Beyond举办了第五次学习研讨会，主题为“立即开始使用！不懂就糟了！针对网络内容的网络攻击的威胁和应对措施。~ Beyond学习研讨会#5，由IIJ GIO + Scutum提供支持 ~”

我是基础设施工程师伊藤。
正如我在公告中提到的，我们举办了第五次学习会！
【第五次】超越学习会！| Beyond
Doorkeeper 公司： 【立即开始使用！】如果你不知道，你就麻烦了！针对网络内容的网络攻击威胁及应对措施。~ 超越学习会第五期，由 IIJ GIO + Scutum 提供技术支持 ~ - 超越学习会 | Doorkeeper

这次，日本互联网倡议组织和Secure Sky Technology公司登台
谈论安全问题，我介绍了我们公司的漏洞检测扫描工具Nessus。

我想让你们简单了解一下发生了什么！

IIJ 对 Web 服务器安全的思考 & 推出最佳 Web 服务器安全解决方案 [IIJ 网站未经授权访问阻止解决方案]

IIJ 将其介绍为“IIJ 网站未经授权访问阻止解决方案”。

安装设备（实际设备）
似乎没有任何成本效益

当然，还有一些需要考虑的因素，例如“设备折旧”、“谁来操作它”，而且
由于您“拥有该设备”，您需要在自己的公司内操作它，并且
当设备发生故障时会产生费用，因此各个方面都会涉及资金。

使用专用设备的另一个缺点是，
在遭受DDoS攻击时，会有大量数据包涌入。
设备虽然能够接收到这些数据包，但
其之前的DMZ入口可能无法接收到所有数据包。

据说，将“未经授权的访问预防措施”迁移到云端可以消除上述缺点。

只需要考虑未经授权访问的定义，而不
需要考虑设备，那么可能会有成本效益。

大量数据包将首先由 IIJ 骨干网接收，因此
不会再出现无法在内部系统 DMZ 入口处接收数据包的情况。

那么，有哪些方法可以阻止未经授权的网站访问呢？
下面简要介绍一下……

CDN 服务

CDN 会缓存内容，并在需要时返回。
您可以通过限制访问来源（仅限来自 CDN 的访问）来限制对服务器的访问。

另一个优点是设置起来很简单，只需切换 DNS 即可。

数据包过滤器

一种用于拦截不需要的数据包的数据包过滤器。

如果我们能在每个阶段阻止不适当的端口和 IP 地址，
只允许真正必要的访问，我们就能显著减少未经授权的访问。

SSL证书

它是 SSL，用于加密 HTTP 通信。

故意放置安全性能较弱的服务器
（称为蜜罐），以分析可能出现的攻击类型，然后采取措施应对这些攻击。

这似乎让人放心了！

Scutum 已在超过 1500 个站点上安装！究竟是什么“Scutum”改变了人们对 WAF 的传统认知？

在第二节课中，Secure Sky Technology 介绍了 Scutum，
并解释了 Scutum 与传统 WAF（Web 应用程序防火墙）之间的区别。

• 低价
• 准入门槛低
• 操作由Secure Sky Technology公司执行。

使用WAF（Web应用防火墙）是一项非常棒的服务，因为它能阻止所有被判定为攻击的访问
。
当然，还有很多工作要做，例如更新签名，但
您可以放心，它是由Secure Sky Technology运营的。
由于它是基于云端的，所以设备端的所有操作都由他们负责。

理想情况下，安全措施应该采用PDCA循环来实现，但这并非易事。
“谁负责？做什么？”的问题总是会浮现。Scutum
似乎也能解决这些问题。

谈到安全问题，他
还提到内容管理系统（CMS）是常见的攻击目标。CMS
用户众多，而且很多都是开源的。

许多攻击者会利用
插件和主题等扩展程序，或者尤其流行，因此也成为了常见的攻击目标。

请注意不要将配置备份文件放在显眼的地方！

如何使用开源工具 Nessus 免费诊断网站内容漏洞。

最后，我谈到了涅索斯。它正在倾斜……

谈到安全问题，“漏洞响应”经常被提及。HTTP
代理和OpenSSL中的漏洞正引起广泛关注。

参考：
JVNVU#91485132：CGI Web 服务器将 Proxy 标头的值设置为 HTTP_PROXY 环境变量的漏洞；
OpenSSL 中的多个漏洞（CVE-2016-2107、CVE-2016-2108 等）— | SIOS OSS | SIOS Technology

如果能通过这种方式发现漏洞固然很好，但
你可能会想，服务器配置一开始是否就没问题？这可以通过“漏洞检测扫描”工具来发现，例如我们之前介绍过的Nessus。

通过进行模拟攻击，它可以发现“服务器中的漏洞”。

Nessus 对商业用途需要收取许可费，但对个人用途免费。

您可以将其安装在服务器上，但如果您使用 AWS Marketplace，则只需启动 Nessus 即可使用它
。

Nessus 非常实用，因为它只需输入 IP 地址并进行扫描即可发现漏洞。
它提供了多种扫描类型，但过多的选项也可能成为缺点，让你不知所措，不知道“我应该运行哪种扫描？”

如果公司内部能明确定义安全标准就好了，但现实是我们没有足够的资源来实现这一点。
在 Beyond，我们使用名为“PCI DSS”的安全标准进行扫描。

什么是PCI DSS？ | 日本卡信息安全委员会

这些是信用卡公司制定的安全标准，非常严格。在美国，
即使与信用卡无关的公司也经常使用这些标准，Beyond 也不例外。

但是，如果您不经常使用服务器，那么当 Nessus 扫描提示您更改 SSL 加密强度时，处理起来可能会很麻烦。
在这种情况下，就交给 Beyond!!! 吧。

概括

攻击方式有很多种，所以我认为了解多种自卫方法很重要。

这可能是 CDN 或 WAF 的问题，但如果您仍然不知道发生了什么，
最好使用 Nessus 等漏洞检测扫描工具来查找状态。

我余生都将不得不面对这个问题，所以我希望尽可能多地收集相关信息！

再次感谢IIJ和Secure Sky Technology！