近日360互联网安全中心发布了《2016年中国互联网安全报告》,报告对个人及政企所面临的恶意程序、钓鱼网站、电信骚扰、安卓系统漏洞、网络诈骗、IoT安全、网站安全、DDOS攻击、网络扫描、邮件安全、工控安全、APT、应急响应等安全威胁情况做了全面介绍,报告显示,国内46.3%的网站存在安全漏洞。
近半数网站存漏洞,安全形势不容乐观
在对197.9万个网站漏洞检查中发现,46.3%的网站有漏洞,其中高危漏洞占7.1%。从漏洞统计数据看有将近一半的网站都存在网站漏洞,网站安全形势不容乐观。
网站漏洞的分布情况如下图所示,其中应用程序错误信息漏洞、异常页面导致的服务器路径泄露漏洞和跨站脚本攻击漏洞占据很大比例。
网站有漏洞说明网站有一定的安全威胁,而如果网站漏洞可以被利用并造成有效攻击那后果就比较严重了。2016年全国白帽子提交到补天平台的37188个漏洞中93.9%的漏洞是事件型漏洞,是网站漏洞可以被有效利用甚至被入侵的过程性案例事件。360补天平台的漏洞统计对网站管理员来讲具有重要的借鉴参考价值。
从补天平台的漏洞利用分布中可以看到SQL注入占据了半壁江山,说明黑客通过SQL注入攻击方式对网站进行暴库、脱库以获取存放在网站数据库中的敏感业务数据信息和网站管理员账户信息是攻击者对网站进行攻击的重要目的和主要攻击方式。这也和SQL注入工具更加自动化、智能化并且非常容易获取有关。
4.2%的网站遭到恶意篡改 网站挂马再次升温
360网站云防护系统现已接入全国66万个一级域名和150万个网站域名,一级域名数量占CNNIC统计中国备案网站域名数量450万个的15%,是全国最大的网站安全防护系统。以下是360云防护系统的漏洞拦截分布情况,从分布图中可见SQL注入攻击在网站攻击方式中占据很大比例,其次是扫描器的扫描攻击。
在对197.9万个网站的监测数据中发现4.2%的网站遭到了恶意篡改,主要是页面图片或页面内容的篡改,而有些网站被插入了色情类或博彩类的链接,或者直接在网站代码中插入暗链。
如果网站有漏洞,可能还会被攻击者挂马,当用户在访问网站页面时就会中招,比如窃取用户隐私,弹出色情博彩类弹窗广告,甚至使用勒索病毒勒索用户钱财等。
由于特殊原因本次《报告》未统计网站后门情况,为了让大家更完整的了解网站安全威胁情况,我们翻出了2015年的《中国网站安全报告》来参考。从2015年的《报告》中可以看出很大比例的网站被黑客留下了后门程序,这些后门程序主要包括ASP木马、JSP木马、PHP木马、一句话木马等WebShell木马后门,攻击者可以通过木马后门控制网站服务器甚至可以以网站服务器为跳板继续对内部网络进行渗透入侵。
如果网站有漏洞则网站就有被入侵的风险,而如果无论网站有没有漏洞我都要打你,这就有点耍流氓了,DDOS攻击就是这样。《报告》给出的DDOS攻击流量分布和带宽分布着实让人挠头,因为其70%的DDOS攻击流量竟然小于1Mb,这和我们脑海里的大流量的洪水猛兽式的流量攻击好像不太相符,这是基于攻击技术特征而不是基于流量大小和攻击结果标准划分的结果,是从监测技术的角度看DDOS攻击。
我们找了另外一家知名抗DDOS厂商最近发布的DDOS报告供大家参考,我们可以从防护的角度来看DDOS攻击。从下图的统计中发现百分九十以上的大流量DDOS攻击低于50G,而高于100G的DDOS攻击寥寥无几。
《报告》显示遭受DDOS攻击后23%的网站会被“打死”而无法访问,而18%的“没死”的网站访问速度会受到严重影响。
360网站SaaS化云安全方案 全面保护网站安全
360以保护国内网站安全为己任,从2011年起分别推出了360网站安全云防护系统网站卫士和360网站安全检测系统,并永久免费,此两套系统至今已成为国内最大的网站安全防护和漏洞检测系统。无论是技术先进性、网站安全防护经验和用户数量国内没有其他厂商可以与之匹敌,说其中国网站安全的基石,实至名归。360于2014年推出了面向企业网站安全防护的360安域Web应用安全云防护系统(以下简称安域)和360网站云监测系统为企业用户提供Web安全服务。相对于免费版,企业版网站防护功能更加全面,防护能力更强,同时提供7*24小时的企业级支撑服务。
360在Web安全方面以云防护服务为核心,以云检测和云监测服务为辅助,为用户网站在云端提供事前扫描+事中防护+事后监测的全方位的网站安全服务。
其中安域云防护系统具有如下特点:
◆ 云端账号交付,用户无需部署硬件设备,只需修改DNS,指向安域云防护系统即可为网站提供云端替身防护,并隐藏服务器信息,比如服务器IP地址等信息,以防止黑客对网站进行各种攻击。
◆ Web攻击防护,可以防护网站面临的SQL注入攻击、跨站脚本攻击、命令注入攻击、Web Shell木马后门上传、服务器敏感信息泄露、扫描攻击等常见的Web攻击,使网站免遭恶意篡改、跨站钓鱼、信息泄露、服务器被恶意控制等应用层网站安全威胁。
◆ 抗DDOS攻击,全国几十个高防机房,可为用户网站提供高达600G的云端DDOS攻击清洗防护服务和100G的DNS高防解析服务。当检测到黑客对网站的CC攻击时,云防护系统可以基于自动流量建模技术自动对CC攻击进行阻断,同时也可以根据用户配置的防护策略做定制化的防护。
◆ 缓存加速,将服务器响应流量按照用户配置策略缓存在全国各地的节点机房(用户可以自定义是否缓存),并结合系统内置的全局负载策略,就近选择优质链路节点机房响应客户请求,加快数据传输速度,提升用户体验。
◆ 重保只读,可以将用户网站页面文件内容缓存到各节点机房,当服务器出现故障比如宕机时,依然可以使用缓存内容继续对外提供网站访问服务。
◆ 网页防篡改,可以通过在服务器上安装客户端程序,对网站服务器文件进行保护,确保黑客无法对网站文件进行增、删、改等操作,而管理员可以通过内网的备份服务器进行正常更新同步。
◆ 运用大数据分析技术,提供丰富的Web攻击防护报表。
360网站云监测系统也是云端账号方式交付用户,可以在云端第一时间帮助用户实时监测到以下的网站安全问题:
◆ 网站存在易被攻击的Web漏洞。
◆ 网站图片、视频、文件等内容被恶意篡改。
◆ 网站文件被挂木马。
◆ 网站被插入色情类、博彩类等暗链接。
◆ 网站在全国部分地区无法访问异常。
◆ 网站遭受到DDOS攻击。
◆ 网站服务器上运行着管理员未知的网站域名资产。
◆ 网站被补天等第三方漏洞平台披露出攻击事件。
◆ 互联网上存在和此网站内容相似的钓鱼网站。
◆ 网站上有恶意敏感词内容。
360网站SaaS云安全解决方案为用户网站提供漏洞扫描+Web攻击防护+DDOS防护+网页篡改防护+网站安全监测的全方位服务,再结合安全服务,通过授权专业的网站安全攻防专家对已有的技术及管理的安全防护措施进行渗透测试验证,就可以确保网站的安全。
传统的网站安全方案中以抗DDOS+防火墙+IPS+WAF为核心防护设备,以漏洞扫描器、网站监控平台等设备进行安全监测。360网站SaaS云安全解决方案和传统方案相比有着较大的优势,对比如下图:
以大数据、云计算和移动互联为特征的“互联网+”正在改变安全行业,安全威胁的“量”和“质”,都发生了根本性的变化,传统的安全防御体系已难以解决万物互联时代的网站安全问题。360解决网站安全的优势是数据驱动安全,即如何充分、有效利用大数据,并将传统的网站安全防御体系轻量化,从而更高效、更精准的解决大数据时代的网站安全问题。
作为国内最大的互联网安全公司,360在安全数据上的积累是传统安全公司和其他互联网公司所无法比拟的。360的DNS库拥有90+亿条的DNS解析记录,超过100个外部数据源获取数据;每天查询300亿的URL记录,每天拦截的钓鱼网站数1.4亿;拥有95亿的样本库,每天新增样本900万;漏洞库超过47万,每天增加400个;累计监测全国18亿个网站页面,发现1.8亿的网站页面漏洞;360网站安全监测平台支持7300+种漏洞的检测,每天为用户发现50000个漏洞;360拥有全国最大的第三方漏洞平台补天平台,平台汇聚了全国19000多名实名认证白帽子,累计收集了将近8万多个网站漏洞;360拥有全国最大的网站云防护平台,同时为超过150万个网站提供实时攻击防护,累计辨识3400多万个后门;累计申请国内外专利8000+件。
360利用其在网站安全技术和安全数据方面的积累出品的网站SaaS化云安全产品已经商用两年,并持续为政府、高校、教育、金融、企业、运营商等各个行业用户的网站持续的提供安全防护及监测服务。正是360在基于 SaaS 模式的 web 安全防护及监测方面的优异表现,2016年IDC在《中国 Web 应用安全市场洞察》市场《报告》中将360列入领导者象限。
知名第三方咨询机构Gartner预测到2020年70%的网站防护将会采用SaaS化云服务的方式提供,云端防护由于其拥有独有的大数据云端协同联动防护、分布式抗拒绝服务等特点会越来越受到企业用户的青睐。网站安全云端防护的未来是光明的。