綠盟科技WAF解讀OWASP TOP10安全威脅
如果沒有一個(gè)理論性的指導(dǎo),僅僅從局部看問題,那么企業(yè)或者政府部門的Web業(yè)務(wù)系統(tǒng)管理員對(duì)于如何防護(hù)一個(gè)web系統(tǒng)會(huì)有很多的疑惑。在業(yè)內(nèi)最有權(quán)威性的Web安全組織就是OWASP,它提供的工具、文檔和研究項(xiàng)目,以及2004年版和2007年版的TOP10安全威脅排名對(duì)于指導(dǎo)web安全有非常重要的影響,已經(jīng)成為業(yè)內(nèi)指導(dǎo)和修復(fù)Web安全的重要依據(jù)。
這里我們介紹OWASP最新推出的2010版TOP10,雖然是candidate版(正式版在撰寫本文時(shí)還未發(fā)布,但與Candidate版差別很小——編者注),但是我們從這里驚喜的發(fā)現(xiàn)了它的重大改變,就是用風(fēng)險(xiǎn)管理來看待Web安全問題的根源以及管理。而這些改變與綠盟科技WAF防護(hù)Web攻擊的理念和實(shí)現(xiàn)機(jī)制非常貼合。對(duì)于用戶來說,首先需要一個(gè)正確的理論指導(dǎo),第二,需要把這些理論可以落地操作,也就是運(yùn)用一些技術(shù)和設(shè)備來防護(hù)。
TOP10安全威脅排名如下:
A1: Injection
A2: Cross Site Scripting (XSS)
A3: Broken Authentication and Session Management
A4: Insecure Direct Object References
A5: Cross Site Request Forgery (CSRF)
A6: Security Misconfiguration
A7: Failure to Restrict URL Access
A8: Unvalidated Redirects and Forwards
A9: Insecure Cryptographic Storage
A10: Insufficient Transport Layer Protection
不是以往的漏洞統(tǒng)計(jì)方式,而是應(yīng)用了風(fēng)險(xiǎn)評(píng)估方法,通過計(jì)算得出的排名。風(fēng)險(xiǎn)計(jì)算這個(gè)概念不是OWASP組織自己發(fā)明的,它應(yīng)用和參考其他成熟風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)以及風(fēng)險(xiǎn)建模、風(fēng)險(xiǎn)各因素的賦值和計(jì)算、軟件生命周期的標(biāo)準(zhǔn)和方法(包括NIST 800-30 Risk Management Guide for Information Technology Systems、AS/NZS 4360 Risk Management、Microsoft Web Application Security Frame Threat Risk Modeling等),同時(shí)漏洞數(shù)據(jù)也是來自國(guó)際各大安全組織(包括Aspect Security、MITRE–CVE、Softtek、White Hat–Statistics),OWASP把這些方法、概念和數(shù)據(jù)有機(jī)的融合在一起,它帶給我們面對(duì)web安全新的啟迪和思路。
那么風(fēng)險(xiǎn)計(jì)算如何操作呢,步驟如下:
Step 1: 識(shí)別風(fēng)險(xiǎn)
Step 2: 評(píng)估可能性因素
Step 3: 評(píng)估影響因素
Step 4: 計(jì)算并定義風(fēng)險(xiǎn)等級(jí)
Step 5: 制定修復(fù)方案
Step 6: 按照用戶實(shí)際情況制作風(fēng)險(xiǎn)等級(jí)模型
關(guān)鍵點(diǎn)在于第二和第三步,得出這兩項(xiàng)后用公式: Risk = Likelihood * Impact。進(jìn)行計(jì)算后得出的結(jié)果就是該風(fēng)險(xiǎn)的綜合值。為了方便大家查看,我根據(jù)計(jì)算方法把相關(guān)因素用魚刺圖表現(xiàn),如下圖:
對(duì)于不同風(fēng)險(xiǎn)因素的組合,OWASP稱之為攻擊路徑。比如攻擊一個(gè)網(wǎng)站,攻擊者是不同的,有匿名用戶或者是有權(quán)限的用戶甚至系統(tǒng)管理員和開發(fā)者,所利用的漏洞如果不相同那么方法也不一定是一樣的,最終破壞造成的技術(shù)影響性也不同,比如黑掉首頁(yè)、刪除數(shù)據(jù)、植入木馬等,那么帶來的商業(yè)影響也相應(yīng)的不同,有金錢損失、聲譽(yù)損失,而且這些損失的價(jià)值也不相同。所以不同的Web業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)值都不是相同的。
OWASP在編寫TOP時(shí)參考了威脅建模和軟件生命周期(SDLc),也就是說此文檔會(huì)影響到一個(gè)軟件(web application)從開發(fā)設(shè)計(jì)到運(yùn)維的不同階段,下圖是綠盟科技根據(jù)理解編寫的,用紅色圓點(diǎn)表示風(fēng)險(xiǎn)的不同因素,它們分布在軟件生命周期各個(gè)階段,曲線表示每個(gè)階段不同的風(fēng)險(xiǎn)值。
根據(jù)軟件生命周期大致劃分了4個(gè)階段,設(shè)計(jì)開發(fā)、內(nèi)部測(cè)試、上線和運(yùn)維。設(shè)計(jì)開發(fā)階段是評(píng)估和設(shè)計(jì)軟件的關(guān)鍵,它指導(dǎo)軟件用什么原則來開發(fā),它的具體邏輯和數(shù)據(jù)流的功能劃分,同時(shí)對(duì)于開發(fā)通常包括安全編程原則和功能自身的健壯性等,上線階段是測(cè)試和試運(yùn)行,可以通過代碼審計(jì)、滲透測(cè)試,以及自動(dòng)掃描來發(fā)現(xiàn)它的安全問題。第四個(gè)階段是運(yùn)維階段,剛上線運(yùn)維時(shí)風(fēng)險(xiǎn)點(diǎn)最高,此時(shí)需要根據(jù)實(shí)際情況來調(diào)整安全設(shè)備和應(yīng)用程序,度過這段磨合期就是平穩(wěn)運(yùn)營(yíng)階段。但風(fēng)險(xiǎn)不會(huì)消失,會(huì)一直保持在一個(gè)相對(duì)平衡的水平線。
這個(gè)曲線不是絕對(duì)值,只是根據(jù)一般情況的相對(duì)值,也就是說前期的規(guī)劃和開發(fā)階段控制得越好,后期的風(fēng)險(xiǎn)就越小。
同時(shí),我們可以看到生命周期的前期階段風(fēng)險(xiǎn)控制得越好后面的階段風(fēng)險(xiǎn)值也會(huì)相應(yīng)減少。但不論前階段如何控制,運(yùn)維風(fēng)險(xiǎn)也是相對(duì)最高的。為什么呢?這是因?yàn)樵陂_發(fā)階段的風(fēng)險(xiǎn)因素比較少,而發(fā)布后增加了外部影響因素,比如金錢損失、聲譽(yù)損失,還有互聯(lián)網(wǎng)的匿名用戶等。而我們知道OWASP的風(fēng)險(xiǎn)計(jì)算是先把可能性因素取平均值然后再把影響性也取平均值,然后兩個(gè)值相乘,所以首先在運(yùn)維階段多了影響因素和攻擊者,所以他的總體風(fēng)險(xiǎn)值增加了。
如果不理解,那我舉個(gè)例子,比如一個(gè)小孩手里拿著一百元,是在家里安全還是在大街上安全呢?顯然是在大街上更危險(xiǎn),那是因?yàn)樵黾恿送獠康牟话踩蛩兀m然這些因素是未知的。然后再擴(kuò)展一下例子,小孩在大街上拿一百元和成年人手里捧著10萬(wàn)元,誰(shuí)更危險(xiǎn)?顯然是后者,這是因?yàn)樽陨淼膬r(jià)值高了,損失更大,所以風(fēng)險(xiǎn)值最高。有些人會(huì)說不對(duì)吧,小孩和成年人面對(duì)的攻擊者是不同的。是的,雖然攻擊者不同,而且成年人自身可以抵御部分人的攻擊,但是由于風(fēng)險(xiǎn)因素之一的數(shù)據(jù)損失的影響性增大了,即使兩者相乘,還是成年人手捧10萬(wàn)風(fēng)險(xiǎn)更高。
然后,我們?cè)诳瓷蠄D的風(fēng)險(xiǎn)曲線變化太大了,在實(shí)際的運(yùn)維階段中,如此的風(fēng)險(xiǎn)變化表示安全水平非常不穩(wěn)定,比如在奧運(yùn)、國(guó)慶60周年時(shí)為什么突發(fā)事件相對(duì)要多,這是因?yàn)樗陨淼陌踩刂迫绻推綍r(shí)保持一致,但是外部因素增加了。那么從風(fēng)險(xiǎn)控制角度看,我們知道OWASP的風(fēng)險(xiǎn)理論包含了管理、技術(shù)手段等,技術(shù)手段又包括了比如:軟件補(bǔ)丁、防火墻策略、數(shù)據(jù)加密、數(shù)據(jù)備份、安全配置等,除了這些之外,針對(duì)網(wǎng)站更有效的方式是采用合理的WAF設(shè)備,從而把隱藏自身的weakness(弱點(diǎn)),抵御外部攻擊,達(dá)到降低風(fēng)險(xiǎn)的目的。
對(duì)于每一個(gè)風(fēng)險(xiǎn)的控制這里不一一舉例,從下圖的一個(gè)SQL注入示例中,我們來看其中的部分4項(xiàng)因素:
通過之前的魚刺圖我們知道這個(gè)發(fā)現(xiàn)難易度的風(fēng)險(xiǎn)值的評(píng)估依據(jù)是:幾乎不可能為1分,困難為3分,容易為7分,有自動(dòng)化工具為9分,其他幾個(gè)因素也是一樣的依據(jù),如果利用難易度為容易(分值為5),技術(shù)影響力為高(分值為9),流行程度分值為6,那么它的總體風(fēng)險(xiǎn)值是很高的。
如何通過WAF來降低風(fēng)險(xiǎn)呢?掃描防護(hù)可以防范由掃描工具來探測(cè)網(wǎng)站漏洞的行為,另外有一些攻擊者利用WebServer默認(rèn)的錯(cuò)誤信息或WebApplication脆弱機(jī)制暴露的信息來了解目標(biāo)的weakness,他們會(huì)通過程序返回的不同信息來探測(cè)。綠盟科技WAF根據(jù)這兩個(gè)技術(shù)的機(jī)制,設(shè)計(jì)了“信息安全防護(hù)”功能,可以把這個(gè)發(fā)現(xiàn)動(dòng)作屏蔽掉,讓攻擊者不知道真實(shí)信息,從而降低了發(fā)現(xiàn)難易度的風(fēng)險(xiǎn)。利用難易度是在攻擊過程中最重要的因素。防篡改是對(duì)攻擊成功后,用這個(gè)機(jī)制來避免產(chǎn)生更嚴(yán)重的影響,如果攻擊者刪除了數(shù)據(jù),可以用WAF來禁止這種行為發(fā)生,或及時(shí)恢復(fù)數(shù)據(jù)。流行程度是一個(gè)漏洞是否為大眾所知或者只有極少部分人掌握的衡量標(biāo)準(zhǔn),這是一個(gè)客觀事實(shí),用WAF來避免它顯然不可能,但我們可以在事件發(fā)生之前主動(dòng)來檢查網(wǎng)站的weakness,從而在攻擊來臨之前就給予修復(fù)。
當(dāng)然,還有其他機(jī)制,比如通過事前監(jiān)控和事后日志分析來追溯攻擊來源,分析攻擊手法,這些就講述了。總之,根據(jù)OWASP的計(jì)算公式,由于降低不同的風(fēng)險(xiǎn)因素,使它的計(jì)算因子的值變小了,所以整個(gè)風(fēng)險(xiǎn)值也降低了。
我們都應(yīng)該對(duì)WAF降低風(fēng)險(xiǎn)的機(jī)制有所了解,那么單從降低利用難易度這項(xiàng)指標(biāo)來看,各個(gè)廠家的實(shí)現(xiàn)原理是有所差異的,這個(gè)差異體現(xiàn)在同樣一個(gè)固定的5分值,如何降低到2或者更低呢?這里不僅僅要考慮準(zhǔn)確率還有性能,更重要的是不同的攻擊手法會(huì)給防御帶來巨大的挑戰(zhàn),比如SQL注入從難易角度看,如下:
有群注、普通注入和二次注入,所謂群注,簡(jiǎn)單講就是攻擊者是盲目的把攻擊報(bào)文發(fā)給大量的網(wǎng)站,普通注入也包含了很多變形方式,比如把攻擊字符串變異成不同類型或者轉(zhuǎn)換編碼來逃避基于特征的IDS類產(chǎn)品,二次攻擊則是一種更像邏輯層面的攻擊,它的攻擊是發(fā)生在利用有權(quán)限用戶來執(zhí)行觸發(fā)之前他注入的字符,從而引發(fā)的攻擊行為。一個(gè)優(yōu)秀的WAF是應(yīng)該可以應(yīng)付這些不同類型,不同難度的攻擊行為的。
結(jié)束語(yǔ):
在本文中,綠盟科技WAF通過OWASP的理論模型來說明自己的產(chǎn)品思路,其核心是有效降低Web系統(tǒng)風(fēng)險(xiǎn),對(duì)于OWASP TOP10安全威脅,綠盟科技WAF能夠提供有效防御。
【編輯推薦】
