笔者是一名网络安全从业者,毕业至今已经在这个行当里混迹了5年之久,虽然还远远谈不上资深,但这几年来也见过了不少安全事件,自己作为技术支持,也处理了其中一些。就在我慢慢觉得这一行已经没有了当初的新鲜感的时候,公司派我去一家网络新闻媒体协助解决他们最近遇到的安全问题。未曾想到,这一次“难忘”的工作经历让我对网络安全又有了新的认识。
事情发生在一个夜晚,即将入眠的我突然接到了公司一线销售人员的求助电话,电话中说到这家网络新闻媒体的数据遭到了丢失、篡改,运维人员却无法找到此次攻击的根源所在。
“有点意思……”挂断电话的我,从床上慢慢坐了起来,思忖着。
“未知”的“未知”
既然被攻击的原因与所有已知的漏洞与威胁都不匹配,我经过分析之后,觉得客户应该是被一种新的攻击手段入侵了,用网络安全界的行话,这叫做“未知威胁”。未知威胁又分为两种,一种是能预测到可能会发生的,可以一定程度上进行防范的,称为“已知的未知威胁”,而另一种则是无法预测,因此让人觉得无从防范的,则称为“未知的未知威胁”。
客户作为一家网络新闻媒体,铁肩担道义,妙笔著文章,为社会传递了大量的正能量,有着极大的社会影响。但是,仍有不法分子为了牟取自身利益,利用“未知的未知威胁”对这家客户进行网络攻击,居心不可谓不叵测。愤慨之余,我深感责无旁贷,一定要帮助客户扫除威胁,还客户一片网络净土。
“摸着石头过河”
越来越多的未知攻击是如今安全攻防的一个最大的特点,客户所面临的攻击工具可能是之前从来没有使用过的,甚至是身边的监控视野从来没有看到过的。如何有效地应对未知威胁的确是一个令人头大的问题,传统入侵检测方法基于的是特征码或规则,要求软件必须提前“知道”入侵的“定义”,才可以识别对应的入侵。但是,面对全新品种的恶意软件,其特定入侵指标(IOC)自然就不为人知,传统入侵检测方法又如何能检测出未知攻击呢?
既然传统的方式行不通,我决定改变思路。虽然所谓“未知的未知攻击”在之前并没有出现过,但是既然攻击了客户的系统,就总会留下一些异常的痕迹,正如业内一位德高望重的前辈告诉我的那样,异常不一定是威胁,但一般来说威胁一定有异常。需要将“未知的未知威胁”转为“已知的未知威胁”来控制问题,如果能够从业务的运转中,抽取生成内在的监控指标,并对指标进行持续地观测和分析,那么无论遇到什么攻击,都会引起指标变化而被察觉。
与客户沟通了我的这些想法之后,我们在客户的服务器集群上部署了青藤万相·主机自适应安全平台,根据客户的业务运行状况设立数万个监测指标,对文件进程、主机访问、业务关系等建立多维度、多层次的纵深检测体系,可以无间断对入侵行为进行监控,实现实时的入侵检测和快速响应,一旦发现异常情况,就会进行毫秒级报警。
凭借着青藤万相·主机自适应安全平台强大的持续监控能力,终于找到了客户系统被攻击的根本原因,原来是攻击者制作了一个新的更轻量级、功能更全的Webshell。找到原因,剩下的工作就简单多了。于是,我们顺利地协助客户守护了他们的数据安全。
这次的工作经历给我的网络安全职业生涯上了重要的一课,要守护网络安全,不仅要在技术上强过攻击者,更要在意识上领先于攻击者,对“未知的未知”给予足够的重视,未雨绸缪,只有这样,才能做到固若金汤,不给黑客任何可乘之机。