服務(wù)器安全監(jiān)控有什么作用�?當(dāng)服務(wù)(HTTP�����、SMTP 等)出現(xiàn)故障時�,我們會收到警報。如果我們的服務(wù)器容易受到新軟件錯誤的攻擊����,或者如果有人試圖暴力破解我們的密碼怎么辦�����?這就是服務(wù)器安全監(jiān)控很重要的原因�����。
通過監(jiān)視服務(wù)器的安全事件�,我們將能夠防止安全問題,而不僅僅是在發(fā)生不良事件時做出反應(yīng)�����。即使發(fā)生了不好的事情,我們也可以控制它的發(fā)展方式����,而不是在一切都亂七八糟的時候旁觀。下面����,小編就詳細(xì)給大家分析下服務(wù)器安全監(jiān)控有什么作用?
1����、待定的安全更新
應(yīng)用程序和操作系統(tǒng)供應(yīng)商幾乎每周都會發(fā)布安全更新。一旦供應(yīng)商發(fā)布了這些補(bǔ)丁�����,漏洞的詳細(xì)信息就可供公眾(包括黑客)訪問�����。
因此�,重要的是盡快應(yīng)用安全補(bǔ)丁。或者攻擊者很可能會利用現(xiàn)在公開的漏洞闖入您的服務(wù)器����。這就是我們監(jiān)控所有客戶服務(wù)器以獲取新安全版本并在24小時內(nèi)應(yīng)用它們的原因。這包括:
操作系統(tǒng)更新����;
服務(wù)包更新;
網(wǎng)絡(luò)應(yīng)用程序更新���;
以及我們的客戶使用的任何其他特殊軟件��。
2、新的未修補(bǔ)漏洞
大多數(shù)新漏洞是由道德安全研究人員發(fā)現(xiàn)的�����,他們等待應(yīng)用程序開發(fā)人員在漏洞公開之前發(fā)布補(bǔ)丁��。
但是��,在某些情況下����,漏洞會在官方補(bǔ)丁可用之前公開。這些漏洞稱為零日漏洞��,幾乎無法防御。
這就是為什么新漏洞監(jiān)控是我們服務(wù)器管理服務(wù)的重要組成部分����。如果我們發(fā)現(xiàn)新的威脅,我們會通過3種方式保護(hù)我們的客戶:
使用官方或非官方補(bǔ)丁����。
使用服務(wù)器或Web應(yīng)用程序防火墻阻止常見的漏洞利用方法。
在官方補(bǔ)丁出現(xiàn)之前禁用易受攻擊的功能——也就是說��,用一個小的功能缺失來保護(hù)整個服務(wù)器����。這樣,服務(wù)器將始終免受攻擊�����。
3�����、針對服務(wù)器的攻擊
攻擊者使用自動化工具運(yùn)行各種漏洞利用程序來嘗試闖入服務(wù)器���。重要的是要檢測這些攻擊并在它們中的一個幸運(yùn)之前阻止它們�。
在我們的服務(wù)器管理服務(wù)中,我們以兩種方式對抗自動攻擊:
預(yù)防性服務(wù)器強(qiáng)化——許多攻擊使用標(biāo)準(zhǔn)端口或常見模式來卸載其攻擊負(fù)載�。我們以挫敗這些常見攻擊的方式配置我們的客戶服務(wù)器。
主動攻擊監(jiān)控和防御——一些漏洞利用可以繞過防火墻���。在這種情況下�����,我們會收到服務(wù)器中“異?�!被顒拥木瘓?���,并會立即阻止攻擊者的 IP����。然后我們使用攻擊簽名進(jìn)一步強(qiáng)化防火墻�。
4、服務(wù)器入侵或網(wǎng)站感染
服務(wù)器托管提供商應(yīng)該對客戶服務(wù)器有最后一道監(jiān)控是入侵檢測�����。這包括:
文件系統(tǒng)監(jiān)控——當(dāng)在服務(wù)器中創(chuàng)建新文件(上傳或編輯)時,惡意軟件掃描程序會檢查病毒內(nèi)容�,并提醒我們。
網(wǎng)絡(luò)監(jiān)控——如果一個IP或一組IP表現(xiàn)異常(例如��,許多打開的連接��、暴力破解等)�����,我們將登錄到服務(wù)器并阻止攻擊者的IP��。
身份驗(yàn)證監(jiān)控——我們尋找管理員帳戶的成功登錄��。如果我們看到一個陌生的IP登錄到服務(wù)器�����,我們會立即進(jìn)入服務(wù)器��,踢出入侵者并警告服務(wù)器所有者(因?yàn)檫@通常表明有人竊取了密碼)�����。
關(guān)鍵文件更改監(jiān)控——攻擊者經(jīng)常用受感染的文件替換系統(tǒng)文件�。因此����,我們監(jiān)控關(guān)鍵系統(tǒng)文件�����,如果它在我們不知情的情況下發(fā)生變化���,我們將登錄服務(wù)器并進(jìn)行調(diào)查����。
進(jìn)程監(jiān)控——攻擊者經(jīng)常將他們的惡意進(jìn)程偽裝成系統(tǒng)服務(wù)����。因此,如果我們注意到某個進(jìn)程引用異常文件或綁定到非標(biāo)準(zhǔn)端口�����,我們就會采取措施�。
受保護(hù)的目錄監(jiān)控——合法程序真的沒有理由進(jìn)入管理員文件夾���。我們在系統(tǒng)中設(shè)置了絆線(很像防盜警報器)�,如果我們看到不尋常的文件夾訪問,我們就知道有什么事情正在發(fā)生�����。
Rootkit和病毒監(jiān)控——攻擊者可能會在不同的系統(tǒng)位置留下系統(tǒng)后門����。這就是我們定期掃描整個服務(wù)器以查找內(nèi)核Rootkit和隱藏病毒的原因。
在這種監(jiān)測中快速反應(yīng)很重要�。在許多情況下,我們已經(jīng)能夠通過阻止正在進(jìn)行的攻擊來防止服務(wù)器被成功破壞���。
總結(jié):服務(wù)器所有者經(jīng)常忽視安全監(jiān)控的重要性��。希望我們都能及時對服務(wù)器更新�����、補(bǔ)丁和事件響應(yīng)可以防止服務(wù)器或網(wǎng)站被破壞�。
