安全研究

案例解读 | “WAF+保险”如何使企业网站更安全

 

企业Web网站面向社会公众提供网络信息服务,容易成为黑客及境外敌对组织的攻击目标,如果内网遭到渗透、重要服务器被控、大量数据泄露,将造成不可挽回的损失。

 

    杭州某电子商务有限公司,成立于2015年,主要通过互联网渠道销售家居、电器等日用品,2018年销售额达两亿元。作为一家电商企业,Web业务系统在其日常经营中扮演着极其重要的角色,同时也遭受着最新的Web攻击安全威胁。

 

案例分析

 

客户痛点:

1、业务系统为第三方外包公司研发,基于网上开源的CMS系统开发,代码存在安全隐患和漏洞;

2、所用开源的Web容器(Apache、nginx)没有及时的更新补丁导致存在严重安全漏洞;

3、Web业务系统交互界面对输入信息没有验证,很容易造成注入攻击,极端情况下会导致数据被拖库;

4、Web业务系统服务器存在被上传Webshell木马的风险;

5、Web业务系统经常遭受DDOS攻击,导致无法对外提供正常服务。

 

 

 

技术+保险解决方案应对web端安全问题

 

    在此情况下,建议使用技术手段与保险方案相结合,来应对技术端的安全问题,以及可能会因为安全原因带来的损失。

 

通过部署安恒WAF(Web应用防火墙)解决方案,解决技术问题

1、采购两台Web应用防火墙部署主备链路,解决单链路故障问题。

2、WAF对主要的Web业务系统进行安全防护,包括门户网站、邮箱系统、对外交易系统、OA系统等,通过内置的智能安全引擎对业务流量进行多维度、深层次的安全检测和防护,对SQL注入、XSS、Webshell、信息泄露、0day漏洞等常见的OWASP TOP10攻击行为进行防护。

3、采用深度机器学习及威胁情报技术,通过主动安全与被动安全相结合方式识别可疑、已知、未知安全威胁, 有效保障Web业务系统的安全可靠运行!

 

购买安恒网络安全保险,有效转嫁经济风险

    根据客户实际需求,结合应用场景,通过前端技术防护,后端保险兜底的形式,有针对性的定制开发保险保障内容,具体如下:

1、供应商责任

因该企业系统通过第三方外包公司研发,采用开源代码,会存在安全隐患和漏洞(通过供应商系统作为跳板,渗透进入甲方系统,盗取资料、未经授权访问等)。保险责任能够覆盖因供应商责任导致地甲方信息系统重要信息泄密而遭受地赔偿请求。

2、数据资产保障

因漏洞、Webshell木马等风险导致数字资产泄露的损失,保险赔偿:一是数字资产发生泄露、损坏、丢失,赔偿数字资产损失、事件应急、数字资产重置费用;二是第三方遭受直接经济损失,甲方承担的民事赔偿责任及法律费用通过保险可转嫁。

3、营业中断责任

针对DDOS等攻击手段,导致断网无法持续经营的情况,保险可以赔偿因营业中断而产生的毛利润损失及必要的费用(包括房租、工资等支出),帮助企业及时获得经济补偿,恢复生产。

4、员工疏忽责任

因员工非故意行为或疏忽遗漏(包括非故意造成防止隐私事件或安全事件失败),而造成被保险业务系统服务中断或数字资产发生损坏、泄露等事件,保险能够覆盖该责任。

 

    当前,我国建设网络强国的进程中,风险与机遇并存,网络安全保险作为产业生态链中不可或缺的一环,意义重要而深远。安恒信息审时度势,联合保险机构推出国内第一款网络信息安全综合保险,共同致力于为企事业单位提供信息安全保障。使用技术+保险相结合的形式,通过事前评估、事中技术防御,风险事件发生后保险提供经济补偿,为安恒客户提供完整的风险控制和转移的解决方案。