Beyond举办了第五次学习研讨会，主题为“立即开始使用！不懂就糟了！针对网络内容的网络攻击的威胁和应对措施。~ Beyond学习研讨会#5，由IIJ GIO + Scutum提供支持 ~”

我是基础设施工程师伊藤。
正如我们之前宣布的，我们举办了第五次学习会！
【第五次】超越学习会举行！| Beyond
Doorkeeper Co., Ltd.：【今日起实战！】你绝对不能忽视它！针对网络内容的网络攻击的威胁及应对措施。~ Beyond 学习会第五期，由 IIJ GIO + Scutum 提供技术支持 ~ - Beyond 学习会 | Doorkeeper

这次，我们邀请了日本互联网倡议组织（Internet Initiative Japan）和SecureSky Technology公司分别
就安全问题进行了演讲。我还介绍了我们公司的漏洞检测扫描工具Nessus。

我想让你们简单了解一下发生了什么！

IIJ 对 Web 服务器安全的思考 & 推出最佳 Web 服务器安全解决方案 [IIJ 网站未经授权访问阻止解决方案]

IIJ 将其介绍为“IIJ 网站未经授权访问阻止解决方案”。

关于“阻止未经授权的访问”，安装设备（实际设备）似乎
并不能带来任何成本效益。

当然，当你考虑到“设备折旧”、“谁来操作它？”以及
“拥有设备”等问题时，你必须自己操作它，而且
各个方面都会涉及成本，例如设备发生故障时的费用。

使用专用设备的另一个缺点是，
在遭受DDoS攻击时，会发送大量数据包。
这些数据包会被专用设备接收，但
位于专用设备之前的DMZ入口点可能无法接收到所有数据包。

据说，将“未经授权的访问预防措施”迁移到云端可以消除上述缺点。

如果我们只需要考虑“未经授权访问的定义”，而不
需要考虑“设备”，那么很可能存在成本优势。

由于大量数据包将首先由 IIJ 骨干网接收，
因此似乎不会再出现无法在公司 DMZ 入口点接收数据包的问题。

那么，有哪些方法可以阻止对网站的未经授权访问呢？
以下是简要概述……

CDN 服务

CDN 会缓存内容，并在访问时返回缓存的内容。
通过限制对您服务器的访问，仅允许来自 CDN 的访问，您可以限制对您服务器的访问。

另一个优点是设置起来很简单，只需切换 DNS 即可。

数据包过滤器

一种用于拦截不需要的数据包的数据包过滤器。

通过在每个阶段阻止不适当的端口和 IP 地址，并且
只允许真正必要的访问，可以预期未经授权的访问会大幅减少。

SSL证书

它是 SSL，用于加密 HTTP 通信。

（称为蜜罐），
故意放置安全性能较弱的服务器
以分析发生的攻击类型，然后实施应对措施。

这似乎让人放心了！

Scutum 已在超过 1500 个站点上安装！究竟是什么“Scutum”改变了人们对 WAF 的传统认知？

在第二场会议中，SecureSky Technology公司就Scutum进行了演示。
以下是Scutum与传统WAF（Web应用程序防火墙）的不同之处。

• 低价
• 准入门槛低
• 操作由Secure Sky Technology公司执行。

使用 Web 应用防火墙 (WAF) 是一项非常棒的服务，因为它能阻止所有被判定为攻击的访问
。
虽然需要做很多工作，例如更新签名和执行其他维护，但
您可以放心，因为 SecureSky Technology 会负责所有操作。
由于它是基于云端的，所以他们会处理设备端的所有事务。

理想情况下，安全措施应该遵循“PDCA”循环，但这往往难以实现。
“谁负责？什么负责？”的问题总是会浮现。
显然，Scutum 也能解决这些问题。

谈到安全问题，
他们还提到内容管理系统（CMS）经常成为攻击目标。CMS
用户众多，而且很多都是开源的。许多攻击者
插件和主题等扩展程序，以及
利用
尤其是WordPress，用户众多，因此经常成为攻击目标。

请注意不要将配置备份文件放在显眼的地方！

如何使用开源工具 Nessus 免费诊断网站内容漏洞。

最后，我谈到了涅索斯。它正在倾斜……

在讨论安全问题时，“漏洞响应”是一个经常被提及的话题。
例如，HTTP代理系统和OpenSSL中的漏洞经常成为新闻头条。

参考：
允许 CGI Web 服务器将 Proxy 标头的值设置为环境变量 HTTP_PROXY
OpenSSL 中存在多个漏洞（CVE-2016-2107、CVE-2016-2108 等），

以这种方式发现漏洞固然很好，但
随之而来的问题是：服务器配置本身一开始就没问题吗？这就需要用到“漏洞检测扫描”之类的工具，比如我之前介绍过的Nessus，来找出答案。

通过进行模拟攻击，它可以发现“服务器中的漏洞”。

Nessus 对商业用途需要收取许可费，但对个人用途免费。

Nessus 通常安装在服务器上，但如果您从 AWS Marketplace 购买，只需启动即可使用。
（AWS Marketplace 上的 Nessus Enterprise for AWS (Manager)）

Nessus 非常方便，只需输入 IP 地址即可扫描漏洞。
它提供多种扫描类型，但选项过多也可能成为问题，让人难以选择合适的扫描方式。

理想情况下，我们应该部署一套完善的安全系统，但现实情况是，我们往往缺乏足够的资源来实现这一点。
在 Beyond，我们使用 PCI DSS 安全标准进行扫描。

什么是PCI DSS？ | 日本卡信息安全委员会

信用卡公司制定的安全标准非常严格，在美国，许多与信用卡无关的公司也
采用这些标准，Beyond 也采用了这些标准。

然而，对于不经常使用服务器的用户来说，Nessus 扫描可能会显示“更改 SSL 加密强度”的消息，这可能难以解决。
遇到这种情况，就交给 Beyond!!! 吧。

概括

攻击方式有很多种，所以我认为了解多种自卫方法很重要。

这可能是 CDN 或 WAF，但如果您仍然不确定其状态，
最好使用 Nessus 等漏洞检测扫描工具来检查其状态。

我余生都将不得不面对这个问题，所以我希望尽可能多地收集相关信息！

再次感谢IIJ和Secure Sky Technology！