烽火臺是盛邦安全在網(wǎng)站風(fēng)險(xiǎn)管理與攻擊監(jiān)控領(lǐng)域打造的云服務(wù)平臺，該平臺是國家重大事件網(wǎng)絡(luò)安保的支撐平臺之一，能力得到有關(guān)部門的高度認(rèn)可。我們將通過“烽火十八臺”系列文章向您介紹烽火臺的服務(wù)能力，解決方案，成功案例，希望能夠?yàn)槟坌牟?ldquo;互聯(lián)網(wǎng)+”計(jì)劃盡一份力。

前不久，“永恒之藍(lán)“病毒肆虐整個互聯(lián)網(wǎng)，各網(wǎng)絡(luò)安全管理員們紛紛忙于打補(bǔ)丁、拔網(wǎng)線、做封堵，那種”想哭“的感覺還記憶猶新，那幅手忙腳亂的畫面還歷歷在目。網(wǎng)絡(luò)安全工作的重點(diǎn)已經(jīng)從“防御”一切可能的攻擊逐漸轉(zhuǎn)向提升應(yīng)對攻擊時(shí)的響應(yīng)速度，自動化的進(jìn)行網(wǎng)絡(luò)安全應(yīng)急處置成為網(wǎng)絡(luò)安全管理員的迫切需求。

2017年8月3日，公安部在全國范圍內(nèi)組織開展了“網(wǎng)站一鍵關(guān)停”演練，即在指定時(shí)間內(nèi)對網(wǎng)站快速關(guān)停處置進(jìn)行演練。這是一次實(shí)戰(zhàn)性的網(wǎng)絡(luò)安全應(yīng)急演練?！毒W(wǎng)絡(luò)安全法》第五章 監(jiān)測預(yù)警與應(yīng)急處置 第五十三條 明確規(guī)定：國家網(wǎng)信部門協(xié)調(diào)有關(guān)部門建立健全網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估和應(yīng)急工作機(jī)制，制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期組織演練。網(wǎng)絡(luò)安全管理員在發(fā)生網(wǎng)絡(luò)安全事件時(shí)，快速的對網(wǎng)站群中的特定網(wǎng)站進(jìn)行關(guān)停的需求也日驅(qū)強(qiáng)烈。

WebRAY針對廣大用戶需求，在烽火臺監(jiān)控預(yù)警平臺中提供了針對性的一鍵下線功能，可通過定義網(wǎng)絡(luò)安全事件或漏洞等規(guī)則，自動化地將網(wǎng)站群中的網(wǎng)站進(jìn)行快速關(guān)停下線，大大方便管理員的操作，將管理員從繁雜的處置設(shè)置工作中解放出來。

烽火臺監(jiān)控預(yù)警平臺一鍵關(guān)停/一鍵下線流程圖

一鍵下線/一鍵關(guān)停設(shè)置步驟

烽火臺監(jiān)控預(yù)警平臺只需要2步即可完成自動下線規(guī)則設(shè)置。

首先，設(shè)置一鍵關(guān)停條件?？芍С职l(fā)現(xiàn)webshell攻擊、網(wǎng)頁篡改、網(wǎng)頁敏感詞、網(wǎng)頁暗鏈、WEB漏洞和系統(tǒng)漏洞多種關(guān)停條件。以掃描出WEB漏洞為例。

可進(jìn)一步設(shè)置細(xì)顆粒度的關(guān)停條件，如發(fā)現(xiàn)注入漏洞時(shí)進(jìn)行關(guān)停。如下圖所示 

其次，設(shè)置關(guān)停阻斷方式。烽火臺平臺可支持發(fā)送RST報(bào)文自動阻斷和通過其他設(shè)備平臺聯(lián)動阻斷兩種方式進(jìn)行關(guān)停。

方式1：根據(jù)設(shè)定的關(guān)停規(guī)則，烽火臺預(yù)警平臺自動發(fā)送RST報(bào)文達(dá)到關(guān)停目的。

方法2：通過其他設(shè)備平臺聯(lián)動，將關(guān)停指令下發(fā)至WAF/IDP/ADS等設(shè)備進(jìn)行關(guān)停。目前WebRAY支持國內(nèi)數(shù)十款防護(hù)產(chǎn)品聯(lián)動。

結(jié)束語:

網(wǎng)絡(luò)安全工作正在從過去的“防護(hù)”為核心向兩個方向轉(zhuǎn)移，一個方向是向前，強(qiáng)調(diào)對于攻擊事件發(fā)生之前，進(jìn)行風(fēng)險(xiǎn)管理和威脅預(yù)警，盡量降低網(wǎng)站被攻擊的可能性。一個方向是向后，強(qiáng)調(diào)對于攻擊事件發(fā)生后的及時(shí)發(fā)現(xiàn)和快速響應(yīng)能力，盡量降低攻擊造成的影響。網(wǎng)站大檢查常態(tài)化趨勢，監(jiān)管部門監(jiān)測任務(wù)日趨繁瑣。一方面是因?yàn)榫W(wǎng)絡(luò)安全的形式日益嚴(yán)峻，網(wǎng)站所面臨的攻擊越來越多，而且互聯(lián)網(wǎng)服務(wù)平臺也越來越多，互聯(lián)網(wǎng)網(wǎng)站是網(wǎng)絡(luò)攻擊的焦點(diǎn)，與其僅靠人工方式日常檢查或應(yīng)急保障現(xiàn)場排查等方式，不如引入常態(tài)機(jī)制更加有效；另一方面就是攻擊往往不是發(fā)生在一個時(shí)點(diǎn)，而是一個長期的復(fù)雜行為，很多時(shí)候攻擊所利用的后門都是較長時(shí)間以前就植入在服務(wù)器里的，所以日常監(jiān)測工作要常抓不懈。綜上，針對互聯(lián)網(wǎng)服務(wù)平臺及門戶網(wǎng)站檢查工作，行業(yè)與地方監(jiān)管部門，建立一套常態(tài)化的利用自動化手段的檢查與監(jiān)測技術(shù)支撐平臺，迫在眉睫。