当客户问你我们的网站安全吗?我们到底该如何回答?
“我们的网站安全吗?”如果你们公司的CEO这样问你,你到底该如何回答?如果你回答“是”,CEO可能会说“请你做出证明”,你会怎样做出证明来证明自己的网站防护做的很好呢?以下将
|
前言: “我们的网站安全吗?”如果你们公司的CEO这样问你,你到底该如何回答?如果你回答“是”,CEO可能会说“请你做出证明”,你会怎样做出证明来证明自己的网站防护做的很好呢?以下将是祥奔科级为大家列举了部分并说明了每一个回答的缺陷。 正文: 一、我们的网站符合支付卡产业数据安全标准(Payment Card Industry Data Security Standard, PCI DSS),所以是安全的。 与其他标准一样,PCI DSS是最低限度的标准。这就意味着,达到标准并不能确保我们的站点被入侵。虽然PCI是可以信赖的,但是请记住:如果你的站点是安全的,通过PCI是非常容易的,而只是通过的PCI审计,确不一定代表你的站点就是安全的。 二、我们的网站部署了商业的Web安全设备,所以我们的Web应用是安全的。 这个回答是对安全厂商的过得信任而导致的。安全厂商的网站或者产品说明书上说他们的产品会使网站更安全,而实际并非如此。如果使用不当,安全产品与其所防护着的网站一样会有问题。 三、由于我们使用了SSL,所以我们是安全的。 许多电子商务网站在显眼的地方会显示一张锁着的图片。这表明他们使用了从权威的认证授权机构购买了SSL证书来保证网站安全。使用SSL证书可以有效避免网络层截取与网络诈骗。但是其有一个弱点就是SSL完全无法阻止一个恶意用户直接攻击网站。 四、我们有警报显示我们阻断了Web攻击,所以我们的Web应用是安全的。 阻断攻击尝试的证据有说服力但是并不够。当管理人员问网站是否安全的时候,他们真正想知道的是,在网络攻防中的表现如何。CEO想知道的是能否成功的在攻击中防护网站的安全。从这个角度来说,您并没有正面回答一个问题。比如说打乒乓球,有人问你“谁赢了这个比赛?”,你却用统计的数据来回答,比如比赛局数,耗时等。而不是直接告诉他最终的分数。所以提供被阻断的攻击证据是一个有用的指标,但是他们想知道的是,有没有发生过成功的入侵。 有了这些概念作为背景知识,下面我列举一些对于衡量网站安全策略效果的最重要指标: ?日请求量:以数值(#)表示。他是网站流量的基准,提供其他指标的基础。 ?检测到的攻击(真正):以数值(#)和占日总请求数的百分比(%)表示。通常这个指标表示网站的恶意流量与安全检测的准确性。 ?未检测到的攻击(漏报):以数值(#)和占日总请求量的百分比(%)表示。通常这个指标能说明安全检测准确度的有效性。这就是在回答网络攻防战中表现如何时,被回避的关键指标。 ?误拦截的请求量(误报):以数值(#)和占日总请求量的百分比(%)表示。这个数据也能说明安全检测的准确性。这个数据对于许多企业来说非常重要,因为阻断了正常的流量意味着可能会影响收入。企业必须有一套有效的追踪误报率的方法,这回干扰到网站正常的请求流量。 ?攻击检测失败率:以百分比(%)表示。通常等于误报量与漏报量的和除以真正攻击量。这个百分比提供了你的网站安全检测准确率的总体衡量指标。 攻击检测失败率提供了在整个攻防战中表现的数据。可是,大部分企业都没有收集到足够获得此类安全衡量指标的数据。
五、我们没有检测到任何非正常行为,所以我们的站点是安全的。 退一步来讲,识别出网站中的异常行为似乎是对的。这种策略的不足就是需要收集到用于识别异常行为的数据。而大部分企业都没有恰当的配置他们的网站来收集足够的日志信息。 六、我们在收集到的完整的HTTP审计日志中分析恶意行为的特征,并无发现任何异常行为,所以我们的Web应用是安全的。 很多企业犯的一个最大的错误就是只是用以告诫为中心的事件来识别潜藏的攻击。如果只记录已经知道的恶意行为的日志,怎么知道返回时候可被绕过网站群安全,新的攻击方式层出不穷。所以,只分析已经知道的告警问题是不够的。必须把所有的HTTP请求的审计日志全部记录这样才能分析出多种特征的恶意行为。 七、我们在收集到的完整的HTTP审计日志中分析恶意行为的特征,并没有发现任何异常行为,同时,我们也会定期对网站进行测试来查找存在的安全漏洞,所以我们的Web应用是安全的。 识别并阻断网站攻击很重要,但是把这些攻击的目标与已知存在的漏洞进行关联更重要。假设你的企业通过安全事件管理系统(SIEM)来集中管理安全事件,而你是安全分析人员又一次针对微软的IIS服务器的漏洞的攻击请求被标注为恶意行为如果你没有使用IIS服务器的话,应该吧这种的告警性调到足够低。 八、我们在收集到的完整的HTTP审计日志中分析恶意行为的特征,并没有发现任何异常行为,同时,我们也会定期的对网站进行测试来查找存在的安全漏洞,还有定期测试我们的检测能力和事件响应能力,所以我们的Web应用是安全的。 看到这最后的回答,你就会明白为什么前面的回答都是不完整的。即使你知道你的网站哪里有漏洞,你也必须模拟攻击来确定你的安全防御是有效的。安全人员发现了这些攻击吗?是否正确的实施了安全响应策略?他们花了多长时间来实施?实施是否有效?只有回答了这些问题你才能真正知道你的防御策略是否有效。
祥奔科技钟振森从事网络技术9年,具备大量的建站和网站技术处理经验,专门解决网站建设,网站搬家,木马清除,系统加固,安全配置,攻击防护等网络问题。有问题,找祥奔! (编辑:拼字网 - 核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
