本地滲透測試服務替網找出漏洞

時間 :11:49 取得文章短網址

文章分類 : Research, Security, SMB

隨著 Web Application(網頁服務)蓬勃發展和網上人口急劇增加,透過網絡從事電子務的行業,例如拍賣網、銀行服務及購物網站等等已經是不可避免的趨勢與熱潮,在此當中,網頁服務已是最受使用者或客戶所青睞的運作模式。在過去,談到網站的安全問題,大多數人會認為只要透過防火牆或入侵偵測防護系統(IDS)進行網站保護就已經足夠,但實際是,無論你架設防火牆抑或入侵偵測防護系統,所能夠達到保護範圍都只限於在網絡層或系統層,而對照近年來有關於網站客戶資料洩密事件,它們都是以應用層面的漏洞居多,也就是說,這些應用層面的安全問題,非單靠一道防火牆或 IDS 系統就能夠解決,因為其漏洞的成因是因為程式員不當的編程手法所做成。

除了黑盒測試外,Maximus 總監 Roger Chung 表示,他們也會為客戶提供白盒測試。

除了黑盒測試外,Maximus 總監 Roger Chung 表示,他們也會為客戶提供白盒測試。

其實,以上的漏洞問題在網站上是十分普遍的,但相對地較少人提起是因為過去的網站的管理大多是由系統管理員兼任,而這些人對於應用程式的安全問題,卻無力入手,因為他不是網頁程式的原開發者,所以才造成現今網站應用程式的安全問題不斷。因此,若果管理員無法顧及網頁程式內容的問題時(例如程式是通過外購程式碼或使用開源程式碼),而程式開發者又因為技術能力的問題,未了解程式撰寫所帶來的安全漏洞情況下,惟有透過一系列的網站安全專業服務與解決方案,才能有效彌補這二者之間的差異與距離。

Maximus 是本地一家網絡保安顧問公司,員工由業內一群保安專家組成。除了提供各類保安服務外,他們也會為大型企業的網站系統進行滲透式測試(又稱黑盒測試,即將外面進行入侵則測),為企業在網絡服務中的程式編碼及早找出漏洞,及早更新預防。除了黑盒測試外,Maximus 總監 Roger Chung 表示,他們也會為客戶提供白盒測試。所謂白盒測試就時由客戶提供網頁服務的程式碼,由 Maximus 提供的 Parasoft 方案進行掃描,找出程式員在網頁程式碼在編程時出現的漏洞。Roger 表示,一般很多大公司願意接受白盒測試,他們平均十個客只有兩個,他們抗拒的原因是因為公司政治,懼怕程式碼一旦被發現漏洞,難向公司的管理層解話或甚至被問責。

Maximus 在「網站安全」解決方案中所提供的防護措施,包含了兩項方案:Web Defend 及 SIEM。它們能夠完善的保護企業的網站,提供包括了 Web 應用程式碼檢測、HTTP/HTTPS 服務防火牆,可有效的阻擋來自網絡上的攻擊,並且能協助將原有的程式碼予以修正弱點,不需要更換整套應用系統,以便以最少成本獲得最大效益。

WAF 網頁應用防火牆

Web Defend 為一個 WAF 裝置(Web Application Firewall),它可保護網頁應用程式免於遭受常見的攻擊行為,如 SQL Injection、Cross-Site Scripting、Session Hijacking、Phishing 與 Buffer Overflow 等。提供透通式橋接 (Transparent Bridge) 等多種建置架構,可簡化建置的複雜度,同時檢查所有網頁要求(Request)與網站資料回應(Response)的流量。不僅阻擋駭客的攻擊行為,更可防止網頁資料複製、過濾與防範網頁應用程式輸出敏感資料,例如信用卡號碼、身證字號等資料。Web Defend 本身也預置了符合 PCI-DSS(Payment Card Industry Data Security Standard)規範的範本,幫助從事信用卡結帳的網站符合 PCI-DSS 法規。它可以過濾的內容包括 HTTP、SSL、XML、Web Services 和 AJAX 的程式串流,能監控的數據庫資料流更包括 MS SQL、ORACLE、IBM DB2、MYSQL 等等。

傳統防火牆不能擋 Port 80 網頁程式。

傳統防火牆不能擋 Port 80 網頁程式。

SIEM 綜合網頁記錄分析器

當一個網絡或服務被入侵時,欲瞭解入侵行為是如何發生,通常管理人員都會先透過防火牆的 Log、IIS Log 等全部提供過來,再經軟件工具進行分析,這工作就是靠 SIEM(Security Information & Event Managment)的方法進解析,如果當企業有導入 SIEM 解決方案時,這些 Log 就會直接匯入到 SIEM 平台中,讓 SIEM 去分析,當發現有外部連線在掃瞄內部網絡,或是有人惡意在做 SQL 嘗試,就可以馬上核對這些攻擊行為是否連線成功或失敗,並且能針對這些系統中的漏洞主動地做處理。

Trustwave 的 SIEM 方案可從大量的網絡接取設備中收集 Log,這些網絡設備包括 CheckPoint、Fortinet、Juniper Network、Cisco、RSA、IBM、Computer Associates、Mcafee、Trend Micro、Symantec、SAP、MySQL、Oracle、Sybase、NCR 等保安裝罝或軟件等等(詳見 https://www.trustwave.com/supported-devices.php),接著它能夠自動化做事件分析及等級分類,Trustwave 的 SIEM 方案可將成千上萬筆資料自動判斷等級。依照事件的嚴重性來分等級。

即使是 IDS 系統,也只能按 Port 80 上常見的應用程式 Signature 來做攔截,但對網頁程式編碼與數據庫互動之間的安全性預防卻無能為力。

即使是 IDS 系統,也只能按 Port 80 上常見的應用程式 Signature 來做攔截,但對網頁程式編碼與數據庫互動之間的安全性預防卻無能為力。

通常惡意攻擊來源不太可能在很短的時間內就把所有攻擊行為完成,一般會先以早期掃瞄網絡、測試攻擊等,最後才滲透到內網,SIEM 的預知性(Proactive)能保護防止企業網絡免受到的威脅。因為通常外部攻擊事件從網頁伺服器的 Log 顯示出 SQL Injection,可能先期 Log 紀錄發現只有幾筆資料外洩,接下來可能就已經上載了駭客工具到內網中,接著改網頁作其他攻擊等,所有動作 SIEM 都能彙整出來。雖然惡意攻擊事件還是有可能產生,但是能在最短的時間預早偵測,可避免更嚴重的安全問題發生。

其實,要發揮 SIEM 的作用,最重要的還是要有 IT 管理人員檢閱報表,如果 IT 人員有閱讀和分析 Log 的習慣,其實可以減少或預知攻擊而想辦法佈防,但是像防火牆的 Log 非常多,報表就不是每家公司都會固定去檢閱,或是以 IIS Log 為例,如果網頁對企業營運來說相當重要的話,如果沒有 Web 的防護,也沒有人去看 IIS Log,等於將組織營運完全暴露在攻擊環境下。雖然如此,仍然有大的企業(例如銀行、金融機構、保險公司、航空公司願意認真的檢閱 Log 和事件報表紀錄。針對這個問題,本地保安顧問公司 Maximus 設備 SOC 監控中心,能為客戶即時收集所有保安裝置上的 Log 記錄,即時進行分析,一旦公司的網頁應用受到入侵,可以即時向客戶作作警示。

Maximus 提供 NOC 監控中心,為客戶各類 Logs 進行分析,及即時為客戶提供警報。

Maximus 提供 NOC 監控中心,為客戶各類 Logs 進行分析,及即時為客戶提供警報。

SIEM 最大的價值是能夠整合不同的認證系統(包括不同系統平台),並自動化地進行檢查,例如密碼輸入錯誤,可能間隔很長時間才出現一次密碼錯誤,就能判斷這屬於人為失誤,但是如果在一分鐘內錯誤嘗試相當多次,就可能是有駭客正用工具在做攻擊掃瞄,Trustwave SIEM 能夠自動歸類分析,例如指定時間內發現入何系統有指定數目的登入錯誤自動即時作出警示。但是如果要以人工檢閱所有登入失敗產生出來的 Log 清單,完全不可能比對到底哪些屬於人為失誤還是惡意攻擊,不但浪費時間也浪費人力成本。SIEM 的最大作用是為了能做到網絡安全的早期預警,不要等到事件發生後才來做這些動作,也對企業內部做到風險控管,很多企業不知道內部網絡風險在哪裡,透過 SIEM 的解決方案就能清楚完整地掌握。同時,SIEM 的分析符合業界保安標準,如 PCI DSS、SOX、HIPAA、GLBA、BaseI II、NERC 和 FISMA 等的法規要求。

maxium-005

一個網站在建置過程當中,基本上有系統架構與程式開發兩個方面(或購買外間的網頁服務方案),而此部份的安全控管實有賴於開發者在開發過程當中,建立有效的程式碼查核方式來檢查漏洞,同時也必須要能培養程式開發者,具備安全程式碼的撰寫方式及相關的安全觀念。另一方面,如果我們面臨到的是已經在運作當中的網站,則積極性的預防也有其必要的。

公司:Maximus Consulting
查詢:2802-3954

你可能會對以下文章有興趣: