安恒玄武盾技術(shù)白皮書-網(wǎng)絡(luò)行為審計(jì)

1、安恒玄武盾技術(shù)白皮書 【文檔密級：內(nèi)部使用】1.安全背景隨著越來越多的用戶將傳統(tǒng)的業(yè)務(wù)系統(tǒng)遷移至云平臺中，而目前眾多云平臺企業(yè)關(guān)注的更多是基礎(chǔ)實(shí)施的完善和業(yè)務(wù)的開展，對于安全層面的關(guān)注較少，對于云端安全形勢非常嚴(yán)峻，而目前基本都采用傳統(tǒng)的硬件WAF部署，一方面部署比較廢時(shí)廢力，而且用戶需要重復(fù)投資安全設(shè)備，另一方面用戶需要自己管理和運(yùn)營安全產(chǎn)品，對于缺乏安全專業(yè)知識的用戶帶來困擾。從傳統(tǒng)的安全市場總體規(guī)模分析，目前的安全市場只是冰山一角，在互聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算的大趨勢下，我們會接觸到很多新的領(lǐng)域，相信我們的玄武盾能給安全市場帶來新的開始。2.產(chǎn)品介紹2.1工作原理玄武盾基于大數(shù)據(jù)和云防護(hù)平臺

2、，采用零部署的云計(jì)算解決方案，用戶無需在本地部署任何安全設(shè)備，只需將DNS映射至玄武盾CNAME別名地址或NS方式，即可完成WEB安全防護(hù)、DDOS防護(hù)。2.2產(chǎn)品功能2.2.1網(wǎng)站防護(hù)玄武盾提供了目前業(yè)界覆蓋范圍最廣、防護(hù)能力最強(qiáng)的安全防護(hù)，對Web網(wǎng)站或應(yīng)用進(jìn)行嚴(yán)格的保護(hù)。安全策略來自于Snort、CWE、OWASP組織，以及安恒安全研究院對國內(nèi)典型應(yīng)用的深入研究成果，覆蓋范圍如下：n HTTP協(xié)議規(guī)范性檢查檢查提交的報(bào)文是否符合HTTP協(xié)議框架，如異常的請求方法、不同字段的合規(guī)性、特殊字符、重點(diǎn)字段的缺失、HTTP方法控制、超長報(bào)文造成的溢出攻擊以及對高危文件的訪問等，黑客在使用非瀏覽器

3、工具調(diào)試時(shí)可迅速攔截。n 文件B超對用戶上傳的文件后綴名和文件內(nèi)容進(jìn)行全方面檢查，杜絕Webshell的上傳和訪問。n 注入攻擊防護(hù)對用戶提交的URL、參數(shù)、Cookie等字段進(jìn)行檢查，采用SQL語義解析技術(shù)防止風(fēng)險(xiǎn)系數(shù)極高的SQL注入攻擊，采用字符偏移技術(shù)對代碼、命令、文件、LDAP、SSI等注入攻擊的檢測，有效地防護(hù)了對操作系統(tǒng)和應(yīng)用的注入攻擊。n 跨站腳本攻擊防護(hù)采用字符差分技術(shù)對用戶提交的腳本進(jìn)行檢查，防止不合法跨站腳本。n 網(wǎng)頁木馬防護(hù)對頁面內(nèi)容進(jìn)行逐行掃描，檢查是否存在網(wǎng)頁木馬，防止客戶端被感染。n 信息泄漏防護(hù)對服務(wù)器響應(yīng)狀態(tài)碼、服務(wù)器錯(cuò)誤信息、數(shù)據(jù)庫錯(cuò)誤信息、源代碼信息泄露進(jìn)行

4、過濾，防止服務(wù)器信息被黑客利用進(jìn)行有效攻擊。n 掃描器防護(hù)對常見的wvs、appscan、nessus等掃描器指紋進(jìn)行有效識別進(jìn)行防護(hù)。n 第三方組件漏洞防護(hù)對WEB服務(wù)器容器、應(yīng)用中間件、CMS系統(tǒng)等漏洞進(jìn)行有效防護(hù)。n CSRF跨站請求偽造防護(hù)通過Referer算法和token算法有效對CSRF攻擊進(jìn)行防護(hù)。n 防盜鏈通過Referer和Cookie算法有效防止非法外鏈，和對用戶資源內(nèi)容的盜鏈。2.2.2內(nèi)容加速內(nèi)置Webcache及Webrar模塊，Webcache模塊對靜態(tài)頁面進(jìn)行高速緩存，提升WEB服務(wù)器連接可用性，Webrar模塊對頁面內(nèi)容進(jìn)行文件壓縮，提升服務(wù)器帶寬使用率。2.2

5、.3防DDOS、CC攻擊擁有專利級防DDOS/CC算法，有效防護(hù)實(shí)現(xiàn)對Syn-flood、upd-flood、tcp-flood、應(yīng)用層CC等DDOS攻擊，一方面解決了用戶網(wǎng)站被DDOS攻擊時(shí)的可用性問題，另一方面對玄武盾本身也加強(qiáng)了防護(hù)，這樣可持續(xù)保證用戶的網(wǎng)站穩(wěn)定運(yùn)行。2.2.4用戶獨(dú)立數(shù)據(jù)報(bào)表每個(gè)用戶擁有自身網(wǎng)站的數(shù)據(jù)和報(bào)表，用戶可查看訪問流量報(bào)表、安全防護(hù)報(bào)表，安全防護(hù)報(bào)表包含攻擊次數(shù)態(tài)勢分析、攻擊者區(qū)域態(tài)勢分析、攻擊者IP統(tǒng)計(jì)、被攻擊頁面統(tǒng)計(jì)、被攻擊域名統(tǒng)計(jì)、攻擊事件統(tǒng)計(jì)、攻擊威脅等級統(tǒng)計(jì)等。2.3用戶接入流程用戶納入玄武盾防護(hù)的流程如下：2.31.域名登記用戶聯(lián)系當(dāng)?shù)劁N售告知需要防

6、護(hù)的域名信息，并提供環(huán)境調(diào)研表，安恒安全工程師將域名進(jìn)行登記入庫；2.3.2.配置防護(hù)安恒安全工程師將用戶域名添加至防護(hù)列表，添加域名、回源IP、策略等信息；2.3.3.DNS映射安恒工程師配置完成后會通知用戶進(jìn)行接入，用戶可登陸到DNS管理系統(tǒng)，將網(wǎng)站域名解析指向到玄武盾的別名地址，下面以DNSPOD為例：1、 添加CNAME記錄：2、 停止用A記錄：2.3.4.驗(yàn)證網(wǎng)站1、 驗(yàn)證網(wǎng)站是否能正常訪問；2、 驗(yàn)證網(wǎng)站是否能被玄武盾正常防護(hù)。2.3.5.索要帳號用戶向當(dāng)?shù)劁N售索要玄武盾帳號，可隨時(shí)查看被防護(hù)站點(diǎn)可查看訪問流量報(bào)表、安全防護(hù)報(bào)表，安全防護(hù)報(bào)表包含攻擊次數(shù)態(tài)勢分析、攻擊者區(qū)域態(tài)勢分析

7、、攻擊者IP統(tǒng)計(jì)、被攻擊頁面統(tǒng)計(jì)、被攻擊域名統(tǒng)計(jì)、攻擊事件統(tǒng)計(jì)、攻擊威脅等級統(tǒng)計(jì)等報(bào)表；2.3.6.可視化安全防護(hù)可實(shí)時(shí)查看可視化態(tài)勢感知，實(shí)時(shí)了解安全防護(hù)狀態(tài)。3.玄武盾優(yōu)勢3.1企業(yè)級安全解決方案安恒具備多年企業(yè)級安全解決方案，玄武盾核心防護(hù)引擎來源于安恒WEB應(yīng)用防火墻產(chǎn)品，高效穩(wěn)定，誤判率和漏報(bào)率業(yè)內(nèi)最低，產(chǎn)品成熟度高，8年產(chǎn)品研發(fā)歷程，歷經(jīng)數(shù)十萬網(wǎng)站的考驗(yàn)。l 產(chǎn)品功能完善，可滿足不同行業(yè)用戶的安全需求；l 安全研究院定期輸送安全成果到玄武盾，增強(qiáng)防護(hù)能力；l 部署簡便快捷，用戶端無需部署任何安全設(shè)備即可完成云防護(hù)、云加速；l 用戶可對自身業(yè)務(wù)進(jìn)行自定義防護(hù)和例外策略，杜絕一套策略用

8、于所有網(wǎng)站，避免誤報(bào)和漏報(bào)；l 用戶使用成本低廉，可按需購買。3.2風(fēng)暴中心整體解決方案風(fēng)暴中心以安恒信息長達(dá)8年在信息安全領(lǐng)域的經(jīng)驗(yàn)積累為核心，借力成熟的大數(shù)據(jù)及云計(jì)算技術(shù)構(gòu)建了基于大數(shù)據(jù)的安全搜索引擎，從而為實(shí)現(xiàn)全國基至全球互聯(lián)網(wǎng)絡(luò)在線業(yè)務(wù)系統(tǒng)的安全基礎(chǔ)數(shù)據(jù)采集、大范圍風(fēng)險(xiǎn)評估、威脅情報(bào)分析、重大安全事件監(jiān)測等提供了有力的技術(shù)支撐和管理決策參考。玄武盾依托于風(fēng)暴中心的實(shí)時(shí)監(jiān)測和大數(shù)據(jù)分析技術(shù)，云監(jiān)測模塊在發(fā)現(xiàn)問題可快速與玄武盾進(jìn)行聯(lián)動(dòng)響應(yīng)，可將漏洞結(jié)果生成虛擬補(bǔ)丁方式下發(fā)到玄武盾進(jìn)行防護(hù)，通過大數(shù)據(jù)分析技術(shù)對海量日志進(jìn)行分析挖掘，有效發(fā)現(xiàn)0day攻擊，并同步到玄武盾生成防護(hù)策略。3.3特點(diǎn)

9、3.3.1DNS聚焦DNS服務(wù)器支持多線路、多節(jié)點(diǎn)，可滿足用戶對DNS的彈性需求，DNS解析速度快，可完成快速切換，DNS服務(wù)器安全性高，可有效防護(hù)大流量DNS攻擊。3.3.2集群玄武盾中所有模塊均采用集群方式承載，從最前端的DNS服務(wù)器到DDOS防護(hù)、LB、WAF防護(hù)、LOG等模塊均采用集群方式部署，無論哪個(gè)模塊出現(xiàn)問題，整體不會受影響。3.3.3大數(shù)據(jù)分析玄武盾可結(jié)合遠(yuǎn)程安全風(fēng)險(xiǎn)檢測、安全事件監(jiān)測、網(wǎng)站日志分析、流量分析、告警日志分析等多維度數(shù)據(jù)，進(jìn)行綜合運(yùn)營，及時(shí)發(fā)現(xiàn)有針對性的攻擊行為和未被攔截到的攻擊，同時(shí)互聯(lián)網(wǎng)上任何新型攻擊都會被玄武盾第一時(shí)間感知，避免系統(tǒng)被入侵產(chǎn)生惡劣影響。風(fēng)暴中

10、心采用基于Hadoop的大數(shù)據(jù)集群計(jì)算架構(gòu)，依據(jù)監(jiān)測分析的規(guī)模增大，可進(jìn)行平滑的彈性擴(kuò)容，可按需插入硬件設(shè)備，實(shí)現(xiàn)即插即用，方便地?cái)U(kuò)大計(jì)算集群。風(fēng)暴中心的彈性計(jì)算架構(gòu)，可應(yīng)用于國家級的網(wǎng)絡(luò)空間安全分析，也適用于地區(qū)性的轄區(qū)安全監(jiān)控，能夠支撐海量數(shù)據(jù)存儲分析，目前已經(jīng)累計(jì)采集了過億個(gè)域名，超過百萬個(gè)設(shè)備IP，其中有25萬個(gè)政府網(wǎng)站，數(shù)據(jù)量達(dá)到了幾百TB。3.3.4保姆式安全體驗(yàn)用戶無需自行維護(hù)安全設(shè)備，玄武盾安全工程師將7×24小時(shí)待命，用戶無需專業(yè)知識分析日志、不需要再為調(diào)整復(fù)雜的安全規(guī)則而煩惱，用戶在碰到任何問題時(shí)只需一個(gè)電話就可以，剩下的交給玄武盾。4.市場分析玄武盾產(chǎn)品具備部署

11、快速、運(yùn)維簡單、云計(jì)算集群、按需付費(fèi)等特點(diǎn)，適用于整體行業(yè)用戶和帶有區(qū)域性質(zhì)的政府用戶。4.1行業(yè)用戶群體某教育信息中心下屬500個(gè)學(xué)校網(wǎng)站，每個(gè)學(xué)校網(wǎng)站有的托管到IDC機(jī)房，有的是自建機(jī)房維護(hù)，網(wǎng)站安全性參差不齊，無法統(tǒng)一管理，一旦發(fā)生安全問題造成的影響非常大，然而通過部署傳統(tǒng)硬件WAF解決安全問題，需要為每個(gè)學(xué)校網(wǎng)站前端部署硬件WAF，會存在實(shí)施成本高、實(shí)施難度大、無法統(tǒng)一運(yùn)維等問題。采用玄武盾解決方案，用戶只需統(tǒng)一將所有學(xué)校網(wǎng)站統(tǒng)一納入到玄武盾中，用戶就可享受云防護(hù)、云加速、DDOS防護(hù)等，同時(shí)用戶精力只需放在自身的業(yè)務(wù)上，無需為安全運(yùn)維操心，玄武盾專業(yè)的安全人員將會全程負(fù)責(zé)。4.2區(qū)域

12、用戶群體2014年，我國境內(nèi)政府網(wǎng)站被篡改數(shù)量為1763個(gè)，雖然近幾年被篡改次數(shù)有所下降，但安全情況仍刻不容緩，下圖是2014年我國境內(nèi)被篡改的政府網(wǎng)站數(shù)量和其占被篡改網(wǎng)站總數(shù)比例按月度統(tǒng)計(jì)。目前某市政府下屬多個(gè)部門，每個(gè)部門都有自已的門戶網(wǎng)站，而門戶網(wǎng)站安全性參差不齊，有的部署了WAF，有的則未做任何安全防護(hù)，對所有網(wǎng)站都通過部署硬件WAF防護(hù)，會存在實(shí)施成本高、實(shí)施難度大、無法統(tǒng)一運(yùn)維等問題。采用玄武盾+風(fēng)暴中心一體化解決方案，納入玄武盾前通過遠(yuǎn)程安全評估對網(wǎng)站進(jìn)行統(tǒng)一健康體檢，通過玄武盾進(jìn)行定制化防護(hù)策略，納入玄武盾后實(shí)時(shí)進(jìn)行監(jiān)測，一旦發(fā)現(xiàn)安全問題通過玄武盾快速完成防護(hù)。4.3云政務(wù)網(wǎng)隨

13、著越來越多的政府用戶將傳統(tǒng)的業(yè)務(wù)系統(tǒng)遷移至私有云中，而目前眾多云平臺企業(yè)關(guān)注的更多是基礎(chǔ)實(shí)施的完善和業(yè)務(wù)的開展，對于安全層面的關(guān)注較少，即使有提供安全產(chǎn)品的云服務(wù)商，很多政府用戶為滿足等保等要求仍然會選擇第三方安全提供商解決，因此這部分用戶群體十分龐大，玄武盾可以以服務(wù)方式進(jìn)行提供。5.競爭分析5.1傳統(tǒng)安全廠商傳統(tǒng)安全廠商基本以硬件WAF為主要解決方案，也有部分廠商推出了虛擬化解決方案，但面對大量網(wǎng)站仍存在部署困難、運(yùn)維困難、成本高昂等問題，而且在沒有風(fēng)暴中心的大數(shù)據(jù)分析和運(yùn)營安全價(jià)值難以體現(xiàn)。5.1.1部署困難大行業(yè)用戶網(wǎng)站群眾多，而且分布在不同的地址位置，采用硬件WAF解決方案需要將硬件

14、盒子部署到用戶端，不僅實(shí)施困難，而且成本高昂。玄武盾無需在用戶端部署任何安全設(shè)備，用戶可以以服務(wù)方式按需購買不同的防護(hù)模塊，成本上可以有效控制。5.1.2難以防護(hù)DDOS攻擊大部分傳統(tǒng)硬件WAF不具備DDOS攻擊防護(hù)，即使具備DDOS攻擊防護(hù)，也難以防護(hù)大流量DDOS攻擊和應(yīng)用層CC攻擊；玄武盾具備大流量DDOS清洗攻擊引擎，可防護(hù)百G以上的DDOS攻擊流量和應(yīng)用層CC攻擊。5.1.3用戶數(shù)據(jù)無法隔離傳統(tǒng)硬件WAF所有用戶數(shù)據(jù)都存放在一起，數(shù)據(jù)報(bào)表未做分離，缺乏安全性和機(jī)密性。玄武盾數(shù)據(jù)基于用戶視圖，所有用戶的數(shù)據(jù)、日志、報(bào)表都會進(jìn)行隔離，用戶登陸到管理平臺上只能查看自己相關(guān)的數(shù)據(jù)報(bào)表，保護(hù)了

15、不同用戶的隱私。5.1.4缺乏事前檢測、事中實(shí)時(shí)監(jiān)測、事后大數(shù)據(jù)分析傳統(tǒng)硬件WAF用戶的日志數(shù)據(jù)都在本地存放，大多數(shù)處于無人管理、無人分析的狀態(tài)，這樣會導(dǎo)致安全設(shè)備長期封閉，會導(dǎo)致防護(hù)滯后造成安全事件的發(fā)生，同時(shí)玄武盾可結(jié)合遠(yuǎn)程安全風(fēng)險(xiǎn)檢測、安全事件監(jiān)測、網(wǎng)站日志分析、流量分析、告警日志分析等多維度數(shù)據(jù)，進(jìn)行綜合運(yùn)營，及時(shí)發(fā)現(xiàn)有針對性的攻擊行為和未被攔截到的攻擊，同時(shí)互聯(lián)網(wǎng)上任何新型攻擊都會被玄武盾第一時(shí)間感知，避免系統(tǒng)被入侵產(chǎn)生惡劣影響。5.2互聯(lián)網(wǎng)安全廠商近幾年互聯(lián)網(wǎng)安全廠商也開始以云加速和云防護(hù)的概念推出云防護(hù)產(chǎn)品，但主要以個(gè)人用戶群體為主，缺乏企業(yè)級用戶的運(yùn)營經(jīng)驗(yàn)和技術(shù)沉淀，對企業(yè)用戶的需求把握不準(zhǔn)，難以滿足用戶安全需求，另外也缺乏像風(fēng)暴中心對預(yù)警、監(jiān)測和大數(shù)據(jù)分析的平臺。6.銷售模式6.1服務(wù)模式用戶以服務(wù)模式購買玄武盾服務(wù)，可選擇域名個(gè)數(shù)和防護(hù)模塊，安全運(yùn)維只需交給玄武盾專業(yè)安全人員。模塊功能/規(guī)格可選配備注玄武盾云安全防護(hù)服務(wù)無需在本地部署任何安全設(shè)備，實(shí)現(xiàn)對各種注入、跨站、掛馬、Webshell、掃描器掃描、敏感信息泄露、盜鏈等WEB攻擊進(jìn)行安全防護(hù)，定期生成安全防護(hù)報(bào)告，包括攻擊者區(qū)