新一代Web安全治理体系让“我的地盘我做主”不再只是梦
每个人都有自己的梦想,这个梦想或大或小,这个梦想或虚幻或真实。现实生活中,我们总会有想要改变现状的小梦想。要么是去风景秀丽的地方旅游,要么是期待自己能够加薪,要么是让自己的工作更加的顺心如意,要么……
拿就职于某大型企业的安全管理员小张来说,他就一直有个非常实际的梦想。公司曾被攻击者多次针对WEB发起攻击,尤其是网站被篡改多次而不曾及时发现。公司网站多且分散,无法管理。作为公司的安全管理员,小张梦想着能够:
◆我的地盘我做主;
◆什么系统上线我说了算;
◆系统在哪里我都知道;
◆系统干了什么我都了解;
◆系统有什么弱点我都清楚;
◆出了任何问题立刻定位;
◆找得到人,断得了网。
然而,现实却是这样的:
◆都说是我的地盘,可我做不了主
◆线上有哪些系统真是不知道
◆系统在哪里,归谁管我也不清楚
◆这系统有什么漏洞,都干了什么我更不清楚
◆出了事了,都来找我,可我该找谁?
◆断网?连系统在哪都不知道,怎么断网?
小张只想说:“这梦想与现实的差距太大了,谁能救救我?”
如何才能让他梦想成真?
近日,盛邦安全产品经理李春鹏参加了由51CTO举办的WOTA峰会,他表示,像小张遇到的这种情况很普遍,并非个例。随着互联网的发展,越来越多的业务依托于Web系统。虽然很多的企业都非常注重Web安全,但是大多把注意力放到了防护上,而忽视Web系统的安全管理。目前,使用权与管理权的分离导致了Web系统的治理问题尤为突出,例如:私搭乱建、网站无法及时退运、缺乏审核手段等都可能给黑客攻击以可乘之机。
李春鹏强调说:“安全是动态改变的,Web安全在朝两个方向发展,一个是安全防护之前的风险控制,在攻击到来之前尽可能降低系统受到攻击的可能性。另一个是安全防护之后的感知,通过检测及时发现网络受到的攻击,及时告警和溯源,形成完善的安全体系。三分技术,七分管理。在做好安全防护的同时,也要做好管理。”
因此,Web安全不能仅做针对外部的防护,也应注重内部的治理,Web安全=治理+防护。
盛邦安全产品经理李春鹏
目前,企业通用的方式是通过IP,或者DNS解析来控制网站能否对外提供服务。但是以IP形式进行网站控制,安全管理人员无法统计到这个IP上运行着多少网站,开通了多少服务。此外,很多网站管理者在解析服务器上配置的是泛解析,这样导致通过二级或者三级域名建立的网站无法统计到。这就最终导致了企业无法“摸清家底”,留下了安全隐患。
针对Web安全治理问题,虽然运维人员很重视,但是往往缺少一种有效的手段。安全管理人员要想全面的了解公司系统安全情况,实现对Web系统的可知、可感、可查和可控,需要对整个Web系统的全生命周期进行管理,建立新一代Web安全治理体系。依托于多年在Web安全领域所积累的丰富经验,盛邦安全总结出了以下Web安全治理思路:
第一步,自动学习所有在运站点。这是Web安全治理第一步,要“摸清家底”。通过技术手段分析镜像流量进行Web资产自学习,识别包括IP、域名、端口、网站名称等信息。从而及时了解网络中有哪些网站及业务系统在提供服务,自动识别疑似不合规Web系统。
第二步,建立在线得网站安全准入机制,对所有Web系统备案、评估后再允许对外服务。备案管理:提供公安备案管理以及组织自用备案管理系统,明确各Web系统的所有人、用途等各类信息。并提供备案申请、备案审核等流程。
第三步,建立网站运营日常监控机制,对运营系统持续进行安全巡检,包括流量被动检测。对网站进行安全检测的主要内容包含:网站篡改监控,暗链/黑链检测,敏感词的监控,Web漏洞检测、系统漏洞检测、后门扫描、网络钓鱼检测、网站木马和弱口令检测等。
第四步,一键断网+安全设备联动,实行有效地应急和处理机制,对发现的不合规或不安全的Web站点进行阻断。并可配合微信进行智能阻断。
最终,结合流量分析、指纹分析、报表功能和漏洞管理等其他安全能力,从网站诞生到结束形成一个闭环,实现Web系统的全生命安全周期管理。
基于以上Web安全治理思路,盛邦安全研发了RayGateWeb安全治理平台。该平台是以符合四部委联合发布的《党政机关、事业单位和国有企业互联网网站安全专项整治行动方案》(简称2562号文件)为出发点,针对园区网、云计算中心、行业垂直网络及政府横向网络等场景,解决网站及业务系统使用权和管理权分离导致运维过程之中的问题而精心研发的一款治理型平台类产品。
“RayGate具有对内部网站的自学习能力,免去人工添加的烦恼,并可有效发现私建网站及僵尸网站。其采用旁路部署,而且上线简单,不影响网络拓扑,可实现三级部署及管理。而且,每四个月,我们就会对RayGate进行快速的迭代升级。从而保证该产品满足用户的需求,并最大化的帮助他们提升工作效率。” 李春鹏说。