明御®Web业务安全审计系统

明御web业务安全审计系统是一台软硬一体化设备,使用网络报文协议分析技术,将用户和WEB服务器的交互报文都捕获,然后对这些报文进行具体分析,从而了解客户的访问行为,也了解后台WEB服务器,应用服务器,数据库服务器的一些情况,形成不同纬度的分析报表。
返回列表
1.WEB风险分析

随着Web技术的迅速发展,基于Web平台的应用和业务越来越多,Web应用已经融入我们的日常,随之而来Web业务的安全形式也越来越严峻,安全事件呈急速上升趋势:


  • 2016年3月,全球有三分之二的网站服务器使用的开源加密工具OpenSSL友爆出新的安全漏洞“水牢漏洞”,这一漏洞允许“黑客”攻击网站,并读取密码、信用卡账号、商业机密和金融数据等加密信息,我国有十万余家网站受到影响;
  • 2016年5月,俄国黑客盗取了2.723 亿邮箱信息,其中包括 4000 万个雅虎邮箱、3300 万微软邮箱以及 2400 万个谷歌邮箱;
  • 2016年7月,黑客利用撞库攻击,窃取了大麦网的用户个人信息,并利用窃取到的信息,伪装成大麦网客服成功骗取了147.42万元;
  • 2016年9月,雅虎发现生一起大规模黑客攻击事件,导致5亿用户帐号被盗;
  • 2016年12月,雅虎又发现生一起大规模黑客攻击事件,导致10亿用户帐号被盗,成为有史以来最大规模的网络帐号被盗事件;




2.成功实践

明御®Web业务安全审计系统(简称:WAS)是安恒信息结合多年Web应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,可以同时向Web应用提供实时监控、自动告警和事后追溯的全面解决方案。该产品致力于解决应用及业务逻辑层面的安全问题,广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、教育、电子商务”等所有涉及Web业务的各个行业。


部署安恒的WAS产品,可以帮助用户针对目前所面临的各类Web安全问题进行实时监控审计并告警,即通过对Web应用流量的实时捕获及攻击分析,实现已知/未知攻击的告警、访问页面/访问流量统计、攻击源/攻击类型/受攻击页面统计、安全事件的事后追溯与分析等等。


3.工作原理与部署架构
3.1.旁路镜像部署模式


明御Web业务安全审计系统(以下简称WAS)是一台软硬一体化设备,使用网络报文协议分析技术,将用户和Web服务器的交互报文都捕获,然后对这些报文进行具体分析,从而了解客户的访问行为,也了解后台Web服务器,应用服务器,数据库服务器的一些情况,形成不同纬度的分析报表。





旁路镜像部署模式


3.2.Agent部署模式

随着云计算的普及,越来越多的用户选择在云网络中部署应用,但在云网络中很难实现流量镜像,因此WAS推出了Agent部署方式,通过在Web服务器上部署Agent,将流量发送给WAS进行分析,所展示的功能和报表同旁路镜像部署模式一样,Agent部署方式也可以对远端流量进行分析。



 Agent部署模式


 

4.特色与优势
4.1.web访问行为记录与还原

明御Web业务安全审计系统可以完整记录Web业务系统的访问过程,其通过对HTTP协议的解析还原,可以真实还原出请求动作和返回页面。



图一:请求头、请求参数等还原



图二:登陆超时的返回页面还原



图二:登陆超时的返回页面还原


4.2.自动翻译功能

WAS可将专业的URL地址转换成通俗易懂的文字,提升了分析的易读性与效率。


4.3.用户名分析

大部分安全设备追溯还原时只能识别到客户端地址,对于操作的用户名无法定位,WAS通过用户名识别引擎将SessionID与用户名参数进行关联识别出应用用户名,从而大提升追溯的准确性,并且可以对用户名进行分析统计,在IP的维度上提供更深入的用户分析报表。




4.4.网站关键指标分析


可提供Web业务系统的关键业务指标(KPI)的分析能力,包括并发会话数、在线用户数、访问流量、页面加载时间、错误页面数等指标。并提供客户自定义KPI指标的功能,然后根据今日指标和KPI指标进行比对,分析出指标的差异。如下表:





针对每个关键KPI指标可以形成对比趋势曲线图,如下:




如图可以看出,通过对今日、上周同时段、历史最高值、KPI指标四个关键值进行比较分析,可以看出今日会话数的水平状况。


在线用户数、并发连接数、总流量、平均页面加载时间、错误页面数等都可以形成类似的趋势分析图表。


4.5.敏感信息保护能力


(1)、识别信息未模糊化:通过分析web访问流量,识别web服务器输出的身份证号码、手机号码、姓名等信息未通过模糊处理;

(2)、识别拖库行为:服务器输出大量身份证号码、手机号码、用户名、邮箱地址、密码等信息;

(3)、识别服务器、源代码错误信息:服务器目录遍历信息、错误信息,源代码泄露。





4.6.应用层安全攻击分析能力

明御Web业务安全审计系统的核心功能是为WEB应用筑起一道多层次的安全攻击审计分析系统。




其中:

第一层:针对常见Web攻击告警层:使用双引擎技术,不仅能够识别已有攻击行为,同时,也能对未知攻击、0DAY攻击进行分析告警。


第二层:复杂攻击识别/应用层DOS识别层,技术领先的关联和异常统计分析引擎能够在复杂攻击和应用层DOS攻击出现时有效而准确地将其检测出来。



防御常见Web应用攻击行为:

明御Web业务安全审计系统可保护自定义的 Web 应用程序代码,防止受到跨站脚本、SQL注入、恶意文件包含等各种Web应用层攻击告警。智能自学习创建的安全模型除了包含传统的网络五元组以外,还有URL、参数、方法、返回码等等,当用户与应用进行交互时,DAS-Monitor会自动根据预设置的访问控制策略进行第一道防护、继而通过对用户活动的实时监控,进行特征检测及异常检测。任何尝试的攻击都会被检测到并实时告警。


明御Web业务安全审计系统可自动、准确地针对以下常见的WEB应用层攻击技术及其变种进行告警:






复杂攻击验证:

明御Web业务安全审计系统提供两种安全模型:正向-白名单和反向-黑名单模型。首先对于明显的违规行为,通过这两种模型进行即时告警,其次,对于不明显的攻击行为,进行特征检测与异常检测,同时使用独特的关联攻击验证技术,对复杂攻击进行特征与异常关联,将各个安全层面的多个违规行为关联在一起,以鉴别该活动是攻击,还是合法用户活动中的正常变化。




4.7.攻击链分析

WAS可以关联IP或session将整个攻击过程可视化,协助攻击追溯与还原。




4.8.强大的报表分析能力

明御Web业务安全审计系统提供了比较完善的报表系统,这些报表基本涵盖了通用网站分析的信息,而且明御Web业务安全审计系统本身是建立在数据库上的,可以保存长时间的历史用户交互数据,查看报表前,用户只需要简单选择日期期间就可以获得想统计的时间段报表,报表可以很简单的保存为PDF,Excel等格式。



4.9.零风险的部署模式

用户往往担心部署了审计平台的情况下对现有业务和数据库造成的潜在影响。WAS采用旁路镜像、分光、分流等方式进行部署,可在不改变现有的网络体系结构的情况下快速上线,即使在所有可用性保障均失效的情况下,设备出现宕机也不会影响业务系统和数据库的运行,避免了串联入网或客户端方式监测对数据库系统造成的干扰和性能损耗。



4.10.业务流程分析

WAS对关键业务流程进行学习建模,对用户的访问数据进行多次采样,生成业务逻辑基线,如图为某订票网站订票业务逻辑视图,图中标红的业务可能存在安全问题,通过制定业务流程规则对违反流程的访问进行告警。




相关案例

CASES

杭州安恒信息技术股份有限公司 版权所有 © 2007-2018 浙ICP备09102757号 浙公网安备33010802003444号 | 法律声明 | 隐私保护 |