近幾年來，隨著網(wǎng)絡(luò)安全被提升至國(guó)家安全的戰(zhàn)略地位，對(duì)網(wǎng)絡(luò)安全的重視與投入亦已達(dá)到前所未有的高度。但與此同時(shí)，隨著網(wǎng)絡(luò)安全威脅態(tài)勢(shì)的愈加復(fù)雜，如今我們所面臨的安全形勢(shì)仍舊不太明朗。特別是在Web安全防護(hù)方面，網(wǎng)站的防護(hù)能力與高速發(fā)展的產(chǎn)業(yè)現(xiàn)狀之間形成了較大的反差。

網(wǎng)絡(luò)安全態(tài)勢(shì)仍不明朗 挑戰(zhàn)不容小覷

據(jù)《第37次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》的統(tǒng)計(jì)，目前中國(guó)網(wǎng)站總數(shù)為423萬個(gè)，較2014年增長(zhǎng)了88萬，年增長(zhǎng)率達(dá)到26.3%。中國(guó)網(wǎng)頁(yè)數(shù)量突破2000億。但與之相對(duì)應(yīng)的是，除去平時(shí)針對(duì)網(wǎng)站的一系列攻擊，每逢重大事件，國(guó)外黑客對(duì)國(guó)內(nèi)網(wǎng)站的攻擊更加猖狂。

盛邦安全通過大量黑客攻擊以及應(yīng)急事件的研究發(fā)現(xiàn)，用戶網(wǎng)站攻擊事件有以下幾個(gè)特征：1、業(yè)務(wù)系統(tǒng)與門戶網(wǎng)站一樣是黑客攻擊的目標(biāo);2、黑客利用多年前的漏洞卻能屢屢得手;3、黑客往往早就潛伏在了用戶系統(tǒng)中，伺機(jī)而動(dòng);4、被篡改、被掛馬的網(wǎng)站往往已經(jīng)部署了安全設(shè)備。

根據(jù)公安部、網(wǎng)信辦先后對(duì)全國(guó)政府網(wǎng)站(gov.cn域名)以及大量央企、省級(jí)門戶網(wǎng)站進(jìn)行監(jiān)測(cè)排查，自2013年到2015年，發(fā)現(xiàn)尚有76%政府網(wǎng)站存在安全隱患，部分網(wǎng)站的控制權(quán)限甚至可以被輕易獲取。

如上所述，如今網(wǎng)站安全所面臨的挑戰(zhàn)十分巨大。那么，我們又該如何應(yīng)對(duì)這一系列挑戰(zhàn)？在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上發(fā)表重要講話時(shí)曾指出：“維護(hù)網(wǎng)絡(luò)安全，首先要知道風(fēng)險(xiǎn)在哪里，是什么樣的風(fēng)險(xiǎn)，什么時(shí)候發(fā)生風(fēng)險(xiǎn)，正所謂‘聰者聽于無聲，明者見于未形’。感知網(wǎng)絡(luò)安全態(tài)勢(shì)是基礎(chǔ)的工作。”

在此背景下，WebRAY烽火臺(tái)—網(wǎng)站威脅預(yù)警與態(tài)勢(shì)感知平臺(tái)(Ray-SaaS)應(yīng)運(yùn)而生。

感知網(wǎng)絡(luò)安全態(tài)勢(shì)：治病先看病

根據(jù)WebRAY產(chǎn)品市場(chǎng)經(jīng)理李春鵬的介紹：所謂“治病先看病”，WebRAY烽火臺(tái)就是要通過技術(shù)手段來幫助客戶對(duì)網(wǎng)站進(jìn)行全面體檢，并持續(xù)監(jiān)控其健康狀態(tài)。做到“摸清家底、認(rèn)清風(fēng)險(xiǎn)、找出漏洞、通報(bào)結(jié)果” 從而讓客戶能夠有的放矢地進(jìn)行安全整改。

據(jù)悉，WebRAY烽火臺(tái)是通過沙箱技術(shù)、威脅情報(bào)、漏洞掃描等技術(shù)，以云SaaS形態(tài)為客戶提供主動(dòng)的網(wǎng)站安全監(jiān)控與檢測(cè)。盡管目前業(yè)界做監(jiān)控平臺(tái)的安全廠家不在少數(shù)，但能真正將三種技術(shù)融合在一起的廠商不超過三家。

通過WebRAY烽火臺(tái)，用戶可以做到全面掌握網(wǎng)站風(fēng)險(xiǎn)情況(漏洞、弱口令等);實(shí)時(shí)監(jiān)控網(wǎng)站安全狀態(tài)(可用性、釣魚、木馬、WebShell、暗鏈等);以及及時(shí)發(fā)現(xiàn)網(wǎng)站篡改事件。

兩大優(yōu)勢(shì)造就非凡能力

而之所以能做到以上幾點(diǎn)，這與WebRAY烽火臺(tái)—網(wǎng)站威脅預(yù)警與態(tài)勢(shì)感知平臺(tái)的自身的優(yōu)勢(shì)特點(diǎn)是分不開的。

首先是WebRAY烽火臺(tái)—網(wǎng)站威脅預(yù)警與態(tài)勢(shì)感知平臺(tái)的篡改監(jiān)控能力。篡改監(jiān)控的基本原理在于進(jìn)行遠(yuǎn)程對(duì)比。比如：遠(yuǎn)程掃描后，記錄本次網(wǎng)頁(yè)內(nèi)容為AABB，第二次掃描如果內(nèi)容變?yōu)锳ABC則會(huì)進(jìn)行告警。但由于正常網(wǎng)站更新也會(huì)報(bào)告，因此這種機(jī)制會(huì)導(dǎo)致誤報(bào)率較高。

據(jù)介紹，WebRAY通過兩項(xiàng)核心技術(shù)可以將誤報(bào)率降低至5%-6%：一是行為特征模型。例如：管理員更新內(nèi)容通常在上午9點(diǎn)到11點(diǎn)，如果監(jiān)測(cè)發(fā)現(xiàn)某次修改發(fā)送在凌晨2點(diǎn)，那這次修改為篡改的可能性更大。二是通過內(nèi)容匹配算法，不僅對(duì)比網(wǎng)頁(yè)的變化，而是識(shí)別內(nèi)容，并進(jìn)行非法庫(kù)的匹配。例如：掃描發(fā)現(xiàn)網(wǎng)頁(yè)修改中出現(xiàn)了“共產(chǎn)黨”，其它部分又出現(xiàn)XX不和諧詞語(yǔ)，系統(tǒng)會(huì)計(jì)算出一個(gè)△值，來進(jìn)行匹配判斷是否為篡改行為。這樣一方面提升掃描效率，一方面較大降低誤報(bào)率。

其次是烽火臺(tái)所具備的掃描能力。烽火臺(tái)核心價(jià)值之一就是能夠發(fā)現(xiàn)網(wǎng)站中存在的風(fēng)險(xiǎn)。目前，業(yè)界主要是通過漏掃掃描來實(shí)現(xiàn)這一價(jià)值的，但現(xiàn)有的監(jiān)控平臺(tái)類產(chǎn)品往往只考慮到了Web系統(tǒng)和操作系統(tǒng)的漏掃掃描，而中間件和數(shù)據(jù)庫(kù)卻往往問題頻發(fā)。WebRAY監(jiān)控預(yù)警平臺(tái)則提供覆蓋TCP/IP四層的漏洞掃描，杜絕存在安全短板。

“另外對(duì)于Web漏洞掃描，烽火臺(tái)還提供了廣度和深度兩種掃描方式，客戶可以根據(jù)自身網(wǎng)站特點(diǎn)進(jìn)行選擇。隨著互聯(lián)網(wǎng)的發(fā)展，Web 2.0逐漸興起， Flash也被廣泛應(yīng)用到網(wǎng)站上，而這些技術(shù)讓網(wǎng)站變得更美觀更適用的同時(shí)，其自身存在的漏洞也被不斷爆出，而業(yè)界80%以上監(jiān)控平的Web漏掃并不能識(shí)別這兩種技術(shù)，這都對(duì)檢查的全面性產(chǎn)生很大影響。我們經(jīng)過多年在Web 領(lǐng)域的深入研究，現(xiàn)可以完美識(shí)別Web 2.0以及Flash。” 李春鵬說道。

可見，WebRAY烽火臺(tái)正是通過一系列此類的技術(shù)能力來確保對(duì)于用戶網(wǎng)站的“體檢”能夠更加準(zhǔn)確更加全面。

全新理念快速部署  烽火臺(tái)保障web安全

為滿足不同用戶對(duì)于Web安全的防護(hù)需求，WebRAY烽火臺(tái)也面向公有云和私有云的不同需求，提供了兩種服務(wù)模式。

 “首先，面向公有云，烽火臺(tái)以‘互聯(lián)網(wǎng)+安全’的模式實(shí)現(xiàn)了平臺(tái)的快速部署，并且具備高性價(jià)比的特點(diǎn)。另一方面，烽火臺(tái)為政企私有云用戶提供了一系列前沿的Web治理理念，其中包括網(wǎng)站群備案管理，網(wǎng)址自動(dòng)學(xué)習(xí)與白名單控制，資產(chǎn)與風(fēng)險(xiǎn)管理，威脅情報(bào)，可視化威脅監(jiān)控等技術(shù)手段。”

不僅如此，“烽火臺(tái)”網(wǎng)站監(jiān)控預(yù)警平臺(tái)還從網(wǎng)絡(luò)安全意識(shí)培養(yǎng)層面入手，與原有的應(yīng)用防護(hù)系統(tǒng)形成有效互補(bǔ)，從而幫助監(jiān)管機(jī)構(gòu)或管理員能夠真正做到“先看病，再治病”。

“治病先看病”，正是通過上述先進(jìn)的技術(shù)手段和理念，WebRAY烽火臺(tái)正努力實(shí)踐著新安全威脅態(tài)勢(shì)下的web安全防護(hù)經(jīng)。

原文鏈接：http://sec.chinabyte.com/18/13782018.shtml