近日,一个代号为“野鸡”藏独组织以匿名者组织的名义在互联网上发布的攻击预告引起了较多的关注,虽然事后经过各界调查发现没有证据显示 “野鸡”组织与匿名者组织有关。但仍有许多企业和组织机构担心在节假日之期间遭受黑客组织的攻击,问询应该如何有效应对。为了帮助广大企业和组织机构更好地布置网站的节前安全防护工作,绿盟君分享应对大规模攻击的实践经验和相关防护建议,供大家参考。
2010年以来,国家互联网应急响应中心发布过的大规模攻击事件相关的通报与预警一共有8次(见表1)。从时间分布上来看,我们不难发现大规模攻击相关事件其实与节假日没有关联,针对大规模攻击事件的防护工作其实是日常安全防护中的一部分。我们应该尽量在日常安全运营工作中做好此类事件的风险管控。
表1、大规模攻击事件相关的通报与预警
针对大规模攻击要做哪方面风险管控工作
从表1中8次公告与预警的内容来看,我们发现其实大规模攻击事件需要控制的风险点大致分为4类,DDoS攻击、病毒传播与爆发、紧急高危漏洞、已知高危漏洞的利用行为。
针对DDoS攻击的防范
DDoS攻击是一种门坎低、成本低、隐蔽性高、易成功的攻击方式,是有组织黑客团体经常使用的一种手段。对于具有核心业务系统的企业和组织架构来说,DDoS防范非常重要。
在日常安全运营体系中,我们建议采用本地清洗+互联网清洗的双层防护架构分别针对资源耗尽型攻击和流量型DDoS攻击进行防护。在节前,企业可以考虑使用采用使用云端DDoS防护服务应对大规模DDoS攻击。由于大规模DDoS攻击目标众多,攻击方法很难采CC一类的“定制化”攻击,所以采用云端防护可以大幅度提升企业应对大规模DDoS攻击能力。
针对病毒传播和爆发的控制
病毒的传播和爆发,主要有两种途径,一种是通过病毒文件感染个人终端,另外一种是通过主机漏洞的利用在内网进行传播。前者主要是通过部署防病毒软件控制风险,对于后者主要通过安全域之间访问控制和主机漏洞管理进行控制蠕虫爆发带来的风险。安全域间访问控制主要是白名单机制阻断与业务无关的访问,大幅度降低蠕虫跨安全域感染的几率,而通过主机漏洞检查与修复,可以消除主机被感染的风险。
由于放假期间,很少有个人终端接入网络,所以病毒爆发几率低,病毒传播与爆发的控制可以不作为节假日期间安全防护的重点工作。在节前,企业和组织架构可以重点考虑在不同安全域间针对当前流行的几种常见病毒传播利用的端口进行“专项”封堵。
针对紧急高危漏洞风险控制
紧急高危漏洞曝光时间无法预测,一旦在互联网上曝光大范围应用的第三方系统或组件的漏洞,很有可能引发无大规模攻击事件发生。为了更好地控制高危漏洞带来的安全风险,企业和组织应该及时关注主管机构和安全厂商发布安全预警与通告,并根据漏洞影响的组件和条件判断对业务系统的影响,在第一时间通过更新和应用入侵防护系统或Web应用防火墙等设备的安全规则,将曝光在互联网上的漏洞进行有效防护。
在节假日期间,企业可以通过定期查询主管机构安全通告及时获取预警信息(如表2所示),也可以通过订阅安全厂商安全预警或通告服务获取预警信息。
表2、主管机构安全通告信息
对于已经购买和部署安全防护设备的企业和机构,通过安全厂商的服务完成紧急漏洞的防护工作。对于未部署和采购安全设备的企业来说,可以考虑在节假日期间使用云WAF等云端安全服务对网站进行监控与防护,降低紧急高危漏洞带来的风险。
高危漏洞利用行为的控制
针对对外系统的高危漏洞利用行为的管控是日常安全运营体系中的重点工作,可以分为两个主体部分,一部分是已知漏洞和隐患管理、一部分是威胁监控。
由于以上内容工作量较大,实施周期较长,企业可以考虑将节前的重点工作放在威胁预防和威胁监控上。对于已经部署安全防护类设备的企业可以通过在节前通过厂商巡检服务或安全设备可管理的安全服务(MSS)完成安全策略优化,通过策略优化针对已知的高危漏洞定制安全防护规则,及时拦截高危漏洞的利用行为,将已知高危漏洞的风险降至最低。另外一方面,企业也可以考虑通过厂商提供的可管理的威胁检测与响应服务或云端SaaS服务在节假日期间实施威胁监控或审计。
绿盟科技已推出春节重保安全防护服务套餐,应对有可能发生的网站安全威胁。套餐包含云监测、云WAF、云清洗服务,针对网站安全隐患监测排查、攻击防御、攻击处理,形成一整套涵盖网站安全运营周期中的立体闭环防护体系, 7*24小时保障客户网站安全。