Web应用安全趋势与实践

铁锹 3D打印店铺

  　　国舜科技南方区总经理田浩演讲实录：

　　各位尊敬的领导、专家、来宾，大家下午好!很高兴能来这次论坛参加会议!分享我们公司对于web安全的理解和实践。

　　近几年的大事件里面都配合运营商做安全的工作，也取得了很多的成果。今天我的发言分四部分内容。分别是趋势的探讨和针对这些趋势如何构建相应的防护体系的一些建议，以及我们提出的主动防御的理念和传统被动的对比。最后着重介绍一下国舜公司跟运营商行业和其他行业的一些客户在具体项目当中的一些安全实践。

　　我感到被安排在这个顺序来进行演讲，也还是很幸运，因为前两位，都被web安全的重要性做了很好的论述，大家都认为web安全是非常重要的方面，相关的攻击手段和web层面，都是非常严重的，我们这里就只是引用几个数据，来强调一下应用安全的一些现状。首先第一个数据就是调查的数据，超过75%中心都来自于这个应用，大家最早的日可，比如说都认为从网络进来的东西比较多，实际上来自于应用层中心的，占的比例越来越大。

　　从我们自身的实践当中，对外提供的渗透服务当中，85%以上，都是以网站为突破口进行渗透的。而且我们和运营商合作可以看到有一个，不能具体实行了，自己主持的内部检查中，找到了十几条从互联网到内网，包括OA、网管那些，进入的路径80%以上通过网站做的一些绑定。今年10到11月召开的网站安全的保障也是非常重要的内容，所以我们认为网站安全的形势还是很严重的，而网站应用的安全是一个缓慢的。

　　在我们国舜自身对网站安全应用的理解上，认为趋势主要有两方面，一方面原来以破坏为主，最终目的，演变成攻击者并不是需要破坏的系统，而是希望从系统当中确定有这个信息，变换成金钱，APT不再提了，可以看到大家都认为这个危害性非常强大，因为他展现了服务，时间跨度很长，所获得的信息，包括造成的破坏都是非常严重的。

　　这些案例就简单的展现，这些案例都是非常知名的案例。都是从web展开攻击的。构造web应用安全的防护体系，我们针对这些情况提出了国舜对于构建安全体系的一些建立，在上周五，大厦举办的另外一个论坛上，国舜公司的副总裁张先生提出一个仿生的模型，还是很生动有趣的，在这里简单引用一下。首先我们知道网站是允许web链接的，既然允许链接，在我们传统的对不提供对外链接的业务系统，比较强化的安全防护的措施，只有web系统是不得不跟外部聚焦，他就像一个周身都保护的很好的一个乌龟，而地区都被他头抬出来。

　　既然不得不做一个乌龟的现状，决定我们必须把这个头来做一个很好的保护，当时我们提出，最后一个比较怪异的模型，构造一个刺猬的乌龟，内部讨论的时候，我们认为有可能针对于这个比喻来讲，这个更加形象，刺猬无从下手，有可能我们知道，某种小区域招惹了，经常会带着很多根刺离开。这个情况下，更好的提醒我们主动防御这个理念，防御在大家当中是被动的，而我们现在把它和主动这个词连接起来，实现主动的连接，我们最终在下面提交两个提示，主要的主动防御体现在两个方面，一个是高干，一个是能够有一定反致的功能。

　　很多用户在实践当中做了很多的工作，采用了很多世面上常用的技术手段和产品，包括原有的一些设备的升级，大家都知道IBS，我们现在很多的IBS厂商也能够做跨站的一些防护，这里其实也可以展开讨论，IBS和web的防护，IBS也能防，跨站的这些中心，还要web干什么？这都是可以拓展讨论的问题，在我了解，IBS也可以做，但是我们知道IBS更关注于网络的系统层面，这样的话，他的层次有可能，有可能到应用层攻击的话，到基层，在性能和效率，包括检测的准确性的性能，是主动考虑的问题。但是有可能要考虑到一个平衡。

　　还有一些其他形态的，这是一种软件形式的，可以拓展到一个中国特色的产品，这个产品的产生，包括到目前现状的发展，都是和我们国内的，比如政府行业是息息相关的。Wifi，在漏洞检测，都有工具，有传统的系统的网络公司。采用产品的时候，我们的用户也采取web相关的，我们第一类演讲的，就提到过我们的web应用程序开发的时候是第三方开发的，根本没有能力检测web系统开发的时候本身就有问题？我们创宇也提到了，本身的框架出现缺陷，这些缺陷基本上是没办法弥补的，这种情况下有可能会出现，在系统，我们开发的系统，在之前的安全代码审查，在上届之后，也会存在周期性的检查，对于网站出现的层出不穷的周期来检测，达到一个实施的这种情况。web层面的安全服务也区别于传统的服务，也会有很多的分类，包括我们网站，大的网站都有数据库的支撑，审计也是跟网站相关的。

　　这些产品都是我们要加强网站安全，常用的一些手段，这些手段有很多了，在这些手段的基础之上，我认为还不是很足够，我们认为还是可以有更好方法，或者可以加强的这些方面，也就是说，我们刚才提到的乌龟刺猬头的模型到底是什么样的？我认为是最合理的实质性的东西，主要是两方面，一方面就是制度，另外一方面就是达到反制。这个功能达到主要我们认为是，如果落实到最终的目标，出现了在前期推测，或者是攻击者他去用一些工具，或者攻击行为，在他准备去摸索这个网站的情况的时候，就能识别这些行为，并且在识别竞争行为的前提下，我们能够识别他竞争的源头的信息。比如你这个镜竞争所使用的类型，是使用了一种工具，这个工具所发出的探测的数据包的圆的IP地址，属于是两个区域，如果IP地址是我们已知的，我们相应的检查机构，工信部这些，他们已知的一些，属于他们组织的IP地址，是有他们的这些，也可以作为区别对待。比如说我们在识别他的竞争行为和识别竞争圆方面，都能够非常快的，也就是说很敏感识别到进攻的时候，就有足够的时间和足够的手段来去应对他。识别之后，达到理想的最终状态的时候，进行反致，除了最后一条，抓捕和起诉这条，需要监管部门，一些执法机关去配合用户做这方面的工作，其他的前提都是可以做到的，比如我们既然认定了，这是一个进攻的行为，或者进攻的，我们完全可以针对恶意行为去做总结。做总结的时候，我记得昌强院士也提到过，这是一个无效的，把所有的访问都封锁掉的话，其实是一个无效的行为，把所有的东西都封掉，当然就不用访问了。而是应该区别对待。我们可以完全在用户做检查，我们可以完全在他扫描的时候，给他压力，给他访问，弹出一个对话框，这个来源的IP，具备恶意攻击，暂时停止访问多长时间。

　　想达到我们想提倡的这两个感应度功能的落地方面，我们认为产品的升级，功能的演进，达到这个目标的，都可以用网站应用平台这样一个平台来实现，这个综合平台的实践，我们在后面会介绍这个案例。我们可以看到，我们的用户用这个方法，他们是如何实现的。反致这个方面，都可以再升级，提高判断的能力，取证、跟踪、攻击。

　　这个图片主要就是说我们提到的防御功能所解析的，事后的分析等等，我们认为在主动防御功能的最有效的实施点就是在事中防护，如果在攻击发生的时间，第一时间我们很有效的识别这个东西，并且能够，哪怕不阻断，只是为了跟他去学习，做了什么事情，其实我一直很清楚地知道，我一直尾随你，学习你，观察你，这样对于用户是一个新的方法，很好的学会攻击的方式，为以后匹配未知的模型做很好的基础。

　　介绍一下我们国舜提供的主动防御与被动防御的一个 对比。一个正常用户的访问，最多一个网站，最多跟网站做一个交互一些信息，攻击者就会完全不一样，会有些自己的行为模式，这跟我们将来在案例提交的时候，具体一些做法是非常相关的。也就是说，我们能够很准确地识别是正常访问，还是一个恶意的攻击行为。其次，我们还能够在确定，因为准确性提高了，就完全可以在准确性提高的基础之上，及时的阻断，或者针对性的阻断，区别地对待这些被认定是攻击，或者是其他行为的这些动作。所以我认为在这个情况下，主动防御和被动防御的区别，一个是准确性，一个是能够阻断，还有一个刚才我提到的，哪怕是这些攻击行为能够见过的，或者我们根据他的一些行为模式，一直尾随他，观察他，最终断定他是一个未知的攻击的，我们都可以比较好的去定位他，最后做出破坏行为的前提下给他给阻断掉。

　　最后我们这次交流，发言主要的重点，希望跟大家分享一下案例，主动防御和被动防御当中的一些实践，这些实践并不见得我们已经做出了多么大的成果，因为用户也是在和我们配合中，不断地探索，很多问题都是出现新的问题，我们只是针对新的问题，提出一定的解决方案，跟大家分享一下。提两个案例，第一个案例就是用同一个实践，我们一再强调我们是想做到主动防御，实践我们确实也取得了一些成果，这个实践的用户单位，我们只能说他是一个在南方的步骤，这个运营商其实已经采购了我们很多的产品，或者web产品，达到了数百台网站的服务器下，还是能够比较好的进行防护。但是由于这个网站，他的安全水平是层次不穷的，每个业务系统对于用户的重要性，比如说机位，但是比如说他的系统的重要性，有可能稍微差一点，重视程度不一样。能够在恶意的工具扫描，发现和阻断方面，能够及时发现安全事件被发生之前，提到一个高明的层次，一种是治胃病，一种是隐病，希望我们用户，包括我们的个人，希望能够治胃病，或者在并发症的时候，就出现反映。

　　在原有的安全防护基础上的部署监控平台，这个综合平台实践高反制度和反制，功能实际的手段，我们这里介绍了两个方法，一个方法就是扫描的工具，因为不论是我们的监管机构还是攻击者，要去做扫描的工作的时候，应该都会有一些工具扫描，这些工具扫描，跟这些方式绝对不一样，这些浏览方式的不同，决定有一定的模式，我们能够找到这些扫描类工具进行匹配，定位它是一个能够扫描的，再判断，刚才我提到的IP，这是一种相应的扫描情况。还有就是说我们会针对原有的网站的挖掘，用户也可以自己挖掘，但是在网站日海量的情况下，包括人工和自动级别下，能够及时地自动地完成这种数据和挖掘，这是一个非常难做的，我们能够完成数据整体的挖掘和规定，能够定位这些匹配，跟他用一些注入，做一些攻击行为，制订一些相应的IP地址，下一个电子订单。

　　这是我们整体的一个web平台的文化，这是整个监控平台的其中的一两个块。我们有点抛砖引玉的想法，对于云计算，大家的争议还是比较多，专家都是这方面的技术比较了解，我就不再赘述。现在我们的运营商都是通过虚拟的技术来提供IDC的服务，传统IDC都是购买大量的单体的服务器，来提供计算能力，而我们现在很多供应商通过信息技术提供虚拟化服务，提供给用户所需要的计算能力，存储空间还有网站，这样的话，我们希望是在虚拟基础下，网站发不出去了，在同时发布安全的能力，在这种情况下，当时运营商也会采用一些防护的手段。传统的方式，大家都知道，安装起来非常复杂，会根据不同的操作系统，不同的工业区，而且在传统的，有一定数量限度的前提下，安装的量是可控的，在IDC上就很难做到了。因为他一下有很多的虚拟服务器和虚拟网站，非常的费时费力。在这样的情况下，我们对于这个环境下，我们在方案当中也做了很多的调整，我们会把主流的操作系统，做一个分类，最多三类的一个划分，就这么多。

　　分类之后会提供一个比较简化的，统一的安装方，这些安装方通过这些系统推动用户的方式，自动配置，自动安装。对于用户的运维方面也非常的省力，需要我们去配合，要发布一系列的网站，要在这个网站上发表，我们就不用跟客户更多的在这方面做交互。实现云计算的安全性服务的目标。

　　我们既然认为安全体系网站安全作为一个申头乌龟，改造成这样的乌龟，网站这样一个实现体现，主要的功能方面就是制度，我们在实践当中，都是大有可为的。web3D纳金网www.narkii.com