服務(wù)器安全監(jiān)控有什么作用?當(dāng)服務(wù)(HTTP��、SMTP 等)出現(xiàn)故障時(shí)�,我們會(huì)收到警報(bào)。如果我們的服務(wù)器容易受到新軟件錯(cuò)誤的攻擊�����,或者如果有人試圖暴力破解我們的密碼怎么辦��?這就是服務(wù)器安全監(jiān)控很重要的原因�。
通過(guò)監(jiān)視服務(wù)器的安全事件,我們將能夠防止安全問(wèn)題�����,而不僅僅是在發(fā)生不良事件時(shí)做出反應(yīng)��。即使發(fā)生了不好的事情����,我們也可以控制它的發(fā)展方式,而不是在一切都亂七八糟的時(shí)候旁觀�。下面,小編就詳細(xì)給大家分析下服務(wù)器安全監(jiān)控有什么作用��?
1��、待定的安全更新
應(yīng)用程序和操作系統(tǒng)供應(yīng)商幾乎每周都會(huì)發(fā)布安全更新����。一旦供應(yīng)商發(fā)布了這些補(bǔ)丁,漏洞的詳細(xì)信息就可供公眾(包括黑客)訪問(wèn)���。
因此�,重要的是盡快應(yīng)用安全補(bǔ)丁���?��;蛘吖粽吆芸赡軙?huì)利用現(xiàn)在公開(kāi)的漏洞闖入您的服務(wù)器����。這就是我們監(jiān)控所有客戶服務(wù)器以獲取新安全版本并在24小時(shí)內(nèi)應(yīng)用它們的原因����。這包括:
操作系統(tǒng)更新��;
服務(wù)包更新�;
網(wǎng)絡(luò)應(yīng)用程序更新;
以及我們的客戶使用的任何其他特殊軟件�。
2、新的未修補(bǔ)漏洞
大多數(shù)新漏洞是由道德安全研究人員發(fā)現(xiàn)的�,他們等待應(yīng)用程序開(kāi)發(fā)人員在漏洞公開(kāi)之前發(fā)布補(bǔ)丁。
但是����,在某些情況下,漏洞會(huì)在官方補(bǔ)丁可用之前公開(kāi)����。這些漏洞稱為零日漏洞�,幾乎無(wú)法防御�����。
這就是為什么新漏洞監(jiān)控是我們服務(wù)器管理服務(wù)的重要組成部分���。如果我們發(fā)現(xiàn)新的威脅���,我們會(huì)通過(guò)3種方式保護(hù)我們的客戶:
使用官方或非官方補(bǔ)丁。
使用服務(wù)器或Web應(yīng)用程序防火墻阻止常見(jiàn)的漏洞利用方法��。
在官方補(bǔ)丁出現(xiàn)之前禁用易受攻擊的功能——也就是說(shuō)��,用一個(gè)小的功能缺失來(lái)保護(hù)整個(gè)服務(wù)器����。這樣,服務(wù)器將始終免受攻擊�����。
3�、針對(duì)服務(wù)器的攻擊
攻擊者使用自動(dòng)化工具運(yùn)行各種漏洞利用程序來(lái)嘗試闖入服務(wù)器。重要的是要檢測(cè)這些攻擊并在它們中的一個(gè)幸運(yùn)之前阻止它們���。
在我們的服務(wù)器管理服務(wù)中�����,我們以兩種方式對(duì)抗自動(dòng)攻擊:
預(yù)防性服務(wù)器強(qiáng)化——許多攻擊使用標(biāo)準(zhǔn)端口或常見(jiàn)模式來(lái)卸載其攻擊負(fù)載�。我們以挫敗這些常見(jiàn)攻擊的方式配置我們的客戶服務(wù)器。
主動(dòng)攻擊監(jiān)控和防御——一些漏洞利用可以繞過(guò)防火墻��。在這種情況下���,我們會(huì)收到服務(wù)器中“異?�!被顒?dòng)的警報(bào),并會(huì)立即阻止攻擊者的 IP���。然后我們使用攻擊簽名進(jìn)一步強(qiáng)化防火墻�。
4�����、服務(wù)器入侵或網(wǎng)站感染
服務(wù)器托管提供商應(yīng)該對(duì)客戶服務(wù)器有最后一道監(jiān)控是入侵檢測(cè)���。這包括:
文件系統(tǒng)監(jiān)控——當(dāng)在服務(wù)器中創(chuàng)建新文件(上傳或編輯)時(shí)��,惡意軟件掃描程序會(huì)檢查病毒內(nèi)容�,并提醒我們。
網(wǎng)絡(luò)監(jiān)控——如果一個(gè)IP或一組IP表現(xiàn)異常(例如�����,許多打開(kāi)的連接��、暴力破解等)���,我們將登錄到服務(wù)器并阻止攻擊者的IP���。
身份驗(yàn)證監(jiān)控——我們尋找管理員帳戶的成功登錄。如果我們看到一個(gè)陌生的IP登錄到服務(wù)器�����,我們會(huì)立即進(jìn)入服務(wù)器����,踢出入侵者并警告服務(wù)器所有者(因?yàn)檫@通常表明有人竊取了密碼)。
關(guān)鍵文件更改監(jiān)控——攻擊者經(jīng)常用受感染的文件替換系統(tǒng)文件���。因此�,我們監(jiān)控關(guān)鍵系統(tǒng)文件,如果它在我們不知情的情況下發(fā)生變化�,我們將登錄服務(wù)器并進(jìn)行調(diào)查。
進(jìn)程監(jiān)控——攻擊者經(jīng)常將他們的惡意進(jìn)程偽裝成系統(tǒng)服務(wù)�。因此,如果我們注意到某個(gè)進(jìn)程引用異常文件或綁定到非標(biāo)準(zhǔn)端口���,我們就會(huì)采取措施��。
受保護(hù)的目錄監(jiān)控——合法程序真的沒(méi)有理由進(jìn)入管理員文件夾�����。我們?cè)谙到y(tǒng)中設(shè)置了絆線(很像防盜警報(bào)器)�,如果我們看到不尋常的文件夾訪問(wèn)��,我們就知道有什么事情正在發(fā)生��。
Rootkit和病毒監(jiān)控——攻擊者可能會(huì)在不同的系統(tǒng)位置留下系統(tǒng)后門����。這就是我們定期掃描整個(gè)服務(wù)器以查找內(nèi)核Rootkit和隱藏病毒的原因��。
在這種監(jiān)測(cè)中快速反應(yīng)很重要�����。在許多情況下,我們已經(jīng)能夠通過(guò)阻止正在進(jìn)行的攻擊來(lái)防止服務(wù)器被成功破壞�。
總結(jié):服務(wù)器所有者經(jīng)常忽視安全監(jiān)控的重要性。希望我們都能及時(shí)對(duì)服務(wù)器更新�、補(bǔ)丁和事件響應(yīng)可以防止服務(wù)器或網(wǎng)站被破壞。
