現(xiàn)在針對(duì)Web服務(wù)器的攻擊,往往會(huì)同時(shí)采用多種攻擊手段。如既有病毒攻擊、拒絕服務(wù)攻擊、,還有口令攻擊、路由攻擊等等多種方式。通常情況下,將同時(shí)具有多種攻擊手段的模式我們叫做混合攻擊。不過傳統(tǒng)的安全解決方案,一般只能夠?qū)Ω秵畏N攻擊手段。這就好像蛇情一樣,被不同的蛇咬了,要使用不同的蛇清。否則的話,不能夠起到解毒的作用。這也就對(duì)Web服務(wù)器的安全解決方案提出了新的要求。面對(duì)這種種的威脅,Web服務(wù)器該如何應(yīng)對(duì)呢?對(duì)此,筆者有如下幾個(gè)建議。
一、圈地運(yùn)動(dòng),已經(jīng)無法滿足安全的需求
在傳統(tǒng)解決方案中,有一個(gè)比較顯著的特點(diǎn),即搞圈地運(yùn)動(dòng)。如針對(duì)郵件,有一套郵件安全方案;針對(duì)FTP,有一個(gè)FTP安全解決方案。傳統(tǒng)安全解決方案,將IT領(lǐng)域根據(jù)其應(yīng)用的不同,認(rèn)為的劃分成一塊塊領(lǐng)域,然后再設(shè)計(jì)對(duì)應(yīng)的安全措施。如果只針對(duì)一種攻擊行為,這種安全解決方案,固然有效。但是在混合式攻擊面前,這種圈地性質(zhì)的解決方案,弊端就非常明顯了。因?yàn)楣粽邚囊粋€(gè)方向攻擊不成,還可以從另一個(gè)方向攻擊。這種單獨(dú)的安全解決方案,無法做到面面俱到。為此企業(yè)Web應(yīng)用的安全,不能夠再依靠防火墻等解決方案來做圈地式的保護(hù)運(yùn)動(dòng)。混合攻擊會(huì)借助病毒、木馬、惡意軟件、肉雞等攻擊方法,對(duì)系統(tǒng)、應(yīng)用程序等漏洞,發(fā)起攻擊。從而在比較大的范圍內(nèi)發(fā)起攻擊。
筆者建議,在應(yīng)對(duì)混合攻擊方面,要有一個(gè)比較全面的規(guī)劃,而不是各種解決方案各自為戰(zhàn)。在實(shí)際工作中,我們可以選擇一種解決方案為主,然后其它解決方案為輔,設(shè)計(jì)一個(gè)從上到下的全面的防護(hù)措施。如針對(duì)Web應(yīng)用,筆者就推薦企業(yè),可以以Web防火墻為主、然后結(jié)合郵件安全策略、FTP安全策略、SSL加密機(jī)制等手段,組成一個(gè)比較綜合的安全防護(hù)網(wǎng)。
二、漏洞,攻擊的源頭
混合攻擊,其實(shí)是多種已知攻擊手段的組合。而現(xiàn)在已知的攻擊行為,90%以上是針對(duì)系統(tǒng)以及應(yīng)用程序的漏洞展開的。俗話說,蒼蠅不叮無縫的蛋。在實(shí)際工作中,我們只要保證蛋沒有縫,那么蒼蠅也就沒這么好叮了。
故筆者建議,針對(duì)各種混合攻擊行為,最好的預(yù)防措施之一就是對(duì)系統(tǒng)以及應(yīng)用程序打上對(duì)應(yīng)的補(bǔ)丁。不過需要注意的是,這個(gè)補(bǔ)丁不光光是針對(duì)服務(wù)器,而且還包括用戶的客戶端。因?yàn)橛袝r(shí)候攻擊者非常狡猾,如果服務(wù)器攻不下的話,他們可能會(huì)先對(duì)客戶端做文章。先把客戶端拿下,做為他們?nèi)怆u,然后再對(duì)服務(wù)器發(fā)起攻擊。大部分時(shí)候,從內(nèi)部發(fā)起攻擊,要比外部發(fā)起攻擊更加容易。畢竟堡壘更容易從內(nèi)部攻破。但是有時(shí)候客戶端的數(shù)量非常的多,對(duì)每臺(tái)客戶端進(jìn)行補(bǔ)丁的管理比較困難。
在這里筆者推薦使用統(tǒng)一的補(bǔ)丁管理解決方案,如微軟的補(bǔ)丁維護(hù)方案。其原理比較簡單。先是用一臺(tái)補(bǔ)丁服務(wù)器,從微軟的官方網(wǎng)站下載最新的補(bǔ)丁。然后各個(gè)客戶端(包括用戶終端和服務(wù)器),每次啟動(dòng)時(shí)從服務(wù)器上下載最新的補(bǔ)丁,并進(jìn)行自動(dòng)或者手工的安裝。如果企業(yè)的安全級(jí)別比較高,筆者這里建議采用強(qiáng)制安裝。有時(shí)候補(bǔ)丁安裝會(huì)比較麻煩,如安裝完之后還需要重新啟動(dòng)。為此一些用戶會(huì)偷懶,當(dāng)服務(wù)器提示需要安裝補(bǔ)丁時(shí),他們會(huì)當(dāng)作耳邊風(fēng)。不打補(bǔ)丁,從而給企業(yè)的Web應(yīng)用安全留下隱患。針對(duì)這種情況下,采取強(qiáng)制措施,會(huì)更加的安全。采取強(qiáng)制安裝時(shí),不會(huì)征詢用戶的意見。只要管理人員認(rèn)為這個(gè)補(bǔ)丁重要,那么客戶端在重新啟動(dòng)后或者在線時(shí)就會(huì)強(qiáng)制安裝補(bǔ)丁。如果需要重新啟動(dòng)的話,也會(huì)先通知客戶端然后在一定的時(shí)間內(nèi)重新啟動(dòng),以完成補(bǔ)丁的安裝工作。
不過對(duì)于補(bǔ)丁,筆者還是要強(qiáng)調(diào)一點(diǎn),就是補(bǔ)丁的兼容性。補(bǔ)丁一般分為操作系統(tǒng)的補(bǔ)丁和應(yīng)用程序的補(bǔ)丁。通常情況下,操作系統(tǒng)的補(bǔ)丁兼容性比較好,與現(xiàn)有軟件發(fā)生沖突的情況比較少。但是應(yīng)用程序的補(bǔ)丁,其兼容性就不怎么理想。有些用戶,打上應(yīng)用程序的補(bǔ)丁之后,會(huì)發(fā)現(xiàn)應(yīng)用程序運(yùn)行速度明顯變慢、甚至無法啟動(dòng)應(yīng)用程序的情況。這都是因?yàn)榧嫒菪圆缓脤?dǎo)致的。為此在設(shè)計(jì)補(bǔ)丁解決方案時(shí),需要做好兼容性方面的測(cè)試。如果給客戶端強(qiáng)制安裝了補(bǔ)丁,但是發(fā)現(xiàn)與現(xiàn)有的應(yīng)用不兼容,此時(shí)管理員就會(huì)搬起石頭砸自己的腳。對(duì)企業(yè)現(xiàn)有的應(yīng)用不利。
總之,筆者認(rèn)為針對(duì)漏洞的維護(hù),是應(yīng)對(duì)混合攻擊最有力的一種方式。畢竟大部分的攻擊手段都是針對(duì)操作系統(tǒng)以及應(yīng)用程序現(xiàn)有的漏洞所展開的。如果能夠?qū)⑦@些漏洞預(yù)先堵上,那么大部分的病毒、木馬將望而興嘆。
三、安全解決方案也需要集成
如果能夠?qū)⒏鱾€(gè)單獨(dú)的解決方案集成起來,實(shí)現(xiàn)統(tǒng)一管理,那么也可以很好的應(yīng)對(duì)混合攻擊。傳統(tǒng)的解決方案之所以無法應(yīng)對(duì)混合攻擊,其最本質(zhì)的一個(gè)原因是各個(gè)解決方案各自為戰(zhàn),成為了一個(gè)個(gè)安全的孤島。從而就會(huì)被混合攻擊各個(gè)擊破。現(xiàn)在安全人員需要做的就是,如何像軟件集成一樣,將各種各樣的解決方案集成起來。
筆者這里建議大家使用模塊化的解決方案。 筆者以前給客戶實(shí)施過APSolute安全解決方案,這就是一個(gè)模塊化的設(shè)計(jì)思路。如企業(yè)現(xiàn)在可能只有電子郵件、FTP服務(wù)器等簡單的信息化應(yīng)用。然后兩年之后,又上了電子商務(wù)、企業(yè)門戶網(wǎng)站等信息化應(yīng)用。針對(duì)這么多的信息化信用,該如何來防護(hù)混合式攻擊呢?
此時(shí)就可以采用模塊化的安全方案。其原理其實(shí)比較簡單。APSolute是一個(gè)安全解決方案的平臺(tái)。其主要用來包裝基礎(chǔ)方面的安全。如網(wǎng)絡(luò)傳輸方面的安全等等。簡單的說,就是用來解決一些共性的安全問題。而不同的信息化應(yīng)用,又會(huì)有各自的安全需求。如郵件系統(tǒng)與企業(yè)的門戶網(wǎng)站,其安全方面的需求就是不同的。此時(shí)企業(yè)就可以另外購買郵件系統(tǒng)安全解決方案(包括垃圾郵件、病毒郵件的防護(hù)等等)和企業(yè)門戶網(wǎng)站安全解決方案(包括文件的安全等等),然后像搭積木一般的,放置在安全平臺(tái)上。此時(shí)由于是在同一個(gè)安全平臺(tái)上實(shí)現(xiàn)的,為此不同的模塊與安全平臺(tái)之間有很好的兼容性。
四、注意單個(gè)解決方案之間的交接點(diǎn)
其實(shí)各個(gè)單獨(dú)的解決方案之間也有重合的地方。如防病毒軟件與防火墻,都有查殺病毒的功能。但是在企業(yè)中,這兩個(gè)解決方案仍然是無法相互替代的。這其實(shí)也是為了應(yīng)對(duì)混合攻擊的需求。雖然不同的解決方案,其會(huì)有重疊的地方。但是其核心的功能仍然是相互獨(dú)立的,或者說并不是相互沖突的。為了更好的應(yīng)對(duì)混合型的攻擊行為,安全人員要認(rèn)真審視這種安全邊際的行為。如果這個(gè)安全邊際涉及到的領(lǐng)域,比較重要,那么仍然需要采用專業(yè)的解決方案來執(zhí)行,如病毒的防護(hù)。但是如果涉及的領(lǐng)域不是很重要,而且企業(yè)的資金也有限,此時(shí)就可以使用這個(gè)安全邊際來暫時(shí)替代。如企業(yè)對(duì)于郵件系統(tǒng)的安全級(jí)別并不是很高,并且與Web應(yīng)用是集成的。在這種情況下,就可以在Web安全解決方案中,附帶的實(shí)現(xiàn)對(duì)郵件系統(tǒng)一定程度的防護(hù)。當(dāng)然,這個(gè)防護(hù)效果肯定沒有專業(yè)的解決方案好,如垃圾郵件過濾,不是很徹底等等。