當老闆問你我們的網站安全嗎？我們到底該如何回答？

01-27

前言：

「我們的網站安全嗎？」如果你們公司的CEO這樣問你，你到底該如何回答？如果你回答「是」，CEO可能會說「請你做出證明」，你會怎樣做出證明來證明自己的網站防護做的很好呢？以下將是Peterkrik為大家列舉了部分並說明了每一個回答的缺陷。

正文：

一、我們的網站符合支付卡產業數據安全標準（Payment Card Industry Data Security Standard， PCI DSS），所以是安全的。

與其他標準一樣，PCI DSS是最低限度的標準。這就意味著，達到標準並不能確保我們的站點被入侵。雖然PCI是可以信賴的，但是請記住：如果你的站點是安全的，通過PCI是非常容易的，而只是通過的PCI審計，確不一定代表你的站點就是安全的。

二、我們的網站部署了商業的Web安全設備，所以我們的Web應用是安全的。

這個回答是對安全廠商的過得信任而導致的。安全廠商的網站或者產品說明書上說他們的產品會使網站更安全，而實際並非如此。如果使用不當，安全產品與其所防護著的網站一樣會有問題。

三、由於我們使用了SSL，所以我們是安全的。

許多電子商務網站在顯眼的地方會顯示一張鎖著的圖片。這表明他們使用了從權威的認證授權機構購買了SSL證書來保證網站安全。使用SSL證書可以有效避免網路層截取與網路詐騙。但是其有一個弱點就是SSL完全無法阻止一個惡意用戶直接攻擊網站。

四、我們有警報顯示我們阻斷了Web攻擊，所以我們的Web應用是安全的。

阻斷攻擊嘗試的證據有說服力但是並不夠。當管理人員問網站是否安全的時候，他們真正想知道的是，在網路攻防中的表現如何。CEO想知道的是能否成功的在攻擊中防護網站的安全。從這個角度來說，您並沒有正面回答一個問題。比如說打乒乓球，有人問你「誰贏了這個比賽？」，你卻用統計的數據來回答，比如比賽局數，耗時等。而不是直接告訴他最終的分數。所以提供被阻斷的攻擊證據是一個有用的指標，但是他們想知道的是，有沒有發生過成功的入侵。

有了這些概念作為背景知識，下面我列舉一些對於衡量網站安全策略效果的最重要指標：

日請求量：以數值（#）表示。他是網站流量的基準，提供其他指標的基礎。
檢測到的攻擊（真正）：以數值（#）和占日總請求數的百分比（%）表示。通常這個指標表示網站的惡意流量與安全檢測的準確性。
未檢測到的攻擊（漏報）：以數值（#）和占日總請求量的百分比（%）表示。通常這個指標能說明安全檢測準確度的有效性。這就是在回答網路攻防戰中表現如何時，被迴避的關鍵指標。
誤攔截的請求量（誤報）：以數值（#）和占日總請求量的百分比（%）表示。這個數據也能說明安全檢測的準確性。這個數據對於許多企業來說非常重要，因為阻斷了正常的流量意味著可能會影響收入。企業必須有一套有效的追蹤誤報率的方法，這回干擾到網站正常的請求流量。
攻擊檢測失敗率：以百分比（%）表示。通常等於誤報量與漏報量的和除以真正攻擊量。這個百分比提供了你的網站安全檢測準確率的總體衡量指標。

攻擊檢測失敗率提供了在整個攻防戰中表現的數據。可是，大部分企業都沒有收集到足夠獲得此類安全衡量指標的數據。

五、我們沒有檢測到任何非正常行為，所以我們的站點是安全的。

退一步來講，識別出網站中的異常行為似乎是對的。這種策略的不足就是需要收集到用於識別異常行為的數據。而大部分企業都沒有恰當的配置他們的網站來收集足夠的日誌信息。

六、我們在收集到的完整的HTTP審計日誌中分析惡意行為的特徵，並無發現任何異常行為，所以我們的Web應用是安全的。

很多企業犯的一個最大的錯誤就是只是用以告誡為中心的事件來識別潛藏的攻擊。如果只記錄已經知道的惡意行為的日誌，怎麼知道返回時候可被繞過，新的攻擊方式層出不窮。所以，只分析已經知道的告警問題是不夠的。必須把所有的HTTP請求的審計日誌全部記錄這樣才能分析出多種特徵的惡意行為。

七、我們在收集到的完整的HTTP審計日誌中分析惡意行為的特徵，並沒有發現任何異常行為，同時，我們也會定期對網站進行測試來查找存在的安全漏洞，所以我們的Web應用是安全的。

識別並阻斷網站攻擊很重要，但是把這些攻擊的目標與已知存在的漏洞進行關聯更重要。假設你的企業通過安全事件管理系統（SIEM）來集中管理安全事件，而你是安全分析人員又一次針對微軟的IIS伺服器的漏洞的攻擊請求被標註為惡意行為如果你沒有使用IIS伺服器的話，應該吧這種的告警性調到足夠低。

八、我們在收集到的完整的HTTP審計日誌中分析惡意行為的特徵，並沒有發現任何異常行為，同時，我們也會定期的對網站進行測試來查找存在的安全漏洞，還有定期測試我們的檢測能力和事件響應能力，所以我們的Web應用是安全的。

看到這最後的回答，你就會明白為什麼前面的回答都是不完整的。即使你知道你的網站哪裡有漏洞，你也必須模擬攻擊來確定你的安全防禦是有效的。安全人員發現了這些攻擊嗎？是否正確的實施了安全響應策略？他們花了多長時間來實施？實施是否有效？只有回答了這些問題你才能真正知道你的防禦策略是否有效。