近年來,網絡安全實戰演習受到各大關基機關的高度關注。對于網絡安全實戰演習的防守方,防火牆、Web應用防火牆、态勢感覺、EDR、蜜罐等都是較為常見的防守工具,而網頁防篡改系統則鮮有露臉的機會——
很多人認為,網頁防篡改系統隻是用來保護門戶網站的,特别是針對靜态門戶網站時,才有它的價值。
而在網絡安全實戰演習中,攻擊隊根本不會将火力指向網頁防篡改系統的保護對象。是以,網頁防篡改系統在這個場景下缺乏應用價值。
之是以産生這樣的觀念,和網頁防篡改産品的現狀有着很大的關系。目前,市場上大部分的網頁防篡改産品都着眼于在網頁篡改發生的前後,對篡改行為或篡改後果進行處置。這種“頭痛醫頭,腳痛醫腳”的思路讓網頁防篡改産品在不以篡改網頁為攻擊目标的場景中顯得缺乏實用價值。
一個 Web 應用之是以會發生檔案被篡改的事件,通常是管理、運維、對抗能力等多方面原因共同促就的。是以把檔案“鎖住”或是發現篡改即時恢複,是通過抑制篡改現象來實作狹義上的防篡改。而從安全治理的角度出發,就需要細究造成篡改的原因,立足于 Web 應用安全的整體視角,從管理、運維、對抗能力多個次元上入手治理 Web 應用系統的缺陷和隐患。
如果我們從攻擊者的視角來分析網頁篡改,就不難發現:實施一次篡改攻擊,其實意味着攻擊者已經擊穿了防守方的防線,而不隻是在外圍隔靴搔癢。基于當下防守方在網絡安全實戰演習中的防護政策,任何外網應用系統上的網頁防篡改系統如果偵測到了篡改攻擊,那麼必然意味着攻擊者已經掌握了該應用系統的控制權。即便攻擊者因為網頁防篡改系統的阻攔,并未成功實施篡改攻擊,但通過其所掌握的應用系統控制權會造成内網橫移等更嚴重的安全問題。
是以在網絡安全實戰演習中,網頁防篡改系統首先扮演了哨兵的角色。Web 應用系統作為防守的前沿陣地,所有的攻擊火力都是由此展開和深入的。及時判斷 Web 應用系統是否被攻陷,對于防守方來說是啟動應急處置時非常重要的信号。
網頁防篡改系統是網站安全的最後一道防線
防篡改既是終點 更是起點
對于一些财大氣粗的防守方來說,安全産品上的很全,是以,網頁防篡改系統的哨兵作用,就被态勢感覺、HIDS 等其他産品所取代。但由于 HVV 範圍的擴大和常态化,很多防守方并沒有靠“銀彈”來打造防線的實力。而網頁防篡改系統是大部分等保3級以上機關必備的安全産品,是以,打破“網頁防篡改系統隻能用來保護網頁”的固有觀念,将網頁防篡改系統部署到 HVV 涉及的 Web 應用系統上,保護各類能通過網際網路通路到的檔案,進而通過監測這些檔案的異常變化來讓網頁防篡改系統成為 HVV 哨兵,不失為一種具有創意的利舊方案。