Webshell安全检测篇(2)-深入用户的内心

一、WEBSHELL是什么?意味着什么?

不同人的视角里,Webshell是什么?

  • 程序员:一个可以执行的web脚本文件。意味着:就是个脚本。
  • 黑客:一个可以拿来控制网站的东西。意味:网站已经搞定,尽量隐藏自己的身份别被发现,同时可以进行后续的破坏行为。
  • 用户(站长): 发现了Webshell,麻烦来了,认真的管理员都会想到很多很多的问题。网站有漏洞,已经被别人攻击了。我该怎么办?

二、Webshell检测工具和产品(系统)的区别在哪?

网上有各种各样的开源和免费工具,暂且不说他们的识别率。这些东西为什么仅仅是一个工具?

2-1

笔者认为,工具为什么叫工具,主要以下特点:

  • 只能解决非常有针对性的问题;
  • 使用工具需要预备很多的技术积累和安全知识;(非专业人士用不起来)
  • 只会呈现专业结果,解决问题依然需要很多的能力和知识积累。(非专业人士用不起来)
  • 工具没有充分考虑用户的需求场景和用户体验。

三、用户的真正需求是什么?

理解用户需求确实很深入的一门艺术,用户需求分析其实非常体现一个产品经理或决策人的视野和能力。这个需求是刚需?还是非刚需?是显性需求还是隐性需求?是用户的需求还是用户的需求?需求的紧迫度如何?需求频度呢?(现在都讲用户粘性,低频度的需求很难热卖)是点上的需求还是面上的需求?解决的是用户的痛点和痒点?不要把痛点和痒点混为一谈,痛点是雪中送炭,痒点是锦上添花。(有点跑题,掰扯多了,充分了解需求,从人性角度出发的产品才能更为市场接受)。

就Webshell而言,用户说要检测Webshell,为什么要检测Webshell?用户说要分析日志,为什么要分析日志?目标群体是站长(管理员)的话,他们关心什么。他们心里其实是一连串的问号。

  • 我们的网站是不是被人搞了?
  • 这个黑客是哪里来的?怎么入侵进来的?为什么要攻击我?进来都干了什么?(黑客是谁?从那里来?想干什么?)
  • 网站到底有什么漏洞?如何修复漏洞,不让黑客进来?
  • 黑客进来了,可能干了很多坏事,偷走了数据,可能监听窃听了内网很多敏感信息。
  • 网站到底有什么漏洞?如何修复漏洞,不让黑客进来?
  • 还有没有其他漏洞存在,别被黑客再攻击进来?
  • 有没有其他同区域的系统遭受攻击
  • 为避免后遗症,是否需要修改系统口令,设置权限等相关的安全提升措施。
  • ……

简单说我受破坏的程度,如何避免不再出现类似情况,同时关心黑客的来源身份手段等信息(黑客画像)

所以Webshell检测系统我们要做的到底是什么?是覆盖WEB类安全事件事后处置的一个平台(或服务)。

主要的功能:

  • 监测网站是不是被人入侵了。
  • 根据流量找出攻击者的IP地址。
  • 结合外部威胁情报对攻击者进行画像,给用户全面的信息。
  • 基于流量可以还原攻击场景。
  • 根据攻击场景分析网站存在什么漏洞。
  • 根据漏洞给用户提供修补加固方案。

四、用户想要的是什么效果?

  • 告警准确(该报的报 不该报的不报)。
  • 告警直观、形象。(可视化好)
  • 部署成本小:最好0成本部署,或者便利的接入
  • 告警获取方便(比如微信、短信通知)。(用户才没时间天天去看产品的界面,以后监控类的产品告警信息是不是几乎都不要界面了,或者扔几个牛逼的可视化图让领导看,当然统计类的报表还是需要的)
  • 告警处理方便:一键式的处理导向,看到告警,我按照自动化的一键式场景,可以方便的自动或人工去处理webshell事件。(傻瓜化处理)

再往俗的说五点:管用、好看、省事、便利、好使。

2-2

下片导言:

当下的安全攻防一个特点就是,未知攻击会越来越多,你所面临的攻击工具可能是从来没有使用过(或者身边的监控视野范围没有看到过),你手上的webshell样本再多,攻击者总是能制作出新的更轻量级功能更全的webshell,如何发现未知的webshell?如何做到天网恢恢疏而不漏?

相关文章《Webshell安全检测篇(3)-基于行为分析来发现“未知的Webshell”

[via@守望者实验室]