鐵生

保護Web資產(chǎn)等同于保護業(yè)務(wù)操作穩(wěn)定性

鐵生

網(wǎng)站除了是公司的另一張“名片”外，它還是商業(yè)聯(lián)結(jié)的通道。通過網(wǎng)站，用戶可以查找公司的產(chǎn)品與信息，合作伙伴訪問共享的資源，或是用戶直接通過網(wǎng)站下單購買商品。對于eBay、Amazon等這樣的公司來講，“網(wǎng)站”就是其業(yè)務(wù)。如果網(wǎng)站運行出問題，不僅會讓公司的業(yè)務(wù)遭受影響，也會無形中降低用戶對公司信任度，進而流失掉部分用戶。

與此同時，網(wǎng)站最大的優(yōu)點也是其最大的弱點所在，任何人都可以訪問。這種可達(dá)性使網(wǎng)站很容易成為網(wǎng)絡(luò)罪犯、黑客甚至激進主義者的攻擊目標(biāo)。無論是出于怎樣的動機或使用何種方式方法，網(wǎng)站被攻擊了就意味著幾種情況：收入損失、負(fù)面的商業(yè)信譽、敏感數(shù)據(jù)泄露（例如用戶信用卡信息與個人信息）。

有關(guān)攻擊網(wǎng)站的案例已被廣泛的報道過，例如：

2014年2月17日，烏云漏洞報告平臺爆出淘寶認(rèn)證缺陷可登錄任意淘寶賬號及支付寶，隨后支付寶安全團隊承認(rèn)此漏洞是由新業(yè)務(wù)促發(fā)，但是沒有造成用戶數(shù)據(jù)泄露。

2014年2月底，網(wǎng)上流傳出疑似京東商城一批用戶的用戶名和密碼信息，3月3日京東官方回應(yīng)此次事件為用戶賬號被盜，并稱經(jīng)內(nèi)部調(diào)查，沒有發(fā)生大規(guī)模用戶注冊信息泄露的情況。

Web應(yīng)用安全防護面臨的挑戰(zhàn)

網(wǎng)站帶來的不僅是訪問信息或購買物品的便捷，越來越多的互聯(lián)網(wǎng)公司的內(nèi)部架構(gòu)是基于WWeb的。這種從傳統(tǒng)方式到基于Web應(yīng)用的轉(zhuǎn)移，增加了敏感信息被竊取的風(fēng)險。

保護Web網(wǎng)站與應(yīng)用的難度在于其透明的架構(gòu)與動態(tài)的應(yīng)用。網(wǎng)絡(luò)安全是相對直接的，簡單說來就是定義安全策略允許或阻斷往來于網(wǎng)絡(luò)服務(wù)器的具體流量;但是網(wǎng)站的構(gòu)成因素卻相當(dāng)多，包括眾多的URL、參數(shù)與cookie等。對這些不同條目手動創(chuàng)建不同的策略基本上是不現(xiàn)實的。另外，隨著新的URL與參數(shù)的添加，Web網(wǎng)站變化也比較頻繁，增加了安全管理員更新策略的難度。

另一方面，對網(wǎng)站實際運行的應(yīng)用進行不斷檢測的過程中，發(fā)現(xiàn)大量的軟件漏洞進一步加劇了網(wǎng)站保護的難度，研發(fā)與應(yīng)用的更新、代碼修改與更新、面市的壓力等。

本已復(fù)雜的環(huán)境下更為不堪的是大多數(shù)Web網(wǎng)站是多服務(wù)器的分布式架構(gòu)，這使得防護變得難上加難了。

保護在線的資產(chǎn)

保護網(wǎng)站資源必須采取整體的防御方法，包括網(wǎng)站的架構(gòu)與網(wǎng)絡(luò)為基礎(chǔ)的應(yīng)用。Fortinet建議采取三種能夠齊頭并進的方式進行：

安全的代碼編寫習(xí)慣與代碼審查：良性且安全的Web應(yīng)用開發(fā)環(huán)境以及遵從開放Web應(yīng)用安全計劃(OWASP)或其他機構(gòu)的Web開發(fā)標(biāo)準(zhǔn)，用戶能夠創(chuàng)建更多的安全或受信的應(yīng)用，減少整個應(yīng)用生命周期的漏洞數(shù)量是Web應(yīng)用安全的有力保障之一。

執(zhí)行Web應(yīng)用漏洞評估/穿透測試：Web應(yīng)用程序應(yīng)經(jīng)過手動或自動應(yīng)用漏洞評估工具進行漏洞評估。后續(xù)還應(yīng)對關(guān)鍵的應(yīng)用程序穿透測試。

部署一款Web應(yīng)用防火墻：Web應(yīng)用防火墻(WAF)的作用是檢測并阻斷應(yīng)用層攻擊。傳統(tǒng)的網(wǎng)絡(luò)安全解決方案是用于檢測與防御網(wǎng)絡(luò)與網(wǎng)絡(luò)端口級別的威脅與攻擊，而不針對應(yīng)用級別，所以需要一款專用的防火墻。在現(xiàn)有的防火墻層面上部署WAF不僅保護基于Web的應(yīng)用并增加整理網(wǎng)絡(luò)的安全性。

現(xiàn)如今有許多WAF做了功能上的延伸。Fortinet的FortiWeb設(shè)備在單機設(shè)備中將WAF與XML防火墻功能相集成，且增加了漏洞掃描、應(yīng)用加速與服務(wù)器負(fù)載均衡模塊化設(shè)置。FotiWeb中基于雙向的流量分析集成了主動與被動安全模塊與基于異常檢測引擎的嵌入式行為功能，不干擾網(wǎng)絡(luò)架構(gòu)與應(yīng)用更改的情況下防御廣泛的Web應(yīng)用層威脅。

智能化IT越來越進入到日常的生活，公司的數(shù)據(jù)庫中積累的用戶信息容量與敏感數(shù)據(jù)只增不減。與此同時，網(wǎng)絡(luò)的威脅也在方式與技巧方面進化的日益復(fù)雜與成熟，采取主動的安全防御是任何公司保護數(shù)據(jù)的先行手段。建立安全的Web應(yīng)用環(huán)境、定期執(zhí)行漏洞檢測、部署先進的WAF方案所有的這些都是深入防御不可或缺的。