当前位置:首页 >  科技 >  IT业界 >  正文

生死之战:我不是黑客,我的对手却比黑客还厉害

 2019-11-14 14:04  来源: 互联网   我来投稿 撤稿纠错

  【推荐】海外独服/站群服务器/高防

我,是一个在甲方企业做了十多年安全工作的老炮。早年看着那些神秘、技术高超、无所不能的黑客,他们随心所欲地在互联网上进行迫害,激发了我内心正义的信念,于是就加入了安全守护者队伍。从刚毕业时的青涩菜鸟,到现如今成为人们口中的安全老司机,虽然我对各方面的安全技术都有所了解,但是与“黑客”还不在一个层级世界。因为敌强我弱,所以每天都过得如履薄冰,不敢懈怠。

因为,我知道作为安全的守护者,需要100%确保不出错,而攻击者只要抓住任何一次机会都能置我于死地。因此需要我时刻紧绷神经,准备处理各种突发事件。

怀着敬畏之心上战场

很多时候,安全人员所建立起来的“城墙防御”,在黑客眼中就犹如积木堆的城堡,伸出小手轻轻一碰顷刻间就崩塌了。作为一个安全老兵,我深刻明白用有限的资源去对抗无限攻击,天然的处于劣势。安全人员都害怕自己苦心经营的防线会被黑客以摧枯拉朽之势毁灭。

其实这种害怕来源于攻防不对等,来源于对未知事情恐惧。防守者永远不知道下次攻击会在何时发起,又会从何处入手。这种感觉就像你不知道黎明什么时候会到来,漫漫黑夜会给你带去无尽的恐惧,甚至是吞噬你的灵魂。

很多时候,受限于人才、技术、资金等各种方面因素,安全从业者常常感到力不从心。例如,当你想用堡垒机解决Linux服务器弱密码时,却被黑客轻松绕过;当你要求所有应用关键步骤加token,同事却问你token是什么;当你解决了CSRF 反射XSS的时候,却被通报“任意密码重置”…….还有各种层出不穷的漏洞风险,更是让你防不胜防。在这样的处境之下,即便我们天生要强,但是内心也害怕。

可能有血气方刚的人会认为我这是长他人志气,作为正义代表怎能承认自己害怕作为反面角色的黑客呢?但是我并不这么认为,恐惧和害怕让自己常怀敬畏之心,继而方得始终。

从事安全工作十多年,处理过大大小小的安全事件不计其数。但要说印象最深刻一次行动,当属今年6月的X行动。我相信每个安全从业者都对它有着刻骨铭心的记忆。那短短十几天时间,仿佛自己过了好几个月。这期间感觉就像住在茅草屋中,外面野兽成群,自己却手无寸铁。当听到狼嚎的时候,明知道凶狠的獠牙离你不远了,却不知道该怎么办。更可怕是,不知道它什么时候会冲进来,撕碎所有一切。

面对十几支攻方团队,要说不害怕是不可能的。但既然选择了这条道路,只能选择坚持,加强自身安全防护能力。因此,从前期队伍建设、攻防演练、复盘总结到行动期间对抗、全天候监控等,我不敢有丝毫懈怠。

在行动前,我们召开了项目启动会,明确本次行动保护目标系统、团队整体工作流程、组织架构等信息。也许是因为谨慎和敬畏之心拯救了自己,在本次行动中我们公司也取得了不错的成绩。

凡事预则立,不预则废

在行动前期我们举办了一场为期一周且贴近实战的攻防演练,邀请了安全圈实力最强的公司扮演攻方角色,而守方阵营也几乎囊括市场上所有主流安全厂商。

虽说是演练,但也投入了十足的准备。在演练前期,我们进行了详细的资产梳理工作。同时对于资产存在的一些通用性风险,比如弱口令、漏洞、补丁等风险项进行逐一排查,其中光补丁修复就高达几十万个。

有人可能会认为我们日常补丁修复工作做的太差了。针对打补丁,作为甲方安全人员,也有我们自己的痛。比如国内某安全厂商“漏扫”产品被称为中国最好的漏扫工具。但是,我们却不敢用,因为误报率高得让你怀疑人生。举个简单例子,通过传统的漏扫产品检测OpenSSL,只能检测到大版本号,却不能检测得到小版本号。通常情况下,报出50个OpenSSL补丁,可能只有一个是真实存在的,其它都属于误报。高误报会消耗我们大量的精力而导致忽略了那些真正的威胁。因此,我们基本上每季度才会用该产品扫描一次。除了误报率高,传统的漏扫产品检测效率也非常低下,而且每次检测都需要重新登录,面对大量主机设备这并非易事。高误报、低效率导致一般甲方用户都不爱用这类漏扫产品,因此后期漏洞的修复进度也就基本上无法跟进。后期,我们选择了青藤的主机漏洞扫描功能。通过在服务器内装Agent,不仅扫描速度快,而且误报率低,也比较精准发现了脏牛、Struts2等漏洞。

原以为有序完成主机资产梳理、补丁修复、漏洞扫描等工作后,足以应对一般攻防演练。让我没想到,千里之堤,溃于蚁穴。演练期间居然因为一个弱口令,就让前期苦心经营的所有防线瞬间垮台。直到后来,在攻防演练结束后的复盘总结会上,针对这次攻击,攻方人员详细讲解所用的攻击手段和攻陷目标,才明白攻击方是如何通过一个弱密码打穿整条防线。

原来,在演练期间攻方团队发现公司VPN存在名为test测试账号,并且是弱密码。更可怕是,其中有一个测试账号能直接连接到生产网。攻击方正是通过VPN弱口令,进入总部业务生产区拿到了公司核心邮件服务器的权限,也获得了部分服务器管理员的账号密码。

在这件事之后,一向淡定的上级领导终于也坐不住了,下命令要求各处室所有服务器运维人员,针对青藤上报的所有风险进行无条件修复,包括安全补丁、漏洞检测、账号风险、系统风险、应用分析、弱口令等等。

练兵三月,用兵一时

众所周知,所有演习基本都有预定方案,结果也比较容易掌控。但是进入真刀真枪实战之后,结果往往就很难预测了。为了应对更多不可控因素,行动开始后,我们安排了更强大的守方团队。

公司建立了立体防御战线。一线人员基本是公司自己人,二线则是各大厂商技术支持人员。与此同时,一线人员采取24小时无间断值班制度。所有安全设备都有专门值守人员进行实时监控。不论一线还是二线人员,一旦发现异常情况,第一时间相互同步信息,并上报服务器管理员进行确认。整个响应流程前期也经过多次训练,不同人员相互配合也非常默契。

从行动开始,补丁修复变得异常重要,庆幸前期已经完成了大部分补丁修复。即便如此,按上级指示,每天尽可能修复补丁并同步修复进度,同时,放开所有服务器权限申请,可以在任何时间进行修复。所有一线人员每天在早上9点,进行复盘总结补丁的修复情况。

但是即便准备如此充分,在行动第一天就被打脸了。公司某业务系统被上传了多个WebShell。庆幸的是,该后门被上传后,第一时间就被我们盟友青藤云安全发现,并上报安全人员及时删除。后期经过分析,发现该服务器上居然有上百个WebShell,其中很大一部分是历史遗留下来的。

整个行动期间24小时绷紧神经,到最后一周的时候,大家的脑力和体力都已经达到了极限。但是这个时候,也是攻方最好下手的时候。甚至,攻方不停传出消息,XX单位已经被攻陷。那个时候的我几乎处于崩溃边缘,害怕自己前功尽弃,明天醒来就已经“阵亡”。也许是上天总是眷顾努力和勤奋的人,最后几天我们没有成为攻方照顾对象。

生死之战已结束,未来对抗才开始

今年行动计划虽已结束,但未来对抗却才刚开始。我们不能祈祷黑客手下留情,唯一能做就是增强自身实力。而通过真刀真枪的对抗,远比纸上谈兵来得有效,比如通过红队评估、渗透测试等来增强自身安全能力。

红队评估模拟了一个恶意攻击者,在攻击过程中会尽可能避开检测工具。红队将会以任何可能的方式,悄无声息地进入组织机构并获取敏感信息。红队的评估通常也比渗透测试的持续时间长。渗透测试通常在1-2周内进行,而红队的评估可能在3-4周或更长时间内进行,并且由多人团队组成。

在红队评估中使用的方法包括社会工程(物理和电子)、无线、外部入侵等各种方法。当然,红队评估比较适合那些具有完整、成熟安全团队的企业,这些企业组织经常进行渗透测试,修补了大多数漏洞。通过红队评估,能较好检测企业机构的检测和响应能力,可以进一步提升企业应对黑客攻击的能力。

最后青藤云安全想说:安全永无止境,只能谨慎前行!

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关标签
网络安全

相关文章

  • 深信服上网行为监控:《产教融合行动计划(广州宣言)》

    仪式见证共期未来论坛同期举行了两项重要仪式:产教融合行动计划(广州宣言)启动仪式及《产教融合专业合作建设试点单位管理办法》发布仪式。这两项仪式标志着广州市在产教融合的道路上迈出了重要的一步,为全国产教融合的发展起到了积极推动作用。《产教融合行动计划(广州宣言)》内容一是以新时代中国特色社会主义思想为

    标签:
    网络安全
  • 成都链安荣登《嘶吼2023网络安全产业图谱》区块链安全榜单

    成都链安上榜《嘶吼2023网络安全产业图谱》2023年7月10日,嘶吼安全产业研究院联合国家网络安全产业园区(通州园)正式发布《嘶吼2023网络安全产业图谱》。成都链安凭借自身技术实力以及在区块链安全行业广泛的品牌影响力,荣登《嘶吼2023网络安全产业图谱》区块链安全赛道榜单。这也是成都链安连续第二

    标签:
    网络安全
  • 2023 年 6 月头号恶意软件:Qbot 成为 2023 年上半年最猖獗恶意软件

    CheckPointResearch报告称,多用途木马Qbot是2023年上半年最猖獗的恶意软件。与此同时,移动木马SpinOk于6月份首次位居榜首,该恶意软件在MOVEit暴出零日漏洞后开始肆虐2023年7月,全球领先的网络安全解决方案提供商CheckPoint®软件技术有限公司(纳斯达克股票代码

    标签:
    网络安全
  • 华顺信安荣获“网络空间安全产学协同育人优秀案例”二等奖

    7月6日,“第三届网络空间安全产学协同育人优秀案例”评选活动正式公布获奖名单,华顺信安与湘潭大学计算机学院·网络空间安全学院联合申报的参选案例获评优秀案例二等奖。本次活动由教育部高等学校网络空间安全专业教学指导委员会产学合作育人工作组主办,四川大学与华中科技大学共同承办。本次评选,华顺信安与湘潭大学

    标签:
    网络安全
  • Check Point:攻击者通过合法email服务窃取用户凭证信息

    近日,CheckPoint®软件技术有限公司的研究人员对电子邮件安全展开调研,结果显示凭证收集仍是主要攻击向量,59%的报告攻击与之相关。它还在商业电子邮件入侵(BEC)攻击中发挥了重要作用,造成了15%的攻击。同时,在2023年一份针对我国电子邮件安全的第三方报告显示,与证书/凭据钓鱼相关的不法活

    标签:
    网络安全

热门排行

信息推荐