攻略:为何你中招,如何不再中招?
如果你曾经不小心遇到上述问题,可能不是你运气差。绿盟科技告诉雷锋网,通过对200余个单位的网站安全管理情况进行了调研分析,他们发现了这些问题:
在基础管理方面,虽然目前有95%的单位有专人负责安全运维工作,但是超过5人的安全团队不足20%,同时有将近一半的单位缺失安全制度及应急响应流程。意思是,大事不好了,然而网站运维也蒙圈了。
在资产管理方面,有将近50%的单位没有进行网站资产的定期梳理,导致很多新建站点数据库等端口在公网暴露,往往这些单位也不清楚下辖单位的网站资产全集。同时,有70%以上网站都是外包建站,40%以上是外包运营,如果对于外包过程掌控不足,很容易留下大量安全隐患。意思是,我把内衣、底裤都挂到摄像头下了,还特别喜欢找别人帮我晾衣服,被拿走了都不知道。
在建站开发方面,使用第三方软件框架种类繁多,有各类开源服务器(如apache、
Lighttpd等)、开源数据库(如mysql、PostgreSQL等)、开源论坛框架(如phpwind、phpcms等)等,这些开源产品如果不能很好地管理,会导致大量配置相关的风险隐患。
在漏洞管理方面,有将近40%的单位认为高危漏洞处于个位数,但事实比这糟糕得多,
有61%的单位低估了漏洞的数量以及危害,另外96%的单位在彻底修复漏洞前没有
做任何漏洞防御措施。意思是,狼来了,但是以为羊来了。
在威胁管理方面,仅有6%的单位能对扫描行为和模拟的攻击行为进行拦截。在事件管理方面,仅有20%的单位明确进行了网站各类事故的监测,其余各单位有将近一半反馈没有做网站事故灾害监测,而另一半则不确认本单位是否做了安全事故灾害监测。
为此,除了建立健全安全管理组织形式,明确清晰安全管理工作职责,构建落实安全管理体系框架,绿盟科技着重建议建立完善安全管理运营流程。
以监测、发现、与处理一项网站漏洞为例,以下为高能实操攻略:
1.如何发现漏洞这个小妖精?办法一,日常漏洞监测与扫描。这其中包含Web漏洞和系统漏洞的监测与发现,由于网站安全漏洞会不断被发现和公开,所以使用扫描设备对网站漏洞进行监测是个持续的过程,并且需要纳入到日常管理工作范畴。
办法二,紧急漏洞通告的舆情监测。紧急漏洞通告一般是指业内将漏洞及漏洞验证代码同时公开的漏洞,这些漏洞往往有高风险、波及范围广、对应的攻击代码传播快的特点。通常在紧急漏洞公开之前或公开的同一天会出现利用该漏洞的攻击工具。所以,对一些第三方的漏洞通报平台、各安全厂商发布紧急漏洞信息的平台、各类黑客论坛进行情报监测。
2.发现漏洞以后怎么办?发现漏洞以后,需要对漏洞进行验证和分析,验证过程通常是根据漏洞详情验证漏洞的真伪,扫描设备、各类漏洞通告有较高的频率出现误报,所以在发现漏洞后首先要对漏洞进行验证,确认网站系统是否存在漏洞或受到漏洞的影响。
在确认漏洞的真伪后,通常对中高危漏洞需要优先分析,分析的目的在于确认漏洞被利用后会对资产或企业造成何种影响,相同的漏洞给不同的网站带来的风险是完全不同的,应该由网站维护人员和安全管理员共同判断。在对网站进行验证分析后,需要网站管理人员作出决策,凡有可能对网站造成机密性、完整性、可用性破坏的漏洞都应该考虑及时采取措施预防和修复。有部分不会对网站造成任何影响的漏洞可采取接受风险的策略。
3.漏洞未能修复之前怎么办?在漏洞未能修复之前采取的临时措施,通常是在漏洞修复之前采用技术手段将来自外部的风险(漏洞利用)屏蔽。这个过程可以通过修改Web程序来实现,也可以依赖于网站的防护设备,通过追加临时安全防护策略可以拦截外部攻击者利用漏洞的行为。
在漏洞预防策略实施后,需要再次通过人工方式或设备验证漏洞预防策略是否已生效。当然,漏洞预防措施的实施不代表漏洞不需要修复,因为来自内部的威胁照样存在,彻底解决的办法还是修复漏洞。如果发现漏洞后可以快速修复漏洞,甚至可以不采取漏洞预防的措施。
4.如何修复?针对网站已有的漏洞在技术上进行修复,根据不同种类的漏洞采取的手段各不相同,同一类型的漏洞也可以采用不同的手段修复和规避,降低风险。按照漏洞的几种常见类型,漏洞的修复方法可以按照如表所示:
