Web应用安全防护的常见误区
2024.07.11
随着企业数字化转型的深入,越来越多的业务应用系统被部署到互联网平台上,这吸引了网络犯罪团伙的强烈关注,以Web攻击为代表的应用层安全威胁开始凸显。通过利用网站系统和Web服务程序的安全漏洞,攻击者可以轻松获取企业Web应用系统及服务器设备的控制权限,从而进行网页篡改、数据窃取等破坏活动,严重损害企业的业务发展。保障Web应用安全已经成为行业普遍认知,但是很多企业对Web应用安全防护还存在许多认知误区,这可能会引发严重的安全问题和事故。
误区一 我们只是普通的企业组织,Web应用系统不会被攻击
真相:大多数网络攻击是自动化的、没有特定目标的,因此每个企业都可能成为攻击者的目标。
不管是大型企业,还是中小企业用户,普遍都认为坏事只会发生在其他机构。但事实是,现在的网络攻击大都是由有组织的犯罪团伙发起,它们每天都在全球网络上进行自动攻击嗅探,一旦机器人程序发现了可被利用的安全漏洞(比如Log4Shell),其所在的企业就在劫难逃。每个企业都应该为防范Web应用攻击做好充分的准备和预案。
误区二 部署WAF就能阻止针对Web应用系统的攻击
真相:WAF并不能成为Web应用系统防御的唯一防线,攻击者会专门针对WAF寻找绕过策略。
WAF可以被看成是Web版的网络防火墙,它可以过滤HTTP流量以检测并阻止可能存在的攻击企图。WAF还常用作负载均衡系统,提供额外的应用安全能力,对于临时阻止突然爆发的零日漏洞很有价值。然而却很难检测出所有可能的攻击,只要系统中存在未被发现的安全漏洞,攻击者就有可能会找到绕过WAF规则的方法。
误区三 企业网站已使用HTTPS协议,因此Web应用系统是安全的
真相:HTTPS可以保护数据传输防止被篡改,却无法防范恶意流量等威胁。
应用HTTPS表示所有Web应用流量都经过加密,这是防止中间人攻击的关键最佳实践,但却无法防范攻击者已经建立有效连接的应用程序级攻击。如果攻击者可以在易受攻击的纯HTTPS应用程序中访问或创建有效的用户账户,他们就可以随意尝试SQL注入、权限提升及其他攻击,而这一切都是在安全加密的连接中进行。
误区四 Web应用系统仅在企业内部网络上运行就是安全的
真相:网络攻击者可以通过受攻击的Web服务器系统间接攻击Web应用程序,即使在内部网络中也是如此。
攻击者可以利用服务器端请求伪造(SSRF)之类的漏洞,以某一台被攻陷的服务器为跳板,攻击企业内网上的应用系统。特别是在云优先环境下,许多组织不再拥有完全物理隔离的内部网络,只有私有云部署的应用方式,这是另一种Web应用的安全隐患。
误区五 Web应用系统有备份,即使发生安全事件也能快速恢复
真相:备份对于数据存储和保持业务的连续性很重要,但是无法减轻数据泄密造成的间接破坏和损失。
备份一直是企业整体安全策略的关键组成部分,拥有良好的备份和可靠的恢复方案是无可替代的。但是备份能防止数据丢失和损坏,却无法帮助企业避免网络攻击产生的其他灾难性后果(系统停运、商业秘密泄露和品牌商誉损失等)。因此,备份是Web应用安全防护计划中不可或缺的部分,但企业在确保应用系统安全性方面的要求与随时准备数据恢复一样重要。
来源:安全牛