海量威胁情报分析发现,漏洞依然是攻防的“突破口”,而这其中,Web漏洞的利用率最为突出。
其实,近几年来,亚信安全就通过专业化的威胁检测设备和攻击行为追踪,就攻防演练中的攻击方式进行了分析和总结,而其中,从Web侧发起的漏洞攻击尤为突出。在这个从“人防”转变为“技防”的战场上,借助0day和Nday从Web系统直击要害,危害性不容小视。
攻方易从Web弱点偷袭
通过对以往防守经验的总结可以发现,Web普遍包含以下几个方面的弱点:源代码泄露、供应链威胁、弱口令、资产混乱、覆盖不全、策略太松等。
安全性不足:传统开发更倾向于软件功能的实现,开发人员很少从“攻击者”的角度思考软件安全问题,对软件安全架构、安全防护措施认识不够,往往导致源代码存在安全隐患 。其次,企业组织使用的软件系统错综复杂,无法完全掌控第三方系统等供应链的安全性。再则,运营人员缺乏安全意识后台竟设置弱口令,导致不法分子会针对特定端口,利用大量的“弱口令密码表”尝试爆破使用弱口令的系统。
资产混乱:虽然大多数企业都认识到资产混乱的风险所在,并想方设法来减少暴露面,但不幸的是,并非所有暴露面都是显而易见的,大量的Web暴露面都潜藏在不容易被发现的暗处,很容易因为资产排查不彻底、人员疏漏等问题被忽略。
覆盖不全:随着分布式、远程办公的逐渐流行,企业的安全管理边界逐渐模糊,攻击者可以从企业的分支机构、供应链及业务应用程序之间渗透入这些设施,这加大了Web安全管理复杂性。
策略太松:很多企业的安全策略太过宽松,比如安全策略都没有生效、或者大量的应用漏洞没有修补、再或者安全控制也不严格,这样一来,攻击者就可以轻松越过安全防线,通过各种的漏洞利用实现攻击目标。
根据Gartner的调查,信息安全攻击有75%都是发生在Web应用而非网络层面上。众所周知,Web应用是全维度的领域,覆盖的知识面极其广泛,这也造成了Web系统的脆弱性。此外,Web应用的安全管理异常复杂,从源代码开发到API的漏洞管理,再加上HTTP协议的灵活性,导致在Web之上的各种应用都有自己独特的特点、用户访问应用方式千差万别,这就给攻击方留下了一扇门。
守方利用WAF弥补Web安全管理漏洞
亚信安全建议用户通过XDR解决方案建立一个立体化的防御体系。其中包含的WAF,是专门为Web应用和API(WAAP)提供保护的防火墙产品,在网络攻防对抗演练和实际防御中也扮演着不可或缺的角色。
梳理Web资产,纳入WAF保护范围
图:将所有Web资产纳入WAF保护
首先,企业需要充分地了解自己的Web应用系统,梳理出所有的Web应用资产并加入到WAF的保护,并且需要将后续新应用发布及时更新同步。比如:攻防演练前期准备阶段,用户可以利用亚信安全的资产管理中心自动化发现现有的Web应用服务,并结合亚信安全信舷Web应用防火墙(AISWAF)的API自动化录入保护,实现资产保护覆盖。
多种部署方式实现全覆盖
图:针对不同保护对象实现全面覆盖
用户可以在核心业务IDC以及专线业务IDC中串接WAF实现高性能拦截,同时部署一套旁路WAF侦测业务系统之间安全问题,并采用更严格的策略、更严格的风险监控。在下属单位和分支机构,可以通过部署反向代理的WAF集群充当清洗中心,通过引流的方式快速地覆盖边缘资产的保护。
主动检测为先,虚拟补丁为后
图:利用虚拟补丁技术实现安全策略增强
针对一些隐蔽式或业务逻辑类型的攻击方式,比如手动探测管理后台、低频撞库、弱口令、供应链漏洞利用,需要依靠WAF产品的能力建立有效的监控机制,尽早发现攻击痕迹,并通过分析攻击痕迹,调整防守策略、溯源攻击路径甚至对可疑攻击源进行反制。同时,针对0day和Nday,用户可以通过WAF的虚拟补丁的功能自动化修复漏洞。
以新技术保护新Web
亚信安全信舷Web应用防火墙(WAF)具备了抵御OWASP TOP10 Web攻击、敏感数据防泄漏、防御CC攻击、0day漏洞修复等能力,同时融合机器学习和即时防御高级威胁情报平台的联动防御机制。
基于AI技术的Web安全模型
图:基于AI建立应用模型
亚信安全信舷WAF可基于AI机器学习建立应用模型,能够适应Web应用程序的快速变化,从而实现WAF策略自动化校准,支持更快的应用发布周期,并且有效侦测零日漏洞攻击行为。
全球联动的关联分析引擎
图:即时防御高级威胁情报平台
亚信安全能够在全球范围内对Web威胁隐患进行检测、分析、响应,可对新增的补充规则能做到一小时内应急快速响应,并且通过基于关联分析引擎对攻击进行多维度分析,包括协议校验、特征签名、应用模型、威胁情报等,精准识别并拦截恶意攻击。
从两个层面加强Web纵深防御
攻防是不对等的。因为攻击方只需要撕开一个点,就会有所“收获”。如同木桶理论一样,防守方只要有一个“薄弱”面,大概率就会丢失一座“城池”。
实网攻防演练期间,不断爆出各类0day漏洞,这些漏洞大部分和暴露在互联网上的Web应用相关,直接威胁到核心系统的安全。为此,亚信安全建议用户可以利用WAF的虚拟补丁功能,快速修补Web漏洞,并在Web应用网络层面和Web业务系统层面加强应用纵深安全的能力。