近日,安全圈内发生一件让大家关注的大事,众多网站的用户数据“泄密门”令“信息安全”这个话题在一夜之间便成为了大家关注的焦点和热议的话题,随着事态的发展,让我们深刻感受到,“泄密门”与我们近在咫尺。
早在2006年,Gartner公司的一份调查显示,当时成功的攻击案例中有75%发生在应用层。到2009年,80%的企业成为了应用层攻击的受害者。众所周知,如今的IT系统日益复杂,IT业务面临的威胁及风险也越来越大,如Web下载、IM病毒、网络攻击、网站挂马等,“泄密门”也只是众多安全问题中的其中一个。而这些安全事件的核心更多集中在应用层面,如何保证应用的安全,将是用户对安全需求的重点。
针对本次的“泄漏门”事件,舆论焦点基本集中在“客户账号口令信息是明文保存”这个话题上,但就今天的硬件计算能力和密码破解技术来说,加密的用户密码只是增加了“信息被泄漏”后的破解成本,达到了“即使被偷了也很难解密”的效果,更积极的应对方式是“尽量不被偷走”、“即使被偷走了也很难解密”两手同时抓。最大程度地减少信息泄漏的可能性,降低信息泄漏带来的风险。
应用安全解决方案是核心
目前,我们所熟知的安全防范大致可分为几种:传统的防火墙、IPS/IDS/DLP,应用安全解决方案。
传统的防火墙采用的是被动的安全原则,使用白名单的机制,只允许符合安全原则的访问通过。从技术上来看,防火墙工作在七层网络协议的第三层,采用状态检测技术检查和转发TCP/IP包,从而实现安全区域的隔离和访问控制。这就决定了防火墙只能判断TCP层面的网络攻击,而不能防Web应用攻击,因为它识别不了数据包的内容。黑客利用系统本身漏洞、程序漏洞,通过正常的连接完全可以取得Web权限,进而篡改网页,如常见的 SQL 注入攻击,其表现层面完全是正常的数据交互查询。对于防火墙而言,这是正常的访问连接,没有任何特征能够说明此种访问连接存在攻击,但其实系统已经受到攻击。
IPS/IDS可以识别网络数据包的内容,进而判断是否安全,但IPS/IDS采用的是负向安全原则,是一种黑名单的机制,这就导致两个问题:一是难以跟上新的攻击手段;二是要判断的攻击行为太多,必然影响性能。
DLP产品和技术是最近几年兴起的一个新的安全分支,但若想DLP系统能够达到预期效果,需要企业事前对对敏感数据的数据模式特点,存放格式,存放位置,泄漏场景有全面和清晰的定义,比较适用于对于例如信用卡,身份证信息,电话号码等有明确数据格式的信息实施防泄漏防护,而对于用户账号/口令这类无法提取数据格式特性的数据泄漏,做起来就会比较吃力。
而应用安全解决方案可准确采用全代理的方式解析应用层数据包,,实现对应用层攻击的实时检测与防范。扩展了防火墙与IPS的优势,将其防护层面从经典的3-4层扩展到了全七层,填补了经典安全产品的防护空白。
保护敏感数据 远离“泄密门”
随着计算机网络技术的发展,方便快捷的互连网使人们渐渐习惯了从Web页上收发E-mail、购物和交易,这时Web页面上需要传输重要或敏感的数据,例如用户的银行帐户、密码等。现行网上银行和电子商务等大型的网上交易系统普遍采用HTTP和SSL相结合的方式。服务器端采用支持SSL的Web服务器,用户端采用支持SSL的浏览器实现安全通信,泄密从某种意义上解决了客户信息在互联网上明文传输易于被窃听和截取的问题。
F5应用安全解决方案
F5作为应用交付网络领域的领先厂商,为用户提供了全面且系统的应用安全解决方案。F5 BIG-IP应用安全管理器(ASM)出色地抵御第七层拒绝服务(DoS)攻击、跨站脚本攻击、暴力攻击(Brute Force)和SQL 注入攻击等,通过在一个灵活的、可扩展的平台上提供增强的集成安全特性。ASM作为一款出色的Web应用安全防火墙,通过一体化应用交付网络平台,提供应用和网站防护、完整的攻击专家系统,并且可以满足关键的法规要求。其卓越的性能显著减少和控制数据、知识产权和Web应用丢失或损坏的风险。
ASM除了加强企业对互联网场景的“对抗性应用防御“能力外,也可以实现应用层操作的全面审计,记录应用层操作日志,以便实现事后的取证或企业内网的安全控制管理。
F5的ASM产品作为唯一oracle官方选择的waf产品,可以与oracle最新推出的DBFW(数据库防火墙)产品紧密集成,构建业界最先进企业数据库系统安全防护方案。
为了应对更高的Web应用安全需求,F5还在去年推出了F5 BIG-IP Edge Gateway。作为一款高性能的下一代远程访问解决方案,首先是解决的是企业安全,其次保证企业用户链路速度,和没有在加密情况下甚至超越没有做安全的时候。借助这款BIG-IP Edge Gateway,F5 提供了市场上首款能够在单一、可扩展的平台之上,统一为远程用户提供安全 SSL VPN 访问、动态访问与优化控制,以及应用加速功能的应用交付控制器(ADC),同时不会受到用户所使用设备或接入网络的影响。
F5的另一款Web应用安全解决方案,F5 BIG-IP接入策略管理器(APM),重点解决企业it用户集中认证和授权的问题,使 IT 部门可以制定出更明智的安全接入决策。同时,借助集成到TMOS中的IP地理定位服务功能创建基于用户位置的策略,为企业员工(本地和远程)、移动员工、业务合作伙伴和用户提供基于策略的、可定制的 web 应用访问和身份验证功能,改善了最终用户体验并提高安全性。此外,APM 模块还极大地降低了与变更控制和法规遵从报告相关的成本。
总而言之,安全是个全方位全层面的系统工程,除了做好应用安全防护外,用户还要做好其他层面的安全管理和防护,在各个层面,各个角度的安全控制点(SCP)上做好安全防护工作,把企业的信息安全风险降到最低,这样才能真正远离“泄密门”,远离各种安全威胁。同时,我们也建议广大的个人客户,尽量避免在多个网站使用相同的账号的密码,加强密码强度,定期修改密码,保存好自己的密码,避免在个人电脑中明文记录自己的账号密码,在个人电脑上安装防毒软件,及时更新操作系统补丁和防毒软件,养成良好的个人信息安全保密习惯。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
亡羊补牢为时已晚:缺位的网络安全投资
在以前最大的网络安全威胁通常发生在网络层并且可以很轻松地缓解,因为IT部门对网络拥有完全的可见性,严格控制着对应用和数据的访问。如今的情况却大不相同。
-
调查显示:安全问题正在推动应用服务快速普及
随着企业向云端的迁移,安全性首次超越可用性,成为应用部署的优先考虑事项。由于应用服务的增加通常需要额外的资源,企业有意迁移至 DevOps 方法迁移以通过自动化和可编程性获得更高的运营效率。
-
又春节,如何让红包更安全的飞?
今年的春节又马上来临。除去支付app的摩拳擦掌,各大电商、网站都将在春节期间推出红包业务。如何在过年期间愉快的抢红包、安全的送红包?
-
F5:云端安全源于细节
据Gartner于2013年的研究显示,目前已有超过19%的企业,将大部分的管理模式迁至云端处理。在本文中,针对云环境下如何保证应用安全,F5安全专家给出了自己的几点建议。