現在針對Web服務器的攻擊,往往會同時采用多種攻擊手段。如既有病毒攻擊、拒絕服務攻擊、,還有口令攻擊、路由攻擊等等多種方式。通常情況下,將同時具有多種攻擊手段的模式我們叫做混合攻擊。不過傳統的安全解決方案,一般只能夠對付單種攻擊手段。這就好像蛇情一樣,被不同的蛇咬了,要使用不同的蛇清。否則的話,不能夠起到解毒的作用。這也就對Web服務器的安全解決方案提出了新的要求。面對這種種的威脅,Web服務器該如何應對呢?對此,筆者有如下幾個建議。
一、圈地運動,已經無法滿足安全的需求
在傳統解決方案中,有一個比較顯著的特點,即搞圈地運動。如針對郵件,有一套郵件安全方案;針對FTP,有一個FTP安全解決方案。傳統安全解決方案,將IT領域根據其應用的不同,認為的劃分成一塊塊領域,然后再設計對應的安全措施。如果只針對一種攻擊行為,這種安全解決方案,固然有效。但是在混合式攻擊面前,這種圈地性質的解決方案,弊端就非常明顯了。因為攻擊者從一個方向攻擊不成,還可以從另一個方向攻擊。這種單獨的安全解決方案,無法做到面面俱到。為此企業Web應用的安全,不能夠再依靠防火墻等解決方案來做圈地式的保護運動。混合攻擊會借助病毒、木馬、惡意軟件、肉雞等攻擊方法,對系統、應用程序等漏洞,發起攻擊。從而在比較大的范圍內發起攻擊。
筆者建議,在應對混合攻擊方面,要有一個比較全面的規劃,而不是各種解決方案各自為戰。在實際工作中,我們可以選擇一種解決方案為主,然后其它解決方案為輔,設計一個從上到下的全面的防護措施。如針對Web應用,筆者就推薦企業,可以以Web防火墻為主、然后結合郵件安全策略、FTP安全策略、SSL加密機制等手段,組成一個比較綜合的安全防護網。
二、漏洞,攻擊的源頭
混合攻擊,其實是多種已知攻擊手段的組合。而現在已知的攻擊行為,90%以上是針對系統以及應用程序的漏洞展開的。俗話說,蒼蠅不叮無縫的蛋。在實際工作中,我們只要保證蛋沒有縫,那么蒼蠅也就沒這么好叮了。
故筆者建議,針對各種混合攻擊行為,最好的預防措施之一就是對系統以及應用程序打上對應的補丁。不過需要注意的是,這個補丁不光光是針對服務器,而且還包括用戶的客戶端。因為有時候攻擊者非常狡猾,如果服務器攻不下的話,他們可能會先對客戶端做文章。先把客戶端拿下,做為他們肉雞,然后再對服務器發起攻擊。大部分時候,從內部發起攻擊,要比外部發起攻擊更加容易。畢竟堡壘更容易從內部攻破。但是有時候客戶端的數量非常的多,對每臺客戶端進行補丁的管理比較困難。
在這里筆者推薦使用統一的補丁管理解決方案,如微軟的補丁維護方案。其原理比較簡單。先是用一臺補丁服務器,從微軟的官方網站下載最新的補丁。然后各個客戶端(包括用戶終端和服務器),每次啟動時從服務器上下載最新的補丁,并進行自動或者手工的安裝。如果企業的安全級別比較高,筆者這里建議采用強制安裝。有時候補丁安裝會比較麻煩,如安裝完之后還需要重新啟動。為此一些用戶會偷懶,當服務器提示需要安裝補丁時,他們會當作耳邊風。不打補丁,從而給企業的Web應用安全留下隱患。針對這種情況下,采取強制措施,會更加的安全。采取強制安裝時,不會征詢用戶的意見。只要管理人員認為這個補丁重要,那么客戶端在重新啟動后或者在線時就會強制安裝補丁。如果需要重新啟動的話,也會先通知客戶端然后在一定的時間內重新啟動,以完成補丁的安裝工作。
不過對于補丁,筆者還是要強調一點,就是補丁的兼容性。補丁一般分為操作系統的補丁和應用程序的補丁。通常情況下,操作系統的補丁兼容性比較好,與現有軟件發生沖突的情況比較少。但是應用程序的補丁,其兼容性就不怎么理想。有些用戶,打上應用程序的補丁之后,會發現應用程序運行速度明顯變慢、甚至無法啟動應用程序的情況。這都是因為兼容性不好導致的。為此在設計補丁解決方案時,需要做好兼容性方面的測試。如果給客戶端強制安裝了補丁,但是發現與現有的應用不兼容,此時管理員就會搬起石頭砸自己的腳。對企業現有的應用不利。
總之,筆者認為針對漏洞的維護,是應對混合攻擊最有力的一種方式。畢竟大部分的攻擊手段都是針對操作系統以及應用程序現有的漏洞所展開的。如果能夠將這些漏洞預先堵上,那么大部分的病毒、木馬將望而興嘆。
三、安全解決方案也需要集成
如果能夠將各個單獨的解決方案集成起來,實現統一管理,那么也可以很好的應對混合攻擊。傳統的解決方案之所以無法應對混合攻擊,其最本質的一個原因是各個解決方案各自為戰,成為了一個個安全的孤島。從而就會被混合攻擊各個擊破。現在安全人員需要做的就是,如何像軟件集成一樣,將各種各樣的解決方案集成起來。
筆者這里建議大家使用模塊化的解決方案。 筆者以前給客戶實施過APSolute安全解決方案,這就是一個模塊化的設計思路。如企業現在可能只有電子郵件、FTP服務器等簡單的信息化應用。然后兩年之后,又上了電子商務、企業門戶網站等信息化應用。針對這么多的信息化信用,該如何來防護混合式攻擊呢?
此時就可以采用模塊化的安全方案。其原理其實比較簡單。APSolute是一個安全解決方案的平臺。其主要用來包裝基礎方面的安全。如網絡傳輸方面的安全等等。簡單的說,就是用來解決一些共性的安全問題。而不同的信息化應用,又會有各自的安全需求。如郵件系統與企業的門戶網站,其安全方面的需求就是不同的。此時企業就可以另外購買郵件系統安全解決方案(包括垃圾郵件、病毒郵件的防護等等)和企業門戶網站安全解決方案(包括文件的安全等等),然后像搭積木一般的,放置在安全平臺上。此時由于是在同一個安全平臺上實現的,為此不同的模塊與安全平臺之間有很好的兼容性。
四、注意單個解決方案之間的交接點
其實各個單獨的解決方案之間也有重合的地方。如防病毒軟件與防火墻,都有查殺病毒的功能。但是在企業中,這兩個解決方案仍然是無法相互替代的。這其實也是為了應對混合攻擊的需求。雖然不同的解決方案,其會有重疊的地方。但是其核心的功能仍然是相互獨立的,或者說并不是相互沖突的。為了更好的應對混合型的攻擊行為,安全人員要認真審視這種安全邊際的行為。如果這個安全邊際涉及到的領域,比較重要,那么仍然需要采用專業的解決方案來執行,如病毒的防護。但是如果涉及的領域不是很重要,而且企業的資金也有限,此時就可以使用這個安全邊際來暫時替代。如企業對于郵件系統的安全級別并不是很高,并且與Web應用是集成的。在這種情況下,就可以在Web安全解決方案中,附帶的實現對郵件系統一定程度的防護。當然,這個防護效果肯定沒有專業的解決方案好,如垃圾郵件過濾,不是很徹底等等。
原文鏈接:http://safe.it168.com/a2011/0117/1150/000001150963_all.shtml
