安全观察:企业web安全防护何去何从?

      2008年,中国信息安全经历了前所未有的考验,病毒木马数量倍数激增,攻击手段日新月异,第三方应用程序漏洞威胁加剧,2008新形势下的信息安全注定值得各方总结思考。信息化的时代,企业、个人与互联网之间的融合,让各种信息通过网络被快速传播与共享,随之而来的风险让web安全成为2008年被关注的话题。趋势科技CTO Raimund Genes曾表示,基于Web的威胁将成为2008年的最大安全威胁,事实验证了专家的预判,。Web安全将给我们带来哪些启示?未来我们又将如何去应对?

  什么是Web安全?

  Web安全并没有一个明确的概念。要理解web安全,首先需要了解什么是web。World Wide Web,简称WWW,是英国人TimBerners-Lee 1989年发明的。通过WEB,互联网上的资源,可以在一个网页里比较直观的表示出来;而且资源之间,在网页上可以互联。因此,基于网页及网页所连接的各种资源的安全性问题就构成了web安全的实体。

  随着互联网与用户结合的日益紧密,web安全在如今信息化时代的意义也就显得越发重要。

  Web安全要防什么?

  Web安全由于其平台的特殊性,通常归纳为网站安全、数据安全以及web平台上运行的应用安全三大类。企业要做到全面的web安全防护,不仅仅要保证企业边界安全防护,更要对企业内部网络运维进行有效的管控。然而如今的web安全现状并不理想,web安全防护还没有引起企业的广泛关注,或者并不清楚如何去保证企业的web安全。

  Web安全现状

  即将过去的2008年,web安全可以留给我们思考的内容很多。浏览器漏洞、Adobe Flash漏洞、ActiveX漏洞、SQL注入式攻击、Adobe Acrobat阅读器漏洞、CMS漏洞、Apple QuickTime漏洞、Web2.0元素(如API应用、网络广告等)、Realplayer漏洞和DNS缓存漏洞等,基于以上漏洞的每一种攻击行为都会使企业管理者感觉到来自web安全压力在增大。漏洞的增加最明显的体现即是病毒木马数量的剧增。

  国内信息安全厂商瑞星11月份报告统计显示,2008年的前10个月,互联网上共出现新病毒9306985个,是去年同期的12.16倍,木马病毒和后门程序之和超过776万,占总体病毒的83.4%,病毒数量呈现出了井喷式爆发。

  是什么造成了病毒木马的J曲线增长?其首要原因是由于巨额的经济利益的趋势;其次,病毒木马的机械化生产更加便利快捷,一种新的病毒变种对于非计算机专业人士而言不再神秘;再其次,病毒木马可利用的途径增加,过去主要利用系统漏洞的传播方式,已经被利用第三方应用程序的方式所取代,以机器狗为例,正是利用多种已知漏洞在网络中疯狂传播。

  病毒快速增长的同时,我们注意到网站自身的安全威胁也在增加。国内信息安全厂商启明星辰产品经理吴凡表示,“2008年出现的Web安全事件多以SQL注入和XSS攻击为主,尤其表现得明显的是网页挂马这一攻击形式愈发显著。此外中国大陆地区.gov.cn网站被攻击的比例高达6.45%。”这一数据表明政府机关网站的安全建设普遍不足的隐患。然而威胁远不止如此。

  2008年,Web 2.0 及 “合法” 网站成为信息窃取等信息安全犯罪的新平台。75%的恶意攻击来源于合法、可信赖、拥有良好信誉的网站。

  根据Websense安全实验室最新发布的报告,最受关注的Top100网站中大部分是门户网站、Web2.0以及搜索类网站,这几种类型代表了当前网站的典型形式,同时也成为攻击者关注的焦点。借助这些网站庞大的数据库、良好的信誉和对Web2.0应用的有力支持,这些网站为那些恶意程序的制造者创造了大量的机会。

  2008年上半年,Websense所分类的网站中,75%以上的网站已被黑客们利用,这些网站均拥有高可信赖度和良好的信誉。相比于2007年,该数据增幅高达50%。

  研究人员发现29%的恶意攻击中包含数据窃取程序,这表明攻击者已经将窃取核心机密数据和信息作为其主要目标。

2008年病毒木马增长曲线

  2007年公布的美国零售巨头TJX公司数据泄露事件,导致该公司9400多万用户账户受影响。这起事件至少导致在13个国家发生了大量的信用卡和借记卡诈骗案件,仅Visa卡用户的损失就超过6800万美元。事实证明企业数据泄露对企业用户的打击都是致命的。

 

      如何应对web安全挑战

  web安全事件的严重性,已经引起了各方的高度关注,如何防范web安全威胁是用户对信息安全厂商提出的新的课题。

  针对应用威胁加剧,漏洞曝光及利用速度加快, Websense高级安全顾问陈纲表示,“首先,需要不断强化对当前Web安全威胁方式和手段的深入研究,并加强对其发展态势的大胆预测。深化对Web安全攻击行为的理解,在第一时间发现并阻止攻击事件的发生;其次,我们借助“蜜罐”技术和模拟实验操作,力争在黑客攻击之前发现用户系统存在的漏洞,及时帮助其做好防范工作,避免遭受攻击;第三,Websense会从物理部署和软件功能等方面不断改进。目前Websense采用的结合网关部署方式可利用网关设备和Web安全防御方案联动的方式进行,客户的请求将由网关设备转交给Web安全防御产品处理,再决定用户的请求是否被允许,这样一方面降低了整个网页的本地分析所带来的时间和资源占用,另一方面可确保企业用户系统的安全。”

  启明星辰表示,“先出现问题后升级补丁,总是会滞后于攻击,而且对于变种也缺乏及时的防护能力,所以应对应用安全威胁,需要从威胁原理、攻击手法角度出发,而不是从攻击数据特征出发。这就对安全厂商的漏洞发掘和分析能力提出了更高的要求;此外,还需要遵循要事第一的原则,Web安全威胁虽然种类繁多,但究其根本,发生最为频繁的不外乎SQL注入和XSS攻击,防御好这两种占70%以上的攻击行为,是做好Web安全防护的基础。”

  北京网康科技表示,“目前95%以上的病毒都是web访问引起的。用户浏览了有问题的网页而感染病毒,之后病毒在局域网中通过操作系统漏洞、USB存储设备、共享目录等方式传播。因此,把好web浏览安全防御这一道关口,是降低病毒传播几率、提升内网整体安全最必要而且最有效的措施。网康ICG采用URL预分类技术,根据中国用户习惯进行全面采集、多级分类,并生成URL分类数据库。有针对性的控制用户对存在安全隐患网站的访问。”

  Hillstone表示,“目前利用Web传播的病毒、木马、蠕虫、钓鱼软件构成了主要的web安全威胁。解决这些问题的有效途径是搭建一个防病毒体系,做为解决Web安全威胁的防病毒体系的首要的第一关是部署防病毒网关。”

  各家的观点让我们注意到,部署web安全网关是企业有效阻断信息安全威胁最有效途径。然而,不少用户在实际使用中却遭遇了一系列新的难题,多核、云安全等新的安全技术给用户带来了意想不到的困扰。

  Web安全面临的新挑战

  2008年对于web安全来说最热门的话题无疑是“多核”与“云安全”。多核是确保web安全网关高效稳定的有效条件之一;云安全是将用户所面临的安全风险,快速的传递给云集群做运算处理,并及时反馈给用户,帮助用户在最短时间内响应安全事件,同时减轻用户客户端的压力。然而在技术实现上,不论“多核”还是“云安全”都将面对新的挑战。

  多核不是简单的CPU组合

  我们看到安全网关在追求高性能的同时,大多开始采用基于多核的基础架构,Web安全网关、防火墙、UTM在多核的帮助下,突破万兆已经成为现实。市面上被广泛采用的多核CPU主要集中在两个品牌Cavium和RMI。其中,Cavium的多核MIPS64处理器,最多支持16核,是纯粹的多核处理器;RMI的多线程处理器,拥有8个核,每个核4线程,共32个线程,是多核多线程处理器。

  有了多核处理器是否安全网关的性能真的就真的可以实现快速的安全响应?Anchiva CEO李松表示,“有了多核处理器,web安全网关还需要在底层协议以及平台兼容性方面去做改进。”

  简言之,HTTP的处理性能很大程度要依赖TCP/IP协议的处理能力,因此对底层协议的重写或优化是保证web安全效率的前提;其次,X86、NP以及多核平台差异化大,统一的软件平台很难满足用户需求,同时多核需要去解决高效的并行处理与响应优先级,因此不但需要优化底层代码也需要对上层应用协议进行管理。正如,Anchiva研发副总裁郑国权所言,“高效的web安全网关并不是相对简单的多核架构就可以实现的。”

  云安全及时响应才是关键

  云安全在云计算被IBM、Google以及微软热炒之后迅速在安全领域成为焦点,然而云安全与云计算还是有很大的区别的。云安全依然需要用户有客户端软件做支持,云安全的威胁响应依然存在很大的时间空白,同时在智能化方面也必须依据用户的个人喜好。

  借用瑞星对云安全的诠释,云安全是安全的互联网化。笔者相信云安全在未来会成为一种应对web威胁的最有效手段之一,但是如今云安全还需要面临很多的挑战。

  首先,如何更快、更有效的收集用户的安全威胁,同时收集来的数据如何保证用户自身的敏感数据不被泄露;

  其次,收集到到安全事件在云端集群的处理,如何保证事件响应的准确性?AI处理精度相对于人工威胁相应,势必有些许差异,特别是在文件加密情况下;

  再其次,如何去保证大量数据在云端数据集群的同步相应与分发?

  云安全离云计算还有很大的差距,真正实现安全的互联网化还有需要事情要做,至少在法规约束方面需要统一的准则。安全是一门严谨的学科,因此云安全在没有真正达到瞬时相应前,不要盲目成为一种“时尚”。

  金融危机 机遇挑战并存

  说到挑战就不能不说08年底由美国次贷危机造成的全球金融风暴。国内专家表示,全球金融危机对中国的影响将在2009年完全显现出来。因此,可以预测到企业预算缩减,将对信息安全企业业务增长造成显著的冲击。

  然而金融风暴是挑战,也是机遇。对于专业web安全厂商尤其如此。金融危机冲击了企业传统业务的模式,此时基于web的新型电子商务对于企业开拓市场意义重大,随之而来,企业将会加大web安全防护,保证企业数据的安全稳定,保证电子商务的顺利进行。

  对于传统行业,虽然业务受到巨大的冲击,但是企业IT负责人却有不同的看法。北京某钢铁公司CIO表示,“金融危机对公司的影响非常大,钢材价格暴跌,钢铁公司都在减产,卖一顿赔1千。市场供大于求。然而对IT投入的影响不会太大,越是在这样的时刻,越应该更好的利用资源更好的安排资源,更好的发挥IT的作用。”

  中国电信企业信息化部副总经理周益平表示,“目前金融危机对公司没有直接影响,但中小企业已经出现在长途等费用上的控制。目前没有看到对IT投入的影响。”

  同时也有IT管理者对09年IT投入的不确定因素表示了担忧。神龙汽车组织信息部部长石毅鹏表示,“金融危机对公司的影响,使得IT方面预算只保留政府法律法规要求必须上的项目,其他预算都会停止。”

  中钢集团信息部总经理李红表示,“对公司的负面影响毋庸置疑,现在下属公司IT部门已经反映,希望减缓项目建设,加强项目预算控制。IT相比生产和经营,属于软性投资,IT预算肯定会降低。”然而李红也看到了IT对于企业走出困境带来的积极作用,她表示,“越是在经济大环境不好、面临经营困难的时候,越应该发挥IT的作用。”

  不论金融危机何等强烈,我们看到企业对IT应用的需求还是存在的,同时企业希望对于IT的投资可以取得预计的回报。对于信息安全企业而言,安全防护必须满足用户的实际需求,并尽可能提升设备的灵活性和可扩展性,保证企业一次投资长久收益。

 

      Web安全路在何方?

  Web安全要想快速的发展壮大,离不开政府的支持,安全厂商的努力,以及用户安全意识的提高。规范、性能、服务每一方面对企业的web安全防护都有十分重要的意义。

  2008年,奥运会的召开,为中国信息安全产业注入了新的活力。国家前所未有的信息安全保障决心,让我们看到了等级保护的推进及相关法规制度的建立与思考;对于企业而言也认识到合规管理及安全运维的重要性;同时对于积极参与奥运安防的国内外众多信息安全厂商,更是直接而全面的体验到企业的安全需求。让安全成为服务,是国内信息安全厂商在奥运过后的共同呼声。

  外界的对信息安全的高度重视,给web安全的快速普及奠定了基础,web安全网关、上网行为管理、反垃圾邮件设备、负载均衡器、漏洞扫描及数据安全审计等在2008年遍地开花。关注Web安全、防御web安全隐患,在用户与安全厂商之间形成前所未有的默契。在这些web安全产品之中,web安全网关、上网行为管理以及数据安全审计更是成为企业关注焦点。

  杭州安恒(致力于解决漏洞扫描及数据安全审计)CEO范渊表示,“网站安全目前还不被管理人员重视,网站数据缺乏有效的保护。漏洞利用,尤其是网页恶意代码,产销形成黑色产业链。0day漏洞从发现到利用的时间差越来越短。一切都彰显了数据安全审计的重要性。” Web安全现状不容企业忽视。

  企业web安全防护需要加强的不仅需要加强数据安全审计,还需要时时掌控企业网络运维状况,以及运行于企业网络平台之上的各种应用;同时必须从web网关安全边界入手,将企业边界的安全威胁及时扼杀。因此一款全功能、高性能的web安全网关与解决方案,是企业用户所迫切需求的,也是信息安全厂商在突破性能瓶颈,改善检测算法之后必须考虑的问题。

  当然,我们不能忽视2008年金融风暴对中国市场的影响,虽然政府及国有大型企业在资金连上并没有受太大影响,但企业理性的采购态度已经形成。中国市场作为全球经济复苏重要的棋子,势必将迎来一些新兴的市场机会,因此如何将开源技术与安全厂商的安全设备更有效的结合将会是安全厂商降低成本,占据市场的重要突破点。

  不论是web安全网关、上网行为管理或者云安全,首先要解决的是从用户的角度出发,通过多种架构以及协议代码的优化,真正帮助用户在降低成本的同时,解决用户急需解决的web应用安全风险。产品方面,必须强调安全开发生命周期,突出源代码安全和审计;其次,必须加强事前安全风险扫描、事中Web深度防御监控(WAF,WIDS,WIPS)以及 事后应急响应和加固安全服务。范渊表示,“产品与服务的结合,产品变服务,在未来都将成为安全发展的趋势。”

  未来,攻击者将会更加具有针对性和倾向性,陈纲表示,“企业应该将目光聚焦在以数据保护为中心的安全解决方案上,为用户提供完整的关键信息保护(Essential Information Protection)解决方案,把网页安全、数据安全、邮件安全都融入到统一的防护方案中。”

  2008年,应用威胁凸显web安全防护形势的严峻,2009年web安全威胁在黑色利益及企业竞争加剧的环境中将会来的更加猛烈。