據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測數(shù)據(jù)顯示，2022年上半年我國境內(nèi)遭受篡改的網(wǎng)站數(shù)量為30706個（其中被篡改的政府網(wǎng)站為166個）。網(wǎng)站篡改事件是主要的Web安全事件，網(wǎng)頁內(nèi)容一旦被篡改，可能會散布涉黃、涉政、涉黑、涉詐、釣魚等不良及非法信息，直接影響著用戶網(wǎng)站體驗，破壞政府和企業(yè)形象，擾亂社會公共秩序。如何快速準(zhǔn)確地實現(xiàn)網(wǎng)頁篡改事件的監(jiān)測和處置成為政府及企事業(yè)單位亟待解決的問題。

一、什么是網(wǎng)頁篡改

網(wǎng)頁篡改，即攻擊者故意篡改網(wǎng)絡(luò)上傳送的報文，通過入侵系統(tǒng)篡改數(shù)據(jù)、劫持網(wǎng)絡(luò)連接或插入數(shù)據(jù)等形式進行，其本質(zhì)是黑客通過注入攻擊、文件包含等Web攻擊方式，或者植入病毒木馬等攻擊手法獲取網(wǎng)站管理權(quán)限，從而對網(wǎng)站內(nèi)容進行篡改。網(wǎng)頁篡改具有傳播速度快、傳播范圍廣、事后影響大、事后消除難等特點。

二、常見的網(wǎng)頁篡改方式

1、SQL注入后獲取Webshell

黑客通過Web應(yīng)用程序的漏洞，通過SQL語句提交非法的語句到數(shù)據(jù)庫，通過系統(tǒng)以及第三方軟件的漏洞獲取Web的控制權(quán)限或者服務(wù)器權(quán)限。

2、XSS漏洞引入惡意HTML界面

被動的跨站攻擊可以在合法的地方引入非法的HTML或者JS代碼，從而讓訪問者“正常”的改變頁面內(nèi)容。例如：校內(nèi)網(wǎng)蠕蟲。

3、控制Web服務(wù)器

攻擊者可能通過服務(wù)器或者第三方的漏洞，獲取了服務(wù)器權(quán)限、數(shù)據(jù)庫管理權(quán)限進而修改頁面內(nèi)容。

三、網(wǎng)頁篡改主要防御方法

1、封閉未使用但已經(jīng)開放的網(wǎng)絡(luò)服務(wù)端口及未使用的服務(wù)：服務(wù)器在部署實施階段采用iptables等技術(shù)關(guān)閉不必要的端口和服務(wù)。

2、使用復(fù)雜的管理員密碼：無論是系統(tǒng)管理員、數(shù)據(jù)庫管理員，還是FTP及網(wǎng)站管理員使用的密碼，都需要定期進行弱口令掃描，服務(wù)器需要設(shè)置密碼復(fù)雜度防止弱口令的產(chǎn)生。

3、網(wǎng)站程序應(yīng)設(shè)計合理并注意安全代碼的編寫：在書寫代碼時，要注意對輸入的串進行約束，過濾可能產(chǎn)生攻擊的字符串，特殊權(quán)限頁面要添加身份驗證代碼。

4、設(shè)置合適的網(wǎng)站權(quán)限：為網(wǎng)站目錄文件和每個網(wǎng)站創(chuàng)建一個專屬的訪問用戶的權(quán)限，僅分配只寫權(quán)限的目錄文件，其他均為只讀權(quán)限。

5、防止欺騙攻擊：安裝ARP防火墻或者手動綁定網(wǎng)關(guān)MAC地址等，針對運營商等大型企業(yè)出口核心路由器需配置URPF，防止源地址欺騙。

6、落實網(wǎng)站的日常防護：對網(wǎng)站應(yīng)用進行定期的滲透測試，定期對網(wǎng)站文件進行全盤Webshell掃描，服務(wù)器安全補丁升級到最新版。

四、網(wǎng)頁篡改監(jiān)測方案及效果

避免網(wǎng)頁篡改事件發(fā)生的關(guān)鍵是事前監(jiān)測，為了實現(xiàn)對網(wǎng)頁篡改安全事件的快速監(jiān)測和處置，除了在網(wǎng)站開發(fā)和運維階段做好漏洞的監(jiān)測與及時修復(fù)外，還需構(gòu)建安全可靠的網(wǎng)頁監(jiān)測體系，滿足企業(yè)安全監(jiān)管和日常運營需求。鵬信科技提供的基于AI研判的網(wǎng)頁篡改監(jiān)測與處置方案，聚焦篡改事件自動化分析研判，解決網(wǎng)頁監(jiān)測效率低、監(jiān)測告警誤報量大、告警研判效率低、監(jiān)測閉環(huán)處置難等問題，主要從以下幾點開展建設(shè)：

1、站點監(jiān)測統(tǒng)一管理

采用高性能監(jiān)測框架，對站點及監(jiān)測任務(wù)統(tǒng)一智能管理，提升站點管理效率，便于查看站點監(jiān)測數(shù)據(jù)信息，及時發(fā)現(xiàn)網(wǎng)站異常變化。

2、輕量數(shù)據(jù)處理框架

采用輕量化的大數(shù)據(jù)處理框架，依托分布式爬蟲引擎實現(xiàn)頁面數(shù)據(jù)的匯總，并進行一定的歸并和告警壓制處理，自定義設(shè)置數(shù)據(jù)采集參數(shù)，滿足不同的監(jiān)測需求。

3、監(jiān)測結(jié)果多維研判

在獲取頁面圖片、文字、CSS等元素后，依托AI分析引擎，引入神經(jīng)網(wǎng)絡(luò)，語義分析、惡意圖片識別、OCR識別等分析算法，智能分析篡改告警的置信度，提高篡改監(jiān)測告警準(zhǔn)確率。

4、篡改事件自動處置

篡改告警經(jīng)過AI算法的多維研判后，形成不同等級的安全事件，并流轉(zhuǎn)至處置流程，通過設(shè)定可編排的安全應(yīng)急響應(yīng)策略，實現(xiàn)網(wǎng)頁篡改安全事件的頁面級自動化處置。

5、篡改監(jiān)測能力開放

網(wǎng)頁篡改監(jiān)測通過開放對外API接口，實現(xiàn)在云場景下篡改監(jiān)測安全能力開放，幫助企業(yè)用戶輕松構(gòu)建安全、可靠的網(wǎng)站篡改監(jiān)測能力，實現(xiàn)網(wǎng)頁篡改的快速監(jiān)測與處置。同時可為建設(shè)方創(chuàng)造安全增量價值。

五、總結(jié)

網(wǎng)頁篡改監(jiān)測與處置是網(wǎng)絡(luò)安全領(lǐng)域重點關(guān)注的問題，從應(yīng)用提供方角度看，需要加強站點自身安全建設(shè)，及時發(fā)現(xiàn)網(wǎng)站自身漏洞、木馬等安全風(fēng)險并進行徹底根除。從監(jiān)管和運營角度看，需做好安全網(wǎng)站的常態(tài)化監(jiān)測和應(yīng)急響應(yīng)。

鵬信科技網(wǎng)頁篡改監(jiān)測產(chǎn)品解決方案聚焦網(wǎng)頁篡改事件監(jiān)測、研判、處置，有效解決行業(yè)內(nèi)篡改告警量大、誤報率高、處置效率低等問題，可實現(xiàn)篡改數(shù)據(jù)一鍵接入，多維特征關(guān)聯(lián)分析，智能插件輔助決策，篡改事件自動處置。通過構(gòu)建多維度篡改事件動態(tài)研判框架，引入多達10項以上特征研判并形成可靠的置信度預(yù)測，同時基于研判結(jié)果自動化完成頁面級的安全封堵，為客戶輕松構(gòu)建安全可靠的網(wǎng)頁監(jiān)測體系，保障網(wǎng)站安全、穩(wěn)定運行。

注：文中部分內(nèi)容引用《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)實戰(zhàn)指南》.