據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測數(shù)據(jù)顯示馁害,2022年上半年我國境內(nèi)遭受篡改的網(wǎng)站數(shù)量為30706個(其中被篡改的政府網(wǎng)站為166個)。網(wǎng)站篡改事件是主要的Web安全事件蹂匹,網(wǎng)頁內(nèi)容一旦被篡改碘菜,可能會散布涉黃、涉政限寞、涉黑忍啸、涉詐、釣魚等不良及非法信息履植,直接影響著用戶網(wǎng)站體驗计雌,破壞政府和企業(yè)形象,擾亂社會公共秩序玫霎。如何快速準(zhǔn)確地實現(xiàn)網(wǎng)頁篡改事件的監(jiān)測和處置成為政府及企事業(yè)單位亟待解決的問題凿滤。
一、什么是網(wǎng)頁篡改
網(wǎng)頁篡改庶近,即攻擊者故意篡改網(wǎng)絡(luò)上傳送的報文翁脆,通過入侵系統(tǒng)篡改數(shù)據(jù)、劫持網(wǎng)絡(luò)連接或插入數(shù)據(jù)等形式進行拦盹,其本質(zhì)是黑客通過注入攻擊鹃祖、文件包含等Web攻擊方式,或者植入病毒木馬等攻擊手法獲取網(wǎng)站管理權(quán)限普舆,從而對網(wǎng)站內(nèi)容進行篡改恬口。網(wǎng)頁篡改具有傳播速度快、傳播范圍廣沼侣、事后影響大祖能、事后消除難等特點。
二蛾洛、常見的網(wǎng)頁篡改方式
1养铸、SQL注入后獲取Webshell
黑客通過Web應(yīng)用程序的漏洞雁芙,通過SQL語句提交非法的語句到數(shù)據(jù)庫,通過系統(tǒng)以及第三方軟件的漏洞獲取Web的控制權(quán)限或者服務(wù)器權(quán)限钞螟。
2兔甘、XSS漏洞引入惡意HTML界面
被動的跨站攻擊可以在合法的地方引入非法的HTML或者JS代碼,從而讓訪問者“正沉郾酰”的改變頁面內(nèi)容洞焙。例如:校內(nèi)網(wǎng)蠕蟲。
3拯啦、控制Web服務(wù)器
攻擊者可能通過服務(wù)器或者第三方的漏洞澡匪,獲取了服務(wù)器權(quán)限、數(shù)據(jù)庫管理權(quán)限進而修改頁面內(nèi)容褒链。
三唁情、網(wǎng)頁篡改主要防御方法
1、封閉未使用但已經(jīng)開放的網(wǎng)絡(luò)服務(wù)端口及未使用的服務(wù):服務(wù)器在部署實施階段采用iptables等技術(shù)關(guān)閉不必要的端口和服務(wù)甫匹。
2甸鸟、使用復(fù)雜的管理員密碼:無論是系統(tǒng)管理員、數(shù)據(jù)庫管理員赛惩,還是FTP及網(wǎng)站管理員使用的密碼哀墓,都需要定期進行弱口令掃描,服務(wù)器需要設(shè)置密碼復(fù)雜度防止弱口令的產(chǎn)生喷兼。
3篮绰、網(wǎng)站程序應(yīng)設(shè)計合理并注意安全代碼的編寫:在書寫代碼時,要注意對輸入的串進行約束季惯,過濾可能產(chǎn)生攻擊的字符串吠各,特殊權(quán)限頁面要添加身份驗證代碼。
4勉抓、設(shè)置合適的網(wǎng)站權(quán)限:為網(wǎng)站目錄文件和每個網(wǎng)站創(chuàng)建一個專屬的訪問用戶的權(quán)限贾漏,僅分配只寫權(quán)限的目錄文件,其他均為只讀權(quán)限藕筋。
5纵散、防止欺騙攻擊:安裝ARP防火墻或者手動綁定網(wǎng)關(guān)MAC地址等,針對運營商等大型企業(yè)出口核心路由器需配置URPF隐圾,防止源地址欺騙伍掀。
6、落實網(wǎng)站的日常防護:對網(wǎng)站應(yīng)用進行定期的滲透測試暇藏,定期對網(wǎng)站文件進行全盤Webshell掃描蜜笤,服務(wù)器安全補丁升級到最新版。
四盐碱、網(wǎng)頁篡改監(jiān)測方案及效果
避免網(wǎng)頁篡改事件發(fā)生的關(guān)鍵是事前監(jiān)測把兔,為了實現(xiàn)對網(wǎng)頁篡改安全事件的快速監(jiān)測和處置沪伙,除了在網(wǎng)站開發(fā)和運維階段做好漏洞的監(jiān)測與及時修復(fù)外,還需構(gòu)建安全可靠的網(wǎng)頁監(jiān)測體系县好,滿足企業(yè)安全監(jiān)管和日常運營需求围橡。鵬信科技提供的基于AI研判的網(wǎng)頁篡改監(jiān)測與處置方案,聚焦篡改事件自動化分析研判聘惦,解決網(wǎng)頁監(jiān)測效率低某饰、監(jiān)測告警誤報量大儒恋、告警研判效率低善绎、監(jiān)測閉環(huán)處置難等問題,主要從以下幾點開展建設(shè):
1诫尽、站點監(jiān)測統(tǒng)一管理
采用高性能監(jiān)測框架禀酱,對站點及監(jiān)測任務(wù)統(tǒng)一智能管理,提升站點管理效率牧嫉,便于查看站點監(jiān)測數(shù)據(jù)信息剂跟,及時發(fā)現(xiàn)網(wǎng)站異常變化。
2酣藻、輕量數(shù)據(jù)處理框架
采用輕量化的大數(shù)據(jù)處理框架曹洽,依托分布式爬蟲引擎實現(xiàn)頁面數(shù)據(jù)的匯總,并進行一定的歸并和告警壓制處理辽剧,自定義設(shè)置數(shù)據(jù)采集參數(shù)送淆,滿足不同的監(jiān)測需求。
3怕轿、監(jiān)測結(jié)果多維研判
在獲取頁面圖片偷崩、文字、CSS等元素后撞羽,依托AI分析引擎阐斜,引入神經(jīng)網(wǎng)絡(luò),語義分析诀紊、惡意圖片識別谒出、OCR識別等分析算法,智能分析篡改告警的置信度邻奠,提高篡改監(jiān)測告警準(zhǔn)確率笤喳。
4、篡改事件自動處置
篡改告警經(jīng)過AI算法的多維研判后惕澎,形成不同等級的安全事件莉测,并流轉(zhuǎn)至處置流程,通過設(shè)定可編排的安全應(yīng)急響應(yīng)策略唧喉,實現(xiàn)網(wǎng)頁篡改安全事件的頁面級自動化處置捣卤。
5忍抽、篡改監(jiān)測能力開放
網(wǎng)頁篡改監(jiān)測通過開放對外API接口,實現(xiàn)在云場景下篡改監(jiān)測安全能力開放董朝,幫助企業(yè)用戶輕松構(gòu)建安全鸠项、可靠的網(wǎng)站篡改監(jiān)測能力,實現(xiàn)網(wǎng)頁篡改的快速監(jiān)測與處置子姜。同時可為建設(shè)方創(chuàng)造安全增量價值祟绊。
五、總結(jié)
網(wǎng)頁篡改監(jiān)測與處置是網(wǎng)絡(luò)安全領(lǐng)域重點關(guān)注的問題哥捕,從應(yīng)用提供方角度看牧抽,需要加強站點自身安全建設(shè),及時發(fā)現(xiàn)網(wǎng)站自身漏洞遥赚、木馬等安全風(fēng)險并進行徹底根除扬舒。從監(jiān)管和運營角度看,需做好安全網(wǎng)站的常態(tài)化監(jiān)測和應(yīng)急響應(yīng)凫佛。
鵬信科技網(wǎng)頁篡改監(jiān)測產(chǎn)品解決方案聚焦網(wǎng)頁篡改事件監(jiān)測讲坎、研判、處置愧薛,有效解決行業(yè)內(nèi)篡改告警量大晨炕、誤報率高、處置效率低等問題毫炉,可實現(xiàn)篡改數(shù)據(jù)一鍵接入瓮栗,多維特征關(guān)聯(lián)分析,智能插件輔助決策碘箍,篡改事件自動處置遵馆。通過構(gòu)建多維度篡改事件動態(tài)研判框架,引入多達(dá)10項以上特征研判并形成可靠的置信度預(yù)測丰榴,同時基于研判結(jié)果自動化完成頁面級的安全封堵货邓,為客戶輕松構(gòu)建安全可靠的網(wǎng)頁監(jiān)測體系,保障網(wǎng)站安全四濒、穩(wěn)定運行换况。
注:文中部分內(nèi)容引用《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)實戰(zhàn)指南》.
