360欧怀谷:云端联动,治理网站三大顽疾

2017-04-28 11:06:00 作者:ym 分类 : 比特网

  4月26日,在429首都网络安全日活动期间,公安部网络安全保卫局的指导,公安部第三研究所、网络安全事件预警与防控技术国家工程实验室联合360、阿里、百度等国内知名网络安全企业互联网企业,共同举办了“治理染毒网站 保障上网安全”专题论坛。

说明: C:\Users\XUCHUA~1\AppData\Local\Temp\WeChat Files\677021768583927476.jpg

  图:欧怀谷在论坛的演讲中

  网站被挂马、暗链和恶意篡改已经成为危害网站安全的三大顽疾,给网民上网带来了安全风险和隐患威胁。此次专题论坛举办的目的是动员互联网企业、网络安全企业、网站开办维护人员、互联网数据中心管理人员和网络安全从业人员,共同探讨方法和措施,清理染毒网站,提升网站的安全防护能力。

  360企业安全集团副总裁欧怀谷在论坛上发表了题为“端联动,治理网站三大顽疾”的专题报告,介绍了360公司如何利用积累的安全攻防能力、安全数据能力、威胁情报能力、终端安全能力和Web安全能力,构建云端联动的完整网站安全防护体系,解决网站安全顽疾,保护用户上网安全。

  网站安全两大祸根:“漏洞”和“坏人”

  欧怀谷从网站漏洞和网站挂马两个角度分析了当前网站安全形势。在网站漏洞方面,360补天平台总共收录各类网站的安全漏洞数为37188个,与2015年基本持平。值得关注的是备案网站整体的漏洞未修复率高达57.1%。

  欧怀谷认为,安全意识的匮乏、不少网站投入少,缺乏专业安全团队,导致安全维护、漏洞修复等能力缺失,是导致网站漏洞修复率极低的主要原因。在网络攻击自动化、规模化、产业化的今天,任何一个有漏洞的网站都很难逃过攻击者的追踪。

  网站挂马攻击是另一大网站安全威胁,攻击者在网页中嵌入恶意代码,当用户访问该网页时,嵌入的恶意代码利用浏览器本身或者Flash等插件的漏洞,在用户不知情的情况下下载并执行恶意木马

  2010年以来,得益于国内安全浏览器和第三方打补丁工具的普及,针对国内用户的挂马攻击事件呈现持续大幅下降的趋势,但2016年以来,网页挂马在国内又重新流行,黑客针对网站的挂马活动再次活跃,并呈现一定程度爆发趋势。

  根据360互联网安全中心监测显示, 仅2016年前11个月拦截挂马攻击746万次,诱发挂马攻击在国内死灰复燃的主要原因有以下三个方面:Hacking Team大量攻击代码泄漏;Flash漏洞增多,修复周期较长;敲诈者病毒的流行间接推动了挂马产业发展。

  欧怀谷提醒,除了有漏洞网站的绝对数量庞大,黑产组织已经集团化,国家级黑客组织掌握了批量化的攻击工具,让“坏人”越来越难对付,从而让网站安全形势不容乐观。

  云端联动,建立网站纵深防御体系

  作为国内最大的互联网安全公司, 360一直致力于保护互联网安全,保护用户的上网安全和网站安全。360自身也是一家互联网公司,将多年保护自己网站和互联网业务的经验与公司的安全能力结合,不断增强能力,构建网站安全体系,为网站提供完整的安全监测和防护服务。

  360旗下的安全创新中心有15支安全研究团队、3大安全研究院、9大实验室、2大平台和3个中心,核心安全专家超过1200名,其漏洞挖掘发现能力全球领先,截至目前已经获得微软谷歌Adobe苹果VMware漏洞致谢771次,并且全球首个发现了挖掘 VMware VM Escape 漏洞、Tesla漏洞和、Google Pixel 漏洞,在今年的Pwn2Own世界黑客大赛中,以总分第一“Master of Pwn”世界破解大师总冠军。欧怀谷称,这些漏洞挖掘和攻防专家都是360网站安全背后的安全团队,在云端提供安全服务

  图:360安全大数据及应用能力

  另外360在安全大数据和大数据能力方面也是业界领先的,拥有全球最大的DNS解析、URL、互联网访问日志、互联网行为日志等互联网安全数据,14亿终端安全设备每天为用户拦截各种钓鱼攻击和恶意网址访问数亿次,可以第一时间发现网站安全威胁,生成威胁情报。

  欧怀谷认为一个完善的网站安全解决方案,首先必须有能力在第一时间发现网站的问题,通过网站资产识别、漏洞检测和运行时监测,全面了解现状,监测风险。此外,360一方面将威胁情报应用于搜索引擎、安全浏览器、主机卫士和手机卫士等用户端系统,另一方面基于网站云防护,硬件及虚拟化WAF和Web服务器端软件,构建了“云+端”的立体纵深防御体系,通过覆盖用户端和服务器端的完善解决方案,保护网民上网安全和网站自身的安全。

  据欧怀谷介绍,为了支持国家“一带一路高峰论坛”的成功举办,360安域网站云防护将在4月20号到5月20号期间,免费为全国网站提供安全防护1个月,需要的用户可以直接拨打咨询电话4006-783-600转1。

芥末视频

最近更新
科普

科普图集
带着朋友和机器人上月亮散步

带着朋友和机器人上月亮散步>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。