站長俱樂部:站长论坛


返回   站長俱樂部:站长论坛 > 架設網站區 > 網站架設和網頁設計 > 網站安全
Blog 論壇幫助 社區 日曆事件 今日新文章 搜尋

回覆
 
主題工具 顯示模式
  #1  
舊 2007-08-04, 10:58 PM
digipro digipro 目前離線
初級會員
 
註冊日期: 2006-07-21
文章: 4
預設 網路攻擊轉向Web應用程式層 開發階段就開始防範才是治本之道

引用 Digitimes 耿慧茹/台北 2007/07/26

 前言:為了防堵應用程式層的攻擊,造成企業網頁被植入惡意連結,損及形象與獲利,美商Armorize購併X-solve,計畫從主機端與網頁端雙管齊下,提出網站的安全解決方案,不過企業願不願意買單,還得觀察產品的功能與效益能否抓住多數企業主的需求。

從前,確保網路安全的方式,不外乎安裝防毒軟體與架設防火牆,不過,現在這樣做絕對是不夠的。根據Gartner統計,目前超過70%的網路攻擊都是針對Web應用程式而來,也就是所謂的應用程式層(Application-layer)攻擊。

但還有另一個可能會迫使企業更重視Web應用程式安全性的理由,就是Google的大動作;為了強調網路服務的安全,Google利用購併GreenBorder公司,開始為使用者提供網站過濾服務,在使用者搜尋結果中,會自動標示不安全的網站。

Google在全世界的使用率極高,爭取在搜尋結果上的排序,往往是各企業行銷佈局的重點,但儘管在搜尋結果上名列前茅,若是因為網站安全的問題,被標示為不安全網站,不但影響公司形象,也會降低使用者造訪公司網頁的意願。若公司是憑藉網路來提供服務,網站不安全,就會直接衝擊到公司獲利。

在開發階段就偵測網頁安全 是治本之法

大家都瞭解網頁安全的重要性,但究竟應該如何確保網頁安全呢?以企業開發網頁的流程來看,可分為4個步驟,分別為:規格定義期(Define Specification)、產品開發期(Development)、產品測試期(Testing)及產品上線發佈期(Deliver),
在這些流程中都可以控制網頁安全,只是在越前面的階段作,效益越高且所花的成本越少。

要從網頁開發時就照顧到安全的設計邏輯並不容易。多數的開發者對於開發語言的操作或許熟悉,但卻不一定具備該語言的安全認知。美商阿碼科技(Armorize)創辦人兼執行長黃耀文認為,許多開發者因循教科書的編寫邏輯,但教科書的作者未必具備足夠的安全知識,這就可能造成開發上的弱點與漏洞;因循不安全的邏輯所撰寫的網頁,就很有可能產生明顯的漏洞與風險,如果這些漏洞一直未被發現,等到網頁上線,甚至是遭受攻擊時才發現,那時企業的損失就會很高。

為了協助企業自行檢測網頁開發階段的安全,Armorize研發CodeSecure源碼檢測技術,便於開發者自行檢查程式是否符合安全原則;同時在7月也推出採線上服務(Software-as-a-Services;SaaS)的Protector,隨時偵測企業網站中是否被植入惡意程式。

阿碼科技購併X-Solve 期望兼顧應用程式的前台與後台安全

有鑑於既有技術,僅集中在網頁程式的檢測上,阿碼科技在7月宣布購併艾克索夫(X-Solve)。黃耀文指出,2家公司的合併,主要是為了兼顧對於企業網頁的主機端(Host)與網頁端(Web)。一般來說,駭客的攻擊可分為2個層面,1個是以惡意程式入侵網站主機;二則為攻擊網頁本身,如果只針對某一層面來防堵,都會有所不足,因此專注於Web端防護的Armorize,才會期望藉助X-Solve在Host端對惡意程式的偵測技術,以嚴密防護駭客對主機的攻擊。

X-Solve過去主要專精於惡意程式威脅防護系統(MTDS)與智慧型惡意程式分析系統(Archon Scanner),艾克索夫創辦人兼技術長邱銘彰強調,惡意程式分析系統軟體,採用特殊的軟體惡意行為模式分析演算法,而非採用傳統的特徵比對(signature-based pattern matching)技術,無須等待病毒碼的更新,而是直接將攻擊阻絕於主系統。邱銘彰指出,利用直接模擬使用真實情況的方式,並採取類似VMware軟體的機制,讓病毒只能在虛擬環境中發作,隔絕於主系統之外,徹底阻斷零時差攻擊(0 Day Attack)。

事實上,提供網頁惡意程式偵測的還不只是Armorize與X-Solve;資安解決方案廠商趨勢科技(Trend Micro),先前也針對企業客戶推出網頁信譽評等服務(Web Reputation Services;WRS),即根據舊有病毒的特徵,分析網頁可能帶有的風險。趨勢科技台灣區資深技術顧問戴燊指出,WRS透過網域歷史、網域關聯性、垃圾郵件特徵、網址分析等技巧來判斷網站風險,並提醒使用者不要點擊、進入,以避免被植入惡意連結。

邱銘彰強調,X-Solve與一般資安廠商的惡意程式過濾解決方案最大的不同,在於一般廠商是提供網頁過濾的服務,以避免瀏覽者中毒;而X-Solve則是從企業網頁安全維護的角度來看,在與Armorize結盟後,期望照顧企業網站與各種網頁應用程式,從設計到運作階段的各層面安全。

預先檢測網路安全立意雖佳 但適用性與企業接受度仍待觀察

這樣的產品誠然能夠大幅度提升企業網站的安全,不過仍有幾個重點值得進一步思考。首先,儘管目前企業已經逐漸認知到,若在網頁開發階段就利用偵錯工具檢測可能的弱點與漏洞,是治本之法,不過,由於早先缺乏這樣的工具,且目前業界也幾乎沒有相類似的軟體產品可供選擇,因此,要如何向企業端推廣、說服他們使用這樣的工具,Armorize還需要加強行銷作為。

由於CodeSecure目前僅能支援PHP與J2EE(JAVA與JSP)等網頁語言,至於也為許多企業所使用的ASP與.NET語言,則要等到下一代版本才支援,無法覆蓋到所有使用者的開發語言,使得產品打開市場的速度會比較慢。

此外,值得注意的是,當程式設計者的設計理念有所不同時,有可能會被源碼檢查軟體誤判。儘管程式原始碼檢測工具CodeSecure Verifier,可針對一些特定的資安弱點,如XSS跨站腳本攻擊、SQL資料隱碼攻擊、後門嵌入攻擊、命令注入攻擊、檔案注入攻擊、以及XML/Xpath攻擊等弱點來進行檢測,但程式開發者可能擁有與檢測原則相衝突的設計理念,這些撰寫程式的想法,雖並不一定形成弱點,卻被產品偵測為弱點時,對於網頁設計者來說,不啻為是一種開發上的干擾。

大多數企業的網站,並不需要符合最高規格的安全標準,也就是說,他們能夠容忍網站的些許弱點與漏洞存在;而對於網站安全有極高標準的企業來說,也不一定非得仰賴這樣的產品來照顧網站安全。如:金控單位,或是大型購物網站等,基於對廣大消費者資料的保護責任,必須對網站安全採取高度保護策略,這些公司除了採購網頁源碼偵錯工具來增加網頁安全外,亦可選擇聘僱資安人員,專職網站安全的弱點偵測、改良。對多數企業主來說,1位專門的資安人員,或許比軟體產品更值得信賴, 這也是阿碼科技要努力說服企業採用的挑戰。
回覆時引用此篇文章
回覆

書籤


發文規則
不可以發表新主題
不可以發表回覆
不可以上傳附件
不可以編輯自己的文章

啟用 BB 代碼
論壇啟用 表情符號
論壇啟用 [IMG] 代碼
論壇禁用 HTML 代碼

論壇跳轉

 

所有時間均為 +8。現在的時間是 11:24 PM


本站主機由網易虛擬主機代管
Powered by vBulletin® 版本 3.8.4
版權所有 ©2000 - 2024,Jelsoft Enterprises Ltd.