如果把重大活动保障前的“安全加固”工作比作“防御工事”的构建,如何建设并加固有层次、能联防的组合防线,是实现高效防御的重中之重。
安全“防御工事”的构建可以从网络、边界、主机等各层面入手,部署完备的安全工具加固防线,并通过云安全中心、威胁情报等实现安全的一站式联动控制,以及功能互通和数据协同。
上一篇我们讲到搭建第一道防线的最佳实践,这一篇我们针对如何保护核心的Web应用安全展开,深度剖析攻防演练中Web应用防护的最佳实践。
知攻懂防,先摸清蓝军攻击手段
一般来说,在攻防演练场景下留给蓝军的时间只有2-3周,且需要同时攻击多个目标,这也就决定了蓝军的攻击特点往往更快、更准、更狠,他们往往会利用大量的自动化工具、商业化IP代理工具进行探测及绕过,针对暴露资产、服务迅速展开攻击。
常见的Web应用攻击手段有以下几种:
- 分布式扫描器:采用分布式扫描器频繁变换攻击来源IP,从免费代理、IDC、VPS 、网络收费代理、再到 4g 基站、物联网、家宽、秒拨IP、云函数代理、serverless代理、worker 代理等等,通过变换庞大数量的来源IP对服务进行持续扫描攻击,常规发现1个IP就封禁1个IP的应对措施往往具有滞后性。
- API Fuzzer:利用Fuzzer 对业务的API进行风险探测,包括但不限于权限漏洞发现、业务逻辑漏洞发现、安全措施薄弱点发现及绕过、用户遍历、数据遍历等Web 防护的薄弱点,需要利用工具快速发现攻击者的此类非基础安全漏洞的攻击嗅探、尝试。
- 可混淆流量的恶意终端连接器:传统的通过文件上传落地的Webshell或需以文件形式持续驻留目标服务器的恶意后门的方式逐渐失效,攻击难度逐步加大,攻击方开始采用无文件落地的内存webshell进行攻击。
由点及面,再分析应用安全治理现状
随着业界对于云计算技术的不断探索和广泛应用,更多企业开始落地云原生架构改造以提升企业整体资源使用效率,实现降本增效。与此同时,应用安全治理的边界和需要解决的关键问题也有所不同:
- 开源软件应用广泛:开源软件应用的越来越多,随之带来的开源软件漏洞也随之增多,如:Log4j2、shiro、fastjson ……
- 云原生环境变化:云原生环境带来便捷的同时,也带来了环境配置的问题,存在环境配置不当出现的应用安全风险项,如:容器逃逸、API配置不当、文件驻留、命令执行……
- 应用安全逐步左移:在安全运营治理的过程中,会加入来自SAST、DAST、IAST等相关的安全左移能力。虽然收敛了基础安全漏洞。但也不可避免的会将攻击者的视线与业务/数据安全所结合,如:业务逻辑、API问题、越权……
- 多端接入:客户端的接入方式更加多变,也导致了同一个业务会有多种客户端同时接入。会造成不同端上的防护粒度/处置策略不一致的现象出现,也容易被攻击者进行针对性伪装。
- 流量攻击增加:业务流量攻击增加,如:CC攻击流量、多源低频CC、BOT爬虫、Sniper Bot ,Fuzzer……造成安全运营成本增加,安全运营规则需要快速更新迭代以应对攻击者的对策。
因势布防,全方位保护Web应用安全
结合实际的治理难点,腾讯安全总结了如下应用安全治理的破局之道,供企业防守团队参考:
- 注重Web攻击识别和防御,如 OWASP 定义的十大 Web 安全威胁攻击
- 结合 0day 漏洞虚拟补丁,防护紧急漏洞
- 多端接入安全管控,并配置细粒度的处置策略
- 重视业务终端、账号的异常识别,结合情报发现并禁止恶意访问源
- 通过BOT行为管理实现对恶意流量的快速感知及自动化进化的处置策略,自动化对抗BOT及CC攻击
而腾讯Web应用防火墙是一款基于AI的一站式Web业务运营风险防护方案,沉淀了腾讯20多年业务安全运营及黑灰产对抗经验,能够高效提升Web应用安全防护水位,结合客户端风险识别、入站威胁情报、大数据分析等能力从多维度多层次体系化地对抗恶意流量,拦截率99%以上。
使用腾讯Web应用防火墙的用户可以通过以下6步的最佳实践检查自身Web安全防护配置,收敛安全风险的同时确保启用了有效的安全防护:
其中,BOT防护是针对Web业务资产做专项治理的有效手段,在配置过程中我们可以着重注意以下几点:
- 开启客户端风险识别:配置防护路径实现整站防护,开启自动化工具识别、页面防调试开关,并启用拦截模式。
- 配置智能分析模块:开启威胁情报模块,配置智能统计且设置为宽松模式,配置动作设置并设置相对严格的分数区间和采取动作。
- 配置会话管理:自定义策略支持拦截异常访问源,如BOT机器人、代理、IDC、网络攻击、扫描器、账号接管等;支持拦截异常客户端,如游戏或电视终端, 公开BOT类型, 未公开BOT类型, 自动化工具, 未知类型等;支持拦截异常参数Fuzz、拦截访问速率异常与异常访问时长、拦截 FakeUA 滥用爬虫、拦截 Referer 滥用、拦截 未登录用户、拦截目录扫描器等。
以上是我们在攻防演练期间针对Web应用防护的治理思考和最佳实践,欢迎关注服务号持续交流。