網頁防篡改系統與網站安全
隨著網路安全攻防實戰演習常態化,企事業單位的網路安全規劃標準、建設水平和管理能力均得到大幅提升,反過來也促進了網路安全產品的更新迭代。很多歷史悠久的網路安全產品都面臨著應用場景發生重大變化所帶來的挑戰,網頁防篡改系統也不例外。
傳統的網站安全防護體系中,網頁防篡改系統的防護目標是保護網頁不被篡改。狹義的網頁篡改,是指存在於 Web 伺服器上的網頁檔案被攻擊者修改。在過去,由於 Web 應用系統釋出、運維環節不規範,運維/開發人員安全意識薄弱,攻擊者可以利用各種 Web 伺服器檔案系統許可權管控上的缺陷直接篡改網頁。所以,傳統的網頁防篡改系統的防護焦點也定位在識別並阻止這種直接篡改網頁的行為。亦或在篡改發生後,及時識別篡改並採取阻止訪問、自動恢復被篡改頁面等處置措施。
網站運維的規範化、網站安全防護體系的日趨完善使得攻擊者直接篡改網頁變得越來越難。這一現狀迫使攻擊者將攻擊目標從網頁檔案本身轉向與網頁檔案相關的網站系統其它資源 (如配置檔案、上傳檔案、動態檔案等)。通過攻擊這些資源,迂迴達到篡改網頁檔案的目的。例如:攻擊者通過篡改 Web 中介軟體配置檔案,在其中加入重定向或反向代理處理,或者修改響應碼自定義頁面,進而實現不篡改網頁檔案卻讓訪問者在訪問網站時看到被篡改的內容。
此外,在近幾年的網頁篡改攻擊研判案例中,攻擊者通過供應鏈攻擊、旁站攻擊等攻擊手段達成篡改目標網站網頁檔案目的的事件屢見不鮮。例如:攻擊者通過探測網站後臺入口,再通過撞庫、爆破等手段登入網站後臺,進而利用後臺程式漏洞植入惡意程式或直接在後臺編輯包含不當內容、不當連結的網頁。
傳統的網頁防篡改產品無力應對上述挑戰,主要是以下幾方面原因:
-
傳統網頁防篡改產品確定產品的防護邊界完全依賴於產品實施人員的經驗。防護邊界定的過窄,則防護可靠性大打折扣;防護邊界定的過寬,則防護措施的可行性難以保證。
-
不同型別檔案的變更方式和頻度不一樣,如框架檔案和靜態資源等變更頻率較低,而使用者生成的檔案變更頻率高且型別眾多。可採用的防護手段和防護手段所能達到的防護效果都受到客觀條件的約束。傳統網頁防篡改產品即使有足夠多樣的防護手段,要想針對不同防護物件採取恰當的防護措施,也要受制於產品實施人員的經驗。
-
傳統環境下的網頁防篡改系統是在一個相對封閉的環境中執行的。也就是說,傳統環境下,網站都是相互隔離的,一個單位的網站被篡改並不會對另一個單位的網站造成任何實際的影響。但當下,在虛擬化環境逐漸成為主流的背景下,網站從“獨門獨棟”的執行環境變成了“合租”甚至“群租”的執行環境。在這種環境下,一個單位的網站被篡改就有很大可能會造成整個虛擬化環境中的網站都面臨巨大的安全風險。因此,虛擬化環境中的網頁防篡改系統僅僅自掃門前雪是不行的,還要在對篡改攻擊追根溯源的基礎上,對攻擊者在篡改攻擊過程中埋下的各種安全隱患進行清理和隔離。而傳統網頁防篡改產品並不具備這樣的能力。
因此,為了應對這些新挑戰,要實現具備實戰對抗能力的網頁防篡改,就不能僅僅只保護網頁檔案。而需要從網站安全的整體視角大處著眼,從對抗各種篡改攻擊的細微處入手。這就要求網頁防篡改系統有足夠的防護手段,並且針對不同防護物件採取恰當的防護措施。
為了應對上述新挑戰,上海天存資訊科技有限公司推出了iGuard網頁防篡改系統 V6.0版,簡稱iGuard V6。iGuard V6將防護焦點從網站系統的檔案或目錄轉向到網站系統本身。通過全面梳理網站系統的資產從安全工程的角度審視整個網站系統,勘定網頁防篡改系統的防護邊界。
iGuard V6 將各種可用於實現網頁防篡改的技術和工具集成於一個統一的平臺上。依據防護物件在 Web 服務中所起的作用,將它們劃分為四種類型,並依據 Web 應用程式的運維特性,確定防護物件的更新方式。防護物件的型別與更新方式,決定了其具有不同的脆弱性。iGuard V6 根據防護物件的脆弱性對其採用差異化的防護措施。
iGuard V6 的防護機制分為常態防護和對抗防護兩個維度。常態防護在平時針對網站系統所面臨的篡改威脅對相關檔案資產進行完整性和安全性監測;對抗防護在戰時對檔案遭到的篡改攻擊進行實時偵測和攔截。通過平戰結合的綜合措施消弭網站系統的篡改風險。
如果將網站系統視為一座城池,iGuard V6 在這座城池上構建起一套縱深防禦體系,針對攻擊者的各種攻擊手段,採取層層布控、堅壁清野、正本清源等各種策略,實現固若金湯的網頁防篡改。
例如,針對攻擊者攻陷網站後臺篡改網頁的攻擊手段,iGuard V6 採用“堅壁清野”和“正本清源”的防禦策略:
No.1 堅 壁
利用應用防護模組抵禦攻擊者為了探測/登入網站後臺發起的 SQL 注入攻擊等 Web 應用層攻擊。
No.2 清 野
在網站後臺伺服器上通過輪詢掃描/比對對關鍵目錄進行掃描,發現並清理攻擊者已經植入的 WebShell,通過驅動過濾、驅動掃描阻止攻擊者植入新的 WebShell。
No.3 正 本
通過採用可信釋出機制,在釋出可信源上對待發布檔案進行審查,發現其中的偽裝檔案、網頁木馬以及包含不當連結和敏感文字的網頁檔案。
No.4 清 源
對通過審查的待發布檔案簽發數字水印,數字水印不可偽造、不可篡改。輪詢比對對關鍵目錄下檔案進行數字水印校驗,內嵌比對在網頁被訪問時進行數字水印校驗。只有攜帶數字水印才允許駐留於 web 伺服器上並被正常訪問。
這樣一來,攻擊者無論是利用後臺漏洞上傳 WebShell 來篡改網頁,還是汙染程式原始碼並將汙染後的原始碼通過合法渠道更新到 Web 伺服器形成篡改攻擊,都能被有效遏制。(天存資訊)