作为数字经济重要的基础应用,Web正处于快速的技术演进阶段,人工智能、云计算、大数据、区块链等创新技术被不断引入到互联网之中,推动了以海量连接、主动服务、去中心化、多维化等为特征的新一代 Web 应用的发展。但与此同时,新一代 Web 应用也意味着更大的安全攻击面,这就要求用户通过网络空间地图测绘等形式,对于Web安全攻击面进行更加全面、深度的描绘,及时、客观地反映出Web资产的最新特征,以更好地对抗安全风险。
新一代Web技术带来棘手安全挑战
虽然新一代Web技术在加密计算、隐私保护、可信计算等方面搭载了创新的安全特性,但并不表示企业就可以安枕无忧。事实上,新一代Web技术以开放性为重要特征,大量代码来源于开源社区,并可能运行于公共区块链中,这将导致其面临着更大的安全攻击面,网络攻击者很可能通过这些暴露的安全攻击面,发动勒索病毒、木马、数据窃取等攻击。此外,由于新一代Web应用将融合更多的经济系统以及数据资产,因此会强化网络攻击者的攻击欲望。
相关研究显示,新一代Web应用有区块链等特点,因此会拥有更宽的受攻击面。而在快速前进的Web技术领域,企业会倾向于忽视安全漏洞,只求快速创新,但是当重要产品发布时公共安全漏洞可能会成为阻碍,会拖累产品团队前进的速度,强迫团队分析、缓解关键安全威胁。
尽管新一代Web应用有着更高的复杂性,但并不意味着用户就此将束手无措。要推动Web应用的安全治理,一个关键之处在于拨开Web运行环境中的重重迷雾,精准定位并梳理域名地址等Web资产信息,并开展持续监测,及时发现Web资产存在的安全风险,这样才能有的放矢地进行安全响应,保护数据的安全性。
网络空间地图测绘为Web应用撑起保护伞
针对新一代Web应用存在的安全风险,盛邦安全近期发布了首个网络空间地图——网络空间“坤舆图”,以支撑网络空间地图测绘。用户能够通过“坤舆图”的网络探测扫描、协议分析、IP定位、拓扑测量、大数据分析与存储、网络可视化等技术,建立Web资产的相互关系索引,描绘网络逻辑连接关系,从而掌握网络空间中各种Web资产的实时动态,并进行分类管理。
例如,通过网络测绘和协议分析技术,用户能够基于域名空间,通过大量探针访问、识别和记录海量Web节点的信息要素,识别Web应用使用的软件版本、组件结构、漏洞信息、归属信息等信息;通过网络空间拓扑测绘,用户能够基于Ping、Traceroute、SNMP、ARP、DNS和NETCONF等探测技术以及公开信息采集和开源情报辅助等手段,实现对网络拓扑的分层、分区域显示;通过漏洞扫描和验证技术,探知Web应用存在的漏洞风险隐患。
除了Web资产治理之外,盛邦安全网络空间“坤舆图”还能够与盛邦安全WAF、API防护设备等联动,形成“主动”+ “被动”的Web一体化综合治理防护解决方案。不仅用于保护面向互联网的Web应用,还可以部署在内部Web应用服务器之前,对内部的业务访问进行访问控制和业务审计,防范来自内部的威胁,全面提高Web应用防护能力。
通过盛邦安全自动化安全运营能力支持,用户能够自定义时间周期对Web资产进行安全监控,并提供漏洞扫描、漏洞验证和漏洞生命周期管理,对应用系统进行7*24小时持续监测以及周期性的安全巡检,主动监控系统漏洞、Web漏洞、敏感词、暗链、弱口令等安全风险,从而更加高效地满足用户新一代Web应用场景下的安全需求。