純乾貨!深信服2017年安全威脅分析報告之網站安全篇
2017年是網路安全問題徹底暴露在全球網民視野中的一年。尤其是威脅全球的WannaCry勒索軟體事件,大至企業政府機構、小到普通網民無不感受到來自網路攻擊的巨大殺傷力。那麼,在這一年裡,中國的網站安全現狀究竟如何?深信服千里目安全實驗室從漏洞行業分布、漏洞類型分類、漏洞修復周期分析網站安全檢測情況,從網站篡改分類、網站篡改手段分析網站篡改情況,從網站攻擊整體情況、網站攻擊特徵、網站攻擊流量來源分析網站攻擊防護情況。一篇文了解網站安全形勢,獲取最佳網站安全防護建議!
網站安全形勢整體解讀
深信服安全服務平台在2017年授權檢測網站30餘萬個,其中:
(1)共發現386952個高危漏洞,網站安全依然不容樂觀;
(2)共攔截攻擊86.2億次,封鎖惡意攻擊IP15.9萬個,境內外攻擊形勢依舊非常嚴峻;
(3)共發現篡改事件75026次,網站被入侵情況依然嚴重。
同時,在2017的調查中發現,隨著安全事件頻發,相比2016年的保守防禦方式,有接近34%的企業和組織對安全警報和事件的態度逐漸發生改變,從過去的被動響應逐漸轉變為主動尋找網站風險,從根本上解決網站安全隱患。
網站安全檢測情況
漏洞行業分布
自2017年1月1日起至12月31日,深信服安全服務平台對全國11個行業(其中包括政府、教育、醫療、金融、企業、能源等)30餘萬個域名(或IP)監測發現:
網站監測中除企業類網站,佔比最多的是政府類和教育類網站,政府類網站有52062個,教育類網站有49025個。由此可見,政府和教育類網站管理者安全意識逐漸增強,正在積極尋求安全協助,保障網站安全。
漏洞類型分類
根據漏洞類型的不同,在所有監測網站中共發現高危漏洞386952個,其中,XSS注入160926個、SQL注入84130個、配置不當52470個、命令執行24060個、代碼執行24060個、拒絕服務19264個、弱密碼12640個、未授權訪問8368個、認證繞過6050個。
由此見,常規漏洞XSS注入、SQL注入等依然是危害網站安全的重大殺手。除此之外,由於網站管理員不安全操作導致的配置錯誤,也是引髮網站風險的重要因素。針對這些漏洞,我們建議在網站開發和運維過程中,採取下述手段降低安全隱患:
● 對網站開發人員進行安全編碼培訓;
● 請專業安全人員對網站架構和源代碼做全面的安全審計,修復安全漏洞;
● 網站運營中,及時升級,包括操作系統、資料庫、中間件等;
● 對網站各個組件、服務進行排查,關閉無用服務和組件,修改默認配置及密碼,並使用強度較高的密碼;
● 採取備份手段,並時常備份網站的關鍵業務數據;
● 對敏感信息加密,包括敏感信息的存儲加密和傳輸加密;
● 採用專業的Web應用安全產品。
漏洞修復周期
在2017年期間,深信服安全服務平台隨機挑選存在漏洞的政府類網站、教育類網站、企業類網站各1000個,進行漏洞修復監測。深信服發現,在所有網站中,高危漏洞修復效率最高,從漏洞檢測通告到修復平均用時30天左右。其中大型企業對網站安全的關注度最高,中低危漏洞在檢測發布後也在持續減少,教育行業網站建設存在安全隱患最多,且修復周期最長。
造成網站修復率底的原因除了管理員安全意識不足外,還有以下幾點:
●用戶單位沒有專業安全人員,不具備修補安全漏洞的能力;
●第三方廠商擔心影響公司榮譽,有意忽略漏洞,不發布安全補丁;
●缺乏統一漏洞推送機制,很多廠商發布安全補丁或者升級服務都直接在官網發布,不會定向推送給網站使用者;
●開發者定製開發的網站系統難以與發布的安全補丁相匹配,影響網站修復速度。
網站篡改情況
2017年1月1日開始至12月31日截止,深信服千里目安全實驗室持續監控互聯網中已被入侵篡改的網站,共涉及政府、醫療、教育、金融、大中小企業等篡改案例多達75026例。被入侵的網站輕則淪為黑客獲利的工具,為黑站引流;重則系統遭到破壞,數據丟失,網站內容被惡意更改,損壞客戶利益和公眾形象。
網站篡改分類
從篡改表象來看,我國被篡改的網站主要有以下六種類型:1、被植入賭博類網頁/關鍵字/鏈接;2、被植入色情類網頁/關鍵詞/鏈接;3、被植入遊戲私服類網頁/關鍵字/鏈接;4、被植入違法交易產品信息(辦假證/槍支等)頁面;5、被植入涉政言論(詆毀黨政國家);6、黑客炫耀技術,植入個人信息增加圈內知名度。
從深信服千里目安全實驗室採集到的網站篡改樣本來看,以獲取經濟利益為目的的賭博、色情、遊戲私服類篡改占所有篡改總數的80%以上,是網站篡改的常見內容,具體分布如下:
網站篡改手段
2017年深信服千里目安全實驗室一直在關注和搜集公網中被篡改的網站,除了基於政治目的的惡意詆毀篡改,以及基於炫耀目的的掛黑頁篡改以外,其他篡改手段都是基於黑帽SEO技術手段實施。
篡改手段一:直接篡改網頁文本、鏈接和圖片
此類篡改一般通過技術手段入侵網站後台或者伺服器,修改網頁文字/圖片,較為簡單,一般以惡作劇為目的。網站管理員面對此類篡改,需要刪除篡改關鍵字,修改後台密碼,同時全站檢查後門漏洞。
篡改手段二:植入單個篡改網頁
這種篡改手段在實現上並不需要特別高深的技術手段,黑客通常利用寄生蟲工具獲取互聯網中網站,批量植入後門和黑頁,變成自己的所有品,在互聯網刷存在感。對於這種篡改手段,網站管理員直接刪除伺服器上的黑頁即可,隨後再對網站進行全站檢查,清除後門,修補漏洞。
篡改手段三:DNS劫持
DNS劫持又叫域名劫持,通過攻擊域名解析伺服器(DNS),或偽造域名解析伺服器(DNS)的方法,把目標網站域名解析到錯誤的地址從而實現用戶無法訪問目標網站的目的。DNS劫持危害嚴重,一方面可能影響用戶的上網體驗,用戶被引到假冒的網站進而無法正常瀏覽網頁,尤其是用戶量較大的網站域名被劫持後惡劣影響會不斷擴大;另一方面用戶可能被誘騙到冒牌網站進行登錄等操作導致隱私數據泄漏。
遇到此類篡改的網站管理員,需立即修改域名管理平台密碼,加強密碼複雜度,並將惡意解析的IP地址換成正確的伺服器IP地址。
篡改手段四:網站前端劫持
網站前端劫持又稱之為跳轉劫持,其表象為用戶輸入地址A,在瀏覽器中訪問後跳轉到地址B。通常是在網站的相應頁面中插入JS腳本,通過JS來進行跳轉劫持。目前此類劫持通常還會加入附加條件,使得劫持更加隱蔽,難以發現。判斷條件一般會根據IP歸屬地、user-agent或referer進行判斷。針對這種篡改案例,需要清除網站頁中JS跳轉代碼,同時全站查找後門,修復漏洞。
篡改手段五:網站伺服器劫持
此手法往往是通過修改網站伺服器asp/aspx/php等後綴名文件,達到網頁劫持的目的。針對此類篡改需要在伺服器上檢測全局腳本文件,分析其是否被惡意修改,並修改配置文件。
基於以上篡改手段,針對被篡改的網站,建議網站管理員:
●定期修改域名解析管理密碼、網站後台管理密碼,並保證密碼複雜度;
●定期檢測網站漏洞,及時修復漏洞;
●定期備份網站文件,並檢查文件完整性,尤其是一些不常修改的配置文件;
●對於已被入侵的網站,及時清理篡改和暗鏈,並在全站查找清除後門,最後通過專業漏掃工具或安全滲透專員查找網站漏洞,完全修補漏洞。
網站攻擊防護情況
網站攻擊情況整體解讀
2017年是網路攻擊達到高峰的一年,各種安全事件頻發,攻擊工具泛濫,導致2017年的攻擊流量比2016年多出52%。
自2017年1月1日起至12月31日,深信服下一代防火牆、信服雲盾等安全防護產品對全國11個行業(其中包括政府、教育、醫療、金融、企業、能源等)超過10萬個域名(或IP)做安全防禦,共攔截網路攻擊86.2億次。封鎖惡意攻擊IP 15.9萬個。每月攔截攻擊次數,封鎖IP個數走勢圖如下:
從攻擊流量數據來看,2017年攻擊流量最多的三個月分別是4月、5月和10月。由此可見,在重大安全事件爆發時期,以及國家重大會議活動期間,黑客活動猖獗,建議用戶在特殊時期更應該進行網路安全防護加固,避免中招。
網站攻擊特徵分析
深信服千里目安全實驗室通過對86.2億次攔截的攻擊流量進行特徵分析發現,大部分攻擊流量為自動化探測工具發送,其中常見的Web漏洞、伺服器漏洞、0DAY漏洞掃描探測、管理登錄頁面、後門頁面、資料庫頁面爬取以及DDoS攻擊流量佔比最高,各類攻擊攔截次數TOP10如下表所示:
其中攻擊攔截類型分布佔比情況如下:
其中,高居首位的DDoS攻擊可用自動化程序瞬間發動成千上萬肉雞對目標進行攻擊,攻擊成本小,但對被攻擊的目標卻很容易造成宕機等嚴重後果。排名第二的管理登錄頁面掃描攻擊是黑客常用的攻擊方式,幾乎所有掃描工具都會對管理頁面進行探測,以達到暴力破解獲取系統許可權的目的。
如今市面上種類繁多的自動化攻擊工具,極大地降低了攻擊成本,技術能力較差的人員也能夠使用自動化工具對網站進行掃描或發起其他攻擊。自動化攻擊或探測工具是目前網路攻擊流量的最主要來源。
網站攻擊流量來源分析
深信服千里目安全實驗室對被封鎖的15.9萬惡意IP進行統計,發現廣東地區是攻擊流量的主要直接來源地,其中有3.2萬惡意IP歸屬地為廣東,總攻擊達到24.46億次,佔總攻擊流量的23%。其次是香港和境外(美國、日本等地)。攻擊流量來源地TOP10如下圖所示:
其中針對境外攻擊流量,目前國內缺乏有效的追蹤手段,因此,通過國外流量進行攻擊備受黑客青睞。經研究,境外攻擊流量的原因有兩點,一是國內攻擊有意使用境外IP做跳板,逃避電子取證法律追究;二是來自境外有組織有計劃的攻擊行動。無論哪種原因,都對我國網路安全造成嚴重威脅。
本文截選自報告中部分內容,
關於網站安全更多詳細內容
請關注「深信服科技」公眾號並在後台留言獲取報告。
TAG:深信服科技 |