现在针对Web服务器的攻击,往往会同时采用多种攻击手段。如既有病毒攻击、拒绝服务攻击、,还有口令攻击、路由攻击等等多种方式。通常情况下,将同时具有多种攻击手段的模式我们叫做混合攻击。不过传统的安全解决方案,一般只能够对付单种攻击手段。这就好像蛇情一样,被不同的蛇咬了,要使用不同的蛇清。否则的话,不能够起到解毒的作用。这也就对Web服务器的安全解决方案提出了新的要求。面对这种种的威胁,Web服务器该如何应对呢?对此,笔者有如下几个建议。
一、圈地运动,已经无法满足安全的需求
在传统解决方案中,有一个比较显著的特点,即搞圈地运动。如针对邮件,有一套邮件安全方案;针对FTP,有一个FTP安全解决方案。传统安全解决方案,将IT领域根据其应用的不同,认为的划分成一块块领域,然后再设计对应的安全措施。如果只针对一种攻击行为,这种安全解决方案,固然有效。但是在混合式攻击面前,这种圈地性质的解决方案,弊端就非常明显了。因为攻击者从一个方向攻击不成,还可以从另一个方向攻击。这种单独的安全解决方案,无法做到面面俱到。为此企业Web应用的安全,不能够再依靠防火墙等解决方案来做圈地式的保护运动。混合攻击会借助病毒、木马、恶意软件、肉鸡等攻击方法,对系统、应用程序等漏洞,发起攻击。从而在比较大的范围内发起攻击。
笔者建议,在应对混合攻击方面,要有一个比较全面的规划,而不是各种解决方案各自为战。在实际工作中,我们可以选择一种解决方案为主,然后其它解决方案为辅,设计一个从上到下的全面的防护措施。如针对Web应用,笔者就推荐企业,可以以Web防火墙为主、然后结合邮件安全策略、FTP安全策略、SSL加密机制等手段,组成一个比较综合的安全防护网。
二、漏洞,攻击的源头
混合攻击,其实是多种已知攻击手段的组合。而现在已知的攻击行为,90%以上是针对系统以及应用程序的漏洞展开的。俗话说,苍蝇不叮无缝的蛋。在实际工作中,我们只要保证蛋没有缝,那么苍蝇也就没这么好叮了。
故笔者建议,针对各种混合攻击行为,最好的预防措施之一就是对系统以及应用程序打上对应的补丁。不过需要注意的是,这个补丁不光光是针对服务器,而且还包括用户的客户端。因为有时候攻击者非常狡猾,如果服务器攻不下的话,他们可能会先对客户端做文章。先把客户端拿下,做为他们肉鸡,然后再对服务器发起攻击。大部分时候,从内部发起攻击,要比外部发起攻击更加容易。毕竟堡垒更容易从内部攻破。但是有时候客户端的数量非常的多,对每台客户端进行补丁的管理比较困难。
在这里笔者推荐使用统一的补丁管理解决方案,如微软的补丁维护方案。其原理比较简单。先是用一台补丁服务器,从微软的官方网站下载最新的补丁。然后各个客户端(包括用户终端和服务器),每次启动时从服务器上下载最新的补丁,并进行自动或者手工的安装。如果企业的安全级别比较高,笔者这里建议采用强制安装。有时候补丁安装会比较麻烦,如安装完之后还需要重新启动。为此一些用户会偷懒,当服务器提示需要安装补丁时,他们会当作耳边风。不打补丁,从而给企业的Web应用安全留下隐患。针对这种情况下,采取强制措施,会更加的安全。采取强制安装时,不会征询用户的意见。只要管理人员认为这个补丁重要,那么客户端在重新启动后或者在线时就会强制安装补丁。如果需要重新启动的话,也会先通知客户端然后在一定的时间内重新启动,以完成补丁的安装工作。
不过对于补丁,笔者还是要强调一点,就是补丁的兼容性。补丁一般分为操作系统的补丁和应用程序的补丁。通常情况下,操作系统的补丁兼容性比较好,与现有软件发生冲突的情况比较少。但是应用程序的补丁,其兼容性就不怎么理想。有些用户,打上应用程序的补丁之后,会发现应用程序运行速度明显变慢、甚至无法启动应用程序的情况。这都是因为兼容性不好导致的。为此在设计补丁解决方案时,需要做好兼容性方面的测试。如果给客户端强制安装了补丁,但是发现与现有的应用不兼容,此时管理员就会搬起石头砸自己的脚。对企业现有的应用不利。
总之,笔者认为针对漏洞的维护,是应对混合攻击最有力的一种方式。毕竟大部分的攻击手段都是针对操作系统以及应用程序现有的漏洞所展开的。如果能够将这些漏洞预先堵上,那么大部分的病毒、木马将望而兴叹。
三、安全解决方案也需要集成
如果能够将各个单独的解决方案集成起来,实现统一管理,那么也可以很好的应对混合攻击。传统的解决方案之所以无法应对混合攻击,其最本质的一个原因是各个解决方案各自为战,成为了一个个安全的孤岛。从而就会被混合攻击各个击破。现在安全人员需要做的就是,如何像软件集成一样,将各种各样的解决方案集成起来。
笔者这里建议大家使用模块化的解决方案。 笔者以前给客户实施过APSolute安全解决方案,这就是一个模块化的设计思路。如企业现在可能只有电子邮件、FTP服务器等简单的信息化应用。然后两年之后,又上了电子商务、企业门户网站等信息化应用。针对这么多的信息化信用,该如何来防护混合式攻击呢?
此时就可以采用模块化的安全方案。其原理其实比较简单。APSolute是一个安全解决方案的平台。其主要用来包装基础方面的安全。如网络传输方面的安全等等。简单的说,就是用来解决一些共性的安全问题。而不同的信息化应用,又会有各自的安全需求。如邮件系统与企业的门户网站,其安全方面的需求就是不同的。此时企业就可以另外购买邮件系统安全解决方案(包括垃圾邮件、病毒邮件的防护等等)和企业门户网站安全解决方案(包括文件的安全等等),然后像搭积木一般的,放置在安全平台上。此时由于是在同一个安全平台上实现的,为此不同的模块与安全平台之间有很好的兼容性。
四、注意单个解决方案之间的交接点
其实各个单独的解决方案之间也有重合的地方。如防病毒软件与防火墙,都有查杀病毒的功能。但是在企业中,这两个解决方案仍然是无法相互替代的。这其实也是为了应对混合攻击的需求。虽然不同的解决方案,其会有重叠的地方。但是其核心的功能仍然是相互独立的,或者说并不是相互冲突的。为了更好的应对混合型的攻击行为,安全人员要认真审视这种安全边际的行为。如果这个安全边际涉及到的领域,比较重要,那么仍然需要采用专业的解决方案来执行,如病毒的防护。但是如果涉及的领域不是很重要,而且企业的资金也有限,此时就可以使用这个安全边际来暂时替代。如企业对于邮件系统的安全级别并不是很高,并且与Web应用是集成的。在这种情况下,就可以在Web安全解决方案中,附带的实现对邮件系统一定程度的防护。当然,这个防护效果肯定没有专业的解决方案好,如垃圾邮件过滤,不是很彻底等等。