàn)的,,為此不同的模塊與安全平臺之間有很好的兼容性。
四,、注意單個(gè)解決方案之間的交接點(diǎn)
其實(shí)各個(gè)單獨(dú)的解決方案之間也有重合的地方,。如防病毒軟件與防火墻,都有查殺病毒的功能,。但是在企業(yè)中,,這兩個(gè)解決方案仍然是無法相互替代的。這其實(shí)也是為了應(yīng)對混合攻擊的需求,。雖然不同的解決方案,,其會有重疊的地方。但是其核心的功能仍然是相互獨(dú)立的,,或者說并不是相互沖突的,。為了更好的應(yīng)對混合型的攻擊行為,安全人員要認(rèn)真審視這種安全邊際的行為,。如果這個(gè)安全邊際涉及到的領(lǐng)域,,比較重要,那么仍然需要采用專業(yè)的解決方案來執(zhí)行,,如病毒的防護(hù),。但是如果涉及的領(lǐng)域不是很重要,而且企業(yè)的資金也有限,,此時(shí)就可以使用這個(gè)安全邊際來暫時(shí)替代,。如企業(yè)對于郵件系統(tǒng)的安全級別并不是很高,,并且與Web應(yīng)用是集成的。在這種情況下,,就可以在Web安全解決方案中,,附帶的實(shí)現(xiàn)對郵件系統(tǒng)一定程度的防護(hù)。當(dāng)然,,這個(gè)防護(hù)效果肯定沒有專業(yè)的解決方案好,,如垃圾郵件過濾,不是很徹底等等,。