有許多常規(guī)服務(wù)器監(jiān)控服務(wù)��,當(dāng)服務(wù)(HTTP�����,SMTP等)失敗時(shí)�,您將收到警報(bào)。如果您的服務(wù)器容易受到新軟件漏洞的影響��,或者有人試圖破解您的密碼���,該怎么辦����?這就是服務(wù)器安全監(jiān)控很重要的原因�。
通過監(jiān)控服務(wù)器安全事件,您將能夠防止安全問題�,而不僅僅是對不良事件做出反應(yīng)。
應(yīng)用程序和操作系統(tǒng)供應(yīng)商幾乎每周都會發(fā)布安全更新(例如��,Microsoft每周二發(fā)布補(bǔ)丁程序 - 稱為“Patch Tuesday”)。一旦供應(yīng)商發(fā)布這些補(bǔ)丁��,公眾就可以獲得有關(guān)漏洞的詳細(xì)信息��,包括黑客�。因此,一旦安全補(bǔ)丁可用�����,就應(yīng)立即應(yīng)用它們�����。否則�����,攻擊者可能利用現(xiàn)在公開的漏洞攻擊您的服務(wù)器���。這就是我們監(jiān)控所有客戶端服務(wù)器以獲取新安全版本并在24小時(shí)內(nèi)應(yīng)用它們的原因。其中包括:操作系統(tǒng)更新���,Service Pack更新����,Web應(yīng)用程序更新以及客戶使用的任何其他特殊軟件。
大多數(shù)新漏洞都是由用戶和安全研究人員發(fā)現(xiàn)的����,他們等待應(yīng)用程序開發(fā)人員在公開之前發(fā)布補(bǔ)丁。但是�,在某些情況下,該漏洞將公布����,直到官方補(bǔ)丁可用。這些漏洞被稱為零日漏洞��,實(shí)際上是不設(shè)防的�����。這就是新漏洞監(jiān)控是我們服務(wù)器管理服務(wù)的重要組成部分的原因���。如果我們發(fā)現(xiàn)新威脅�����,我們會以三種方式保護(hù)我們的客戶:使用官方或非官方補(bǔ)����������;使用服務(wù)器或Web應(yīng)用程序防火墻來阻止常見攻擊�;在修補(bǔ)官方補(bǔ)丁之前禁用易受攻擊的功能。
攻擊者使用自動(dòng)化工具運(yùn)行各種漏洞并嘗試入侵服務(wù)器�����。檢測這些攻擊并及時(shí)阻止它們非常重要��。通常我們會以兩種方式對抗服務(wù)器管理服務(wù)中的自動(dòng)攻擊:預(yù)防性服務(wù)器強(qiáng)化 - 許多攻擊使用標(biāo)準(zhǔn)端口或常見模式來發(fā)起攻擊��,您可以關(guān)閉不常用且容易受到攻擊的端口�����。我們以防止常見攻擊的方式配置客戶端服務(wù)器�。
主動(dòng)攻擊監(jiān)控和防御 - 某些攻擊可以通過防火墻���。在這種情況下����,我們會收到服務(wù)器中“異常”活動(dòng)的警報(bào)���,并立即阻止攻擊者的IP�����。然后我們使用攻擊簽名來進(jìn)一步加強(qiáng)防火墻��。如果最糟糕的情況怎么辦���?如果你的所有防御都被破壞而且攻擊者真的進(jìn)入了服務(wù)器?你應(yīng)該踢出入侵者�,鎖定網(wǎng)站或服務(wù)器,評估損害��,清理混亂���,讓服務(wù)器重新上線����。
文件系統(tǒng)監(jiān)控:當(dāng)在服務(wù)器中創(chuàng)建新文件(上載或編輯)時(shí)�����,惡意軟件掃描程序會檢查病毒內(nèi)容并提醒我們。網(wǎng)絡(luò)監(jiān)控:如果IP或IP組以不尋常的方式運(yùn)行(例如���,許多打開的連接�����,暴力破解等)�,我們將登陸服務(wù)器并阻止攻擊者的IP�����。身份驗(yàn)證監(jiān)控:我們正在尋找管理員賬戶的成功登陸����。如果我們看到一個(gè)不熟悉的IP登錄到服務(wù)器�����,我們立即進(jìn)入服務(wù)器��,踢出入侵者并警告服務(wù)器所有者(因?yàn)樗ǔ1硎居腥烁`取了密碼)���。
關(guān)鍵文件更改監(jiān)控:攻擊者經(jīng)常用受感染的文件替換系統(tǒng)文件����。因此,我們監(jiān)控關(guān)鍵系統(tǒng)文件����,如果它在我們不知情的情況下發(fā)生變化,我們將登陸服務(wù)器并進(jìn)行調(diào)查�。進(jìn)程監(jiān)控:攻擊者經(jīng)常將其惡意進(jìn)程偽裝成系統(tǒng)服務(wù)。因此��,如果我們注意到引用異常文件或綁定到非標(biāo)準(zhǔn)端口的進(jìn)程�����,我們將采取措施����。
受保護(hù)的目錄監(jiān)控:合法程序沒有理由進(jìn)入Administrators文件夾。我們在系統(tǒng)中安裝了特殊工具��,如果我們看到一個(gè)不尋常的文件夾訪問�,我們可以快速找到異常。Rootkit和病毒監(jiān)控:攻擊者可以在各個(gè)系統(tǒng)位置為系統(tǒng)留下后門。這就是我們定期掃描整個(gè)服務(wù)器以獲取內(nèi)核rootkit和隱藏病毒的原因����。
快速響應(yīng)對于此類監(jiān)測非常重要。在許多情況下����,我們已經(jīng)能夠通過阻止持續(xù)攻擊來防止服務(wù)器損壞成功���?傊���,服務(wù)器所有者經(jīng)常忽視安全監(jiān)控的重要性。及時(shí)的服務(wù)器更新�����,補(bǔ)丁和事件響應(yīng)可以防止服務(wù)器或網(wǎng)站泄漏�。防御吧特此詳細(xì)介紹了我們幫助監(jiān)控客戶端服務(wù)器安全事件的四種方式,以及它如何幫助保護(hù)服務(wù)器�。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
