Music Matters

　　互聯網業務日新月異，以Web為主要業務載體的網站自身安全問題也被提升至前所未有的高度。Web應用漏洞掃描產品作為網站安全風險評估的首選工具，在日益突出的Web合規政策和業務安全驅動下，被賦予了更多創新使命。如何輕鬆應對網站安全運維評估的難題，並跨越其在學習使用上的高門檻局限，這一切都呼喚著Web漏洞掃描產品能夠儘快融合當前網站安全運維理念。
　　1.Web合規政策趨勢
　　1.1 多，檢查的常態
　　近幾年，網站數據庫被拖庫、掛馬、篡改等Web安全事故比例逐年增加。2014年新成立的中網辦，站在國家安全層面首次發文直指網站安全，突出強調以查促建、以查促管、以查促改、以查促防的必要性和重要性。在等保、分保制度的指導下，各行各業已掀起安全大檢查浪潮，從已在線運行的門戶網站檢查範圍，擴大至新開通Web系統的安全備案，新增內容專欄的上線準入質量評估。信息發佈、轉載和鏈接管理的嚴格有效審查，都逐一變得常態化，周期化，高頻化。
　　1.2 嚴，考核的升級
　　考核形式上，採取自查和抽查方式，通過評分獎罰制，讓安全迎檢與工作績效統一掛鉤。評分方面，網站安全分值占比明顯提高，整體由符合性評測得分和風險評估得分共同組成，並加大風險評估得分的比例權重。風險評估方面，除按照安全隱患的數量、位置、危害程度進行一次扣分外，還增加了發現的安全隱患是否可被入侵利用的二次扣分機制，讓檢查要求變得愈發嚴格。
　　2.現有Web評估之殤
　　2.1 損傷，維穩的天敵
　　Web評估，就是把網站作為核心資產，在不影響其持續運行的前提下，進行安全橫向到邊、縱向到底的全面風險度量。反觀眼下Web漏洞掃描產品，對網絡帶寬的過分占用及對業務系統的大量資源消耗所引發的一系列業務變慢、斷網等惡性事件，讓評估者一直心存陰影，使用積極性嚴重削減。
　　2.2 耗時，進度的拖延
　　應用為王的互聯網時代，網站數量日益增多、複雜度逐漸提升，使得愈發嚴格的檢查成為了一場與時間賽跑的競賽。但縱觀各類Web漏洞掃描產品，多年來一直專註於精度而忽略速度，對大規模網站的快速評估存在一定的滯後性，拖延整個檢查進度。
　　2.3 複雜，高門檻解讀
　　網站合規檢查頻次的增多，讓很多網絡運維人員的工作轉投到日常網站安全評估中來。然而Web安全經驗的相對不足，各類網站應用系統的複雜多變，及多年來Web漏洞掃描產品的專業定位，讓運維人員在面對網站業務邏輯、運轉流程，工具的功能理解、操作使用上，都存在一系列的認知誤區。更為重要的是掃描報告解讀的困難，由於運維人員對報告中的漏洞類型、存在位置、影響程度等缺乏足夠的認識和重視，無法自行判斷是否存在誤報等問題，導致風險識別嚴重滯後，最終影響後續漏洞修複的開展。
　　2.4 修複，莫名的恐懼
　　網站安全事故的出現，都源自於網站自身存在漏洞。網站周期性的評估檢查，就是及時發現這些漏洞，並讓安全人員第一時間修複它，實現安全加固的最終目的。然而在明確網站漏洞分佈後，安全人員到底該採用哪種有效的修複方式，如打哪個系統升級包，如何調整網絡結構，是否增設網絡安全產品，已有的WAF防護策略如何調整等，還無法從現有Web漏洞掃描產品中得到清晰可靠的指導性建議。此外，即使採用了某種修複手段，該手段是否會造成網站業務的不良影響，依然無法確定。以上問題最終導致了網站陷於一種漏洞已知，卻不敢下手修複的尷尬境地，讓網站評估半途而廢。
　　3.重啟Web應用漏洞掃描之門
　　3.1 運維理念的融合
　　3.1.1 網站資產識別，聚焦風險分佈
　　在保持原有任務管理的基礎上，融合網站安全運維理念的Web漏洞掃描產品必須具備網站資產識別能力。首先，通過只爬不掃，全面搜集目標站點信息，如網站規模大小、類型屬性、資產映射表等基本信息，為下一步制定詳細掃描策略提供參考性依據;其次，通過多級用戶權限的分離，讓不同角色的評估者從各自運維管理的視角，靈活地依據目標站點的閑時忙時、內容歸屬等，擇時而掃、擇目錄而掃，進行針對性更強的站點指定掃描，從而滿足從時間、角色、IP、域名、URL目錄、隸屬組織和部門名稱的多維統一，更好地詮釋掃描任務與當前網站相關資產的清晰對應，讓網站安全態勢從整體到局部一覽無遺，盡顯眼底。
　　3.1.2 無損式掃描，保障網站持續運行
　　融合網站安全運維理念的Web漏洞掃描產品必須具備無損掃描能力，來盡可能地降低掃描全過程對目標站點的干擾，保障網站業務持續運行。目前這方面的創新技術層出不窮，但簡單歸納有如下幾方面：
　　速度自調節。自身設置多個計時器，採取主動探尋機制，分別對目標站點響應、網絡鏈路延時、自身性能負載進行實時監聽，並依據其動態曲線變化，自動進行掃描參數的自我修正，來達到掃描速度的智能調節，最大程度地降低原有恆定速度掃描可能對掃描環境造成的過高壓力。
　　不留干擾性代碼。採用獨創的插件檢測機制，通過偽造等同效能的隨機字符串替代真實java腳本，通過URL相似度判斷讓批量頁面只做一次頁面邏輯掃描，通過已知應用框架識別僅匹配調用專屬的插件類型，通過讓有邏輯遞進關係的插件直接信息共享等方式，一掃網站掃描後殘存大量干擾性代碼的弊端。
　　帶寬低占用。通過檢測算法優化和報文高壓縮比，最大程度降低掃描的平均請求、響應次數以及整體報文傳輸量。同時較低的掃描帶寬占用，也增強了其在複雜環境掃描的適應能力，如在ADSL出口帶寬苛刻的環境下進行遠程掃描時，不會因帶寬占用分配的不足導致掃描請求大量超時，嚴重影響掃描的穩定性和報告結果的準確性。
　　網站日誌關聯分析。為了有效降低傳統網站爬蟲對目標系統的干擾，Web掃描產品還必須具備網站日誌關聯分析能力。它除了對於一些網站孤鏈頁面能達到傳統網站爬蟲無法有效爬取的輔助作用外，更重要的是可通過對網站自身因早期訪問所產生的日誌文件關聯分析，直接減少爬蟲學習頁面的階段，進入掃描插件的邏輯判斷環節，從而既能從整體上大大加速頁面定位和掃描時間，又能較多緩解爬蟲爬取網站目錄時可能造成的網絡擁塞和網站資源干擾。
　　3.1.3 漏洞場景可視化重現
　　針對需要誤報驗證的漏洞清單，多數情況下，由於評估人員自身Web滲透測試技能的局限及手工驗證大量漏洞的效率低下，讓漏洞驗證成為評估者極為頭疼、望而生畏的一項工作。
　　因此，融合網站安全運維理念的Web漏洞掃描產品，若能夠大大降低漏洞驗證時對評估者的高門檻技能要求，針對批量待驗證的各種Web漏洞類型，提供傻瓜式一鍵菜單，直接實現自動驗證，免除現有的繁瑣和人工之苦。同時，驗證過程通過可視化方式進行呈現，讓評估者清晰地知曉之前掃描時判斷該漏洞存在的標準依據是什麼，交互執行時都構造了哪些URL鏈接和數據參數，實際響應和判斷依據的預期結果對比是何結果，甚至整個漏洞的確認過程中，與目標站點所進行的所有請求/響應的原始報文、頁面源碼都能有對應的說明文件，最後高亮顯示存在漏洞的位置，讓其一一盡顯眼底。而對於驗證失敗的漏洞，給出具體失敗的原因，如站點不可達、參數不全，或用戶站點發生變化等情況。
　　此外，為了盡可能避免網站整改方對於漏洞是否存在的質疑，Web漏洞掃描產品還需提供離線的漏洞場景文件，它採取加密封裝的方式，把如上描述的全過程內容細數打包，來方便檢查雙方彼此進行場景重現、權威取證，併為下一步的一體化漏洞修補提供先決條件。
　　3.1.4 漏洞跟蹤，聚焦風險態勢分佈
　　沒有絕對的安全，網站風險態勢也並非一成不變，這就要求融合網站安全運維理念的Web漏洞掃描產品能在評估者指定的任意時間周期內，從運維管理的視角，快速根據網站資產、網絡環境、新爆漏洞、修補力度、整體態勢等關心程度，相應呈現出以漏洞變化的核心風險態勢圖，緊隨網站評估的現實節奏，因地制宜，進行相應跟蹤分析和第一時間風險呈現。
　　3.2 大道至簡的跨越
　　3.2.1 低門檻學習使用
　　Web漏洞掃描產品在保障專業性掃描的同時，需要具備傻瓜式的掃描配置，除繼承原有快速掃描、全局掃描、自定義掃描的模板外，還要能立足於某類新曝出的漏洞進行快速遍歷匹配;報表展示方面，能夠提供風險儀錶盤，來集中展示信息概要，並通過進一步展示明細結果的快捷入口，快速查看所見即所得的圖文報表，最終通過全方位詳盡的漏洞詳情。讓評估者無需太多的Web安全知識積澱，無需專業人士的二次解讀，就能快速上手，簡便操作，做到對網站風險的準確把握，主次分明。
　　3.2.2 集群掃描，突破大規模網站掃描難題
　　傳統Web漏洞掃描產品，以安全評估為導向，一般採用獨立產品設計。對於大站點或者多站點的漏洞掃描則耗時很長，甚至由於任務量太大而出現掃描異常終止的情況。因此對大規模的站點掃描成為安全運維人員最頭疼的事情。
　　在保障現有掃描精度的前提下，融合網站安全運維理念的Web漏掃工具能夠基於頁面級負載均衡的分佈式集群技術，完全打破原有的增加掃描節點後只能在掃描任務間均分的老舊模式，真正做到顆粒度更細的URL頁面級，無論對單站點任務、多站點任務都能夠進行動態的均衡分配，且通過支持上百個掃描節點的集群，輕鬆實現大規模網站的掃描能力，同時具備統一的數據接口與上層運維平臺緊密對接，進行掃描任務集中管理和報表彙總輸出，從而大大縮短掃描時間，加快網站評估進度。
　　3.2.3 一體化修補直通車
　　網站評估者在通過掃描報告，全面瞭解網站漏洞分佈後，在面對下一步如何整改的問題時往往陷入"知而不會改"或者"知而不敢改"的尷尬處境。這就要求新發展的Web掃描產品在掃描報告中除了需突破原有漏洞信息不完整，內容晦澀難懂、修複建議指導性不強的局限外，還要儘量滿足與安全加固產品的一體化聯動，通過自動修複機制，從專業無誤的角度來增強運維方對所採取的網站安全整改手段的信心。近些年市面上已有一些Web掃描產品與主流Web應用防火牆形成一體化聯動，讓掃描輸出的報表成為Web應用防火牆下一步進行Web服務器安全加固的定向策略，但由於掃描報告可能存在的誤報，根本無法讓整改方對其形成的加固策略完全放心，可接受性較差。如若新發展的Web掃描產品既能具備與安全防護產品達到手動、自動雙重聯動機制，又能允許整改方對掃描報告中的漏洞清單進行批量可視化驗證確認後，任意指定待修補的漏洞對象，從而隨需生成精準的防護策略，形成目標系統的虛擬加固補丁，輕鬆實現無憂修補，讓網站運維人員補丁修補的恐懼之感不復存在。
　　4.結束語
　　Web威脅已成為當前信息安全建設的主要威脅之一，對Web漏洞的發現、跟蹤及處理已成為從根本上緩解Web威脅和健壯Web系統的重要手段。而Web漏洞掃描產品通過融合網站安全運維理念，從聚焦風險分佈的資產識別、保障業務持續運行的無損式掃描、確保漏洞權威可信的場景全過程可視化重現、聚焦網站風險態勢變化的漏洞跟蹤機制，實現與網站評估業務的攜手發展，緊密相連。同時配以大道至簡的用戶體驗，讓其在大規模網站評估和快速整改方面，輕鬆消除愈發嚴格的檢查制度所帶來的憂慮，助Web安全評估工作一臂之力。　　（原標題：融合運維理念 助力Web安全評估）