随着互联网技术的不断发展,越来越多的企业和组织通过门户网站、在线服务平台等向公众提供服务,Web应用的重要程度不言而喻。
由于Web应用具有访问对象开放、技术架构复杂、涉及场景多样等特点,使其长期成为攻击的第一目标。根据360最新的调查报告显示,信息安全攻击中超过75%都发生在Web应用层而非网络层上,可能造成的危害结果包括服务器沦陷、数据信息泄露、服务应用中断、网站内容篡改等,每年都给数以万计的用户造成了巨大的损失。
与此同时,国家机关和行业监管部门也不断加大监察和惩治力度,通过自建监测平台或者与互联网众测平台合作等模式,监管机构拥有了越来越专业的Web安全检测手段,这使得系统运维者面临的防护压力与日俱增。
360企业安全集团作为国内最大的信息安全企业,拥有东半球最权威的安全研究团队,通过对各类攻击威胁的深入分析,陆续研制出各类Web安全产品及服务,方案涵盖Web安全防护、Web漏洞检测、网站群态势感知、互联网众测、网站内容安全、Web运维安全等多个维度,通过云端+本地的方案整合,可以极大的提升用户Web系统的整体安全预警、监控及防护能力。
业务挑战
Web系统的安全建设涉及到风险的发现与处置两个方面,良好的Web整体防护体系需要具备提前感知漏洞存在的能力,并通过有效的技术防护手段落地,降低或者消除漏洞暴漏的风险,达到整体防护能力提升的目标,详细分析“安全监测”与“安全防护”这两个领域,用户需要解决的业务挑战包括:
安全监测
1、Web漏洞的感知与验证
2、Web系统可用性监控
3、源代码安全分析
4、0 Day漏洞发现
5、Web未知资产监测
安全防护
1、DDoS攻击防护
2、0 Day漏洞防护
3、Web常见攻击防护
4、Web 页面内容防护
5、Web数据防护
6、Web运维防护
解决方案
方案组成
360基于“云+本地”的Web安全解决方案,整合了自主研发业界领先的众测平台、代码安全扫描工具、云端监测工具、云端防护SAAS服务、本地应用及漏洞感知系统等多种先进技术手段,可以有效的从Web系统生命周期的各个环节管理和控制可能出现的Web风险,帮助用户建立起快速、有效、自动、全面的整体安全防护体系,保障Web应用安全性的同时,降低监管压力和合规风险。
安全防护方案组成如下图所示:
部署示意图
对于典型的Web类应用的安全防护,设备及服务的部署方式如下图所示:
方案优势
360Web安全防护方案涵盖IDC定义的Web 安全产品三大方向:Web应用防火墙(WAF)、基于SaaS 模式的Web 安全监测、混合Web安全部署架构。2015-2016年,360在Web安全领域强势发力,先后发布了国内首个结合威胁情报技术的网站云监测SaaS服务及WAF v6.0版本,增强了产品对未知威胁的发现及防护能力。在以协同、联动为主题的ISC 2016大会召开后,360发布了国内首个云+本地的Web安全防护方案。利用云端带宽的优势对本地WAF防护大流量DDOS攻击能力的不足进行有效弥补。
全面的漏洞管理及评估流程,彻底发现系统潜在漏洞
1、代码卫士进行代码级安全检测,从系统开发早期发现应用缺陷,提升漏洞检出率的同时降低风险修复成本
2、通过云端网站监测有效发现Web漏洞、7*24小时监测网站可用性,云端漏洞自动验证,降低误报风险
3、本地鹰眼旁路监测设备,独创的镜像监听扫描模式,准确发现未知Web资产,自动完成漏洞检测
4、补天众测服务,集合优质白帽资源,深度分析定位系统漏洞,减少漏洞暴漏可能,降低监管压力
5、安全通告及预警服务,结合360云端大数据和补天平台威胁情报,提升用户漏洞管理能力
全面立体的纵深防护体系
1、有效应对海量DDoS攻击,云端安域+本地边界抗D+WAF应用层防护,有效应对SYN Flood、UDP Flood、UDP DNS Query Flood、ICMP Flood、HTTP GET等攻击类型,保证业务高可用
2、网站完整性保护,通过云端缓存结合服务器防篡改方式,有效监测和防护各种针对网页的篡改、暗链等攻击行为,保证网站页面完整可用
3、专业的安全服务团队提供云端监控及应急响应服务,快速定位并处置突发事件,针对重保需求,按需提供驻场服务
4、统一访问行为审计,帮助用户建立内部安全大数据平台,有效分析统计各种异常行为,提高攻击防护效果,解决法律取证难题
适用场景
本方案适用于政府、金融、教育、能源、工业等多种行业、覆盖大、中、小不同规模的Web类应用整体安全监测及防护场景。