服務(wù)器安全監(jiān)控有什么作用�?當服務(wù)(HTTP、SMTP 等)出現(xiàn)故障時����,我們會收到警報。如果我們的服務(wù)器容易受到新軟件錯誤的攻擊����,或者如果有人試圖暴力破解我們的密碼怎么辦?這就是服務(wù)器安全監(jiān)控很重要的原因�。
通過監(jiān)視服務(wù)器的安全事件�����,我們將能夠防止安全問題�,而不僅僅是在發(fā)生不良事件時做出反應(yīng)。即使發(fā)生了不好的事情�����,我們也可以控制它的發(fā)展方式,而不是在一切都亂七八糟的時候旁觀����。下面����,小編就詳細給大家分析下服務(wù)器安全監(jiān)控有什么作用?
1����、待定的安全更新
應(yīng)用程序和操作系統(tǒng)供應(yīng)商幾乎每周都會發(fā)布安全更新。一旦供應(yīng)商發(fā)布了這些補丁��,漏洞的詳細信息就可供公眾(包括黑客)訪問�。
因此,重要的是盡快應(yīng)用安全補丁��?;蛘吖粽吆芸赡軙矛F(xiàn)在公開的漏洞闖入您的服務(wù)器。這就是我們監(jiān)控所有客戶服務(wù)器以獲取新安全版本并在24小時內(nèi)應(yīng)用它們的原因���。這包括:
操作系統(tǒng)更新�;
服務(wù)包更新;
網(wǎng)絡(luò)應(yīng)用程序更新�����;
以及我們的客戶使用的任何其他特殊軟件�。
2、新的未修補漏洞
大多數(shù)新漏洞是由道德安全研究人員發(fā)現(xiàn)的�����,他們等待應(yīng)用程序開發(fā)人員在漏洞公開之前發(fā)布補丁����。
但是,在某些情況下���,漏洞會在官方補丁可用之前公開��。這些漏洞稱為零日漏洞��,幾乎無法防御����。
這就是為什么新漏洞監(jiān)控是我們服務(wù)器管理服務(wù)的重要組成部分�����。如果我們發(fā)現(xiàn)新的威脅,我們會通過3種方式保護我們的客戶:
使用官方或非官方補丁�。
使用服務(wù)器或Web應(yīng)用程序防火墻阻止常見的漏洞利用方法。
在官方補丁出現(xiàn)之前禁用易受攻擊的功能——也就是說�,用一個小的功能缺失來保護整個服務(wù)器。這樣�,服務(wù)器將始終免受攻擊��。
3�、針對服務(wù)器的攻擊
攻擊者使用自動化工具運行各種漏洞利用程序來嘗試闖入服務(wù)器。重要的是要檢測這些攻擊并在它們中的一個幸運之前阻止它們��。
在我們的服務(wù)器管理服務(wù)中�����,我們以兩種方式對抗自動攻擊:
預(yù)防性服務(wù)器強化——許多攻擊使用標準端口或常見模式來卸載其攻擊負載���。我們以挫敗這些常見攻擊的方式配置我們的客戶服務(wù)器�����。
主動攻擊監(jiān)控和防御——一些漏洞利用可以繞過防火墻���。在這種情況下�����,我們會收到服務(wù)器中“異?�!被顒拥木瘓?���,并會立即阻止攻擊者的 IP��。然后我們使用攻擊簽名進一步強化防火墻�。
4、服務(wù)器入侵或網(wǎng)站感染
服務(wù)器托管提供商應(yīng)該對客戶服務(wù)器有最后一道監(jiān)控是入侵檢測�����。這包括:
文件系統(tǒng)監(jiān)控——當在服務(wù)器中創(chuàng)建新文件(上傳或編輯)時�,惡意軟件掃描程序會檢查病毒內(nèi)容,并提醒我們�。
網(wǎng)絡(luò)監(jiān)控——如果一個IP或一組IP表現(xiàn)異常(例如,許多打開的連接���、暴力破解等)��,我們將登錄到服務(wù)器并阻止攻擊者的IP���。
身份驗證監(jiān)控——我們尋找管理員帳戶的成功登錄��。如果我們看到一個陌生的IP登錄到服務(wù)器��,我們會立即進入服務(wù)器���,踢出入侵者并警告服務(wù)器所有者(因為這通常表明有人竊取了密碼)�����。
關(guān)鍵文件更改監(jiān)控——攻擊者經(jīng)常用受感染的文件替換系統(tǒng)文件。因此�����,我們監(jiān)控關(guān)鍵系統(tǒng)文件�,如果它在我們不知情的情況下發(fā)生變化,我們將登錄服務(wù)器并進行調(diào)查�。
進程監(jiān)控——攻擊者經(jīng)常將他們的惡意進程偽裝成系統(tǒng)服務(wù)。因此����,如果我們注意到某個進程引用異常文件或綁定到非標準端口���,我們就會采取措施。
受保護的目錄監(jiān)控——合法程序真的沒有理由進入管理員文件夾�����。我們在系統(tǒng)中設(shè)置了絆線(很像防盜警報器)����,如果我們看到不尋常的文件夾訪問,我們就知道有什么事情正在發(fā)生��。
Rootkit和病毒監(jiān)控——攻擊者可能會在不同的系統(tǒng)位置留下系統(tǒng)后門���。這就是我們定期掃描整個服務(wù)器以查找內(nèi)核Rootkit和隱藏病毒的原因�����。
在這種監(jiān)測中快速反應(yīng)很重要�。在許多情況下����,我們已經(jīng)能夠通過阻止正在進行的攻擊來防止服務(wù)器被成功破壞。
總結(jié):服務(wù)器所有者經(jīng)常忽視安全監(jiān)控的重要性。希望我們都能及時對服務(wù)器更新�����、補丁和事件響應(yīng)可以防止服務(wù)器或網(wǎng)站被破壞���。
