服務器安全監(jiān)控有什么作用��?當服務(HTTP、SMTP 等)出現故障時�����,我們會收到警報�。如果我們的服務器容易受到新軟件錯誤的攻擊���,或者如果有人試圖暴力破解我們的密碼怎么辦�?這就是服務器安全監(jiān)控很重要的原因�。
通過監(jiān)視服務器的安全事件��,我們將能夠防止安全問題�����,而不僅僅是在發(fā)生不良事件時做出反應����。即使發(fā)生了不好的事情��,我們也可以控制它的發(fā)展方式����,而不是在一切都亂七八糟的時候旁觀�����。下面,小編就詳細給大家分析下服務器安全監(jiān)控有什么作用?
1����、待定的安全更新
應用程序和操作系統(tǒng)供應商幾乎每周都會發(fā)布安全更新��。一旦供應商發(fā)布了這些補丁,漏洞的詳細信息就可供公眾(包括黑客)訪問。
因此����,重要的是盡快應用安全補丁�����。或者攻擊者很可能會利用現在公開的漏洞闖入您的服務器。這就是我們監(jiān)控所有客戶服務器以獲取新安全版本并在24小時內應用它們的原因。這包括:
操作系統(tǒng)更新;
服務包更新�����;
網絡應用程序更新�����;
以及我們的客戶使用的任何其他特殊軟件�����。
2、新的未修補漏洞
大多數新漏洞是由道德安全研究人員發(fā)現的,他們等待應用程序開發(fā)人員在漏洞公開之前發(fā)布補丁。
但是���,在某些情況下,漏洞會在官方補丁可用之前公開。這些漏洞稱為零日漏洞�,幾乎無法防御�。
這就是為什么新漏洞監(jiān)控是我們服務器管理服務的重要組成部分�。如果我們發(fā)現新的威脅,我們會通過3種方式保護我們的客戶:
使用官方或非官方補丁。
使用服務器或Web應用程序防火墻阻止常見的漏洞利用方法�����。
在官方補丁出現之前禁用易受攻擊的功能——也就是說��,用一個小的功能缺失來保護整個服務器。這樣��,服務器將始終免受攻擊�。
3、針對服務器的攻擊
攻擊者使用自動化工具運行各種漏洞利用程序來嘗試闖入服務器�。重要的是要檢測這些攻擊并在它們中的一個幸運之前阻止它們��。
在我們的服務器管理服務中,我們以兩種方式對抗自動攻擊:
預防性服務器強化——許多攻擊使用標準端口或常見模式來卸載其攻擊負載��。我們以挫敗這些常見攻擊的方式配置我們的客戶服務器�����。
主動攻擊監(jiān)控和防御——一些漏洞利用可以繞過防火墻�����。在這種情況下����,我們會收到服務器中“異?�!被顒拥木瘓?����,并會立即阻止攻擊者的 IP。然后我們使用攻擊簽名進一步強化防火墻。
4�����、服務器入侵或網站感染
服務器托管提供商應該對客戶服務器有最后一道監(jiān)控是入侵檢測�����。這包括:
文件系統(tǒng)監(jiān)控——當在服務器中創(chuàng)建新文件(上傳或編輯)時,惡意軟件掃描程序會檢查病毒內容����,并提醒我們�����。
網絡監(jiān)控——如果一個IP或一組IP表現異常(例如,許多打開的連接�、暴力破解等)��,我們將登錄到服務器并阻止攻擊者的IP。
身份驗證監(jiān)控——我們尋找管理員帳戶的成功登錄���。如果我們看到一個陌生的IP登錄到服務器,我們會立即進入服務器�����,踢出入侵者并警告服務器所有者(因為這通常表明有人竊取了密碼)�����。
關鍵文件更改監(jiān)控——攻擊者經常用受感染的文件替換系統(tǒng)文件�����。因此,我們監(jiān)控關鍵系統(tǒng)文件��,如果它在我們不知情的情況下發(fā)生變化�,我們將登錄服務器并進行調查。
進程監(jiān)控——攻擊者經常將他們的惡意進程偽裝成系統(tǒng)服務����。因此,如果我們注意到某個進程引用異常文件或綁定到非標準端口,我們就會采取措施。
受保護的目錄監(jiān)控——合法程序真的沒有理由進入管理員文件夾����。我們在系統(tǒng)中設置了絆線(很像防盜警報器)�,如果我們看到不尋常的文件夾訪問��,我們就知道有什么事情正在發(fā)生�����。
Rootkit和病毒監(jiān)控——攻擊者可能會在不同的系統(tǒng)位置留下系統(tǒng)后門。這就是我們定期掃描整個服務器以查找內核Rootkit和隱藏病毒的原因。
在這種監(jiān)測中快速反應很重要�����。在許多情況下�����,我們已經能夠通過阻止正在進行的攻擊來防止服務器被成功破壞��。
總結:服務器所有者經常忽視安全監(jiān)控的重要性。希望我們都能及時對服務器更新、補丁和事件響應可以防止服務器或網站被破壞����。
