生死之戰(zhàn)：我不是黑客，我的對手卻比黑客還厲害

我，是一個在甲方企業(yè)做了十多年安全工作的老炮。早年看著那些神秘、技術(shù)高超、無所不能的黑客，他們隨心所欲地在互聯(lián)網(wǎng)上進行迫害，激發(fā)了我內(nèi)心正義的信念，于是就加入了安全守護者隊伍。從剛畢業(yè)時的青澀菜鳥，到現(xiàn)如今成為人們口中的安全老司機，雖然我對各方面的安全技術(shù)都有所了解，但是與“黑客”還不在一個層級世界。因為敵強我弱，所以每天都過得如履薄冰，不敢懈怠。

因為，我知道作為安全的守護者，需要100%確保不出錯，而攻擊者只要抓住任何一次機會都能置我于死地。因此需要我時刻緊繃神經(jīng)，準(zhǔn)備處理各種突發(fā)事件。

懷著敬畏之心上戰(zhàn)場

很多時候，安全人員所建立起來的“城墻防御”，在黑客眼中就猶如積木堆的城堡，伸出小手輕輕一碰頃刻間就崩塌了。作為一個安全老兵，我深刻明白用有限的資源去對抗無限攻擊，天然的處于劣勢。安全人員都害怕自己苦心經(jīng)營的防線會被黑客以摧枯拉朽之勢毀滅。

其實這種害怕來源于攻防不對等，來源于對未知事情恐懼。防守者永遠不知道下次攻擊會在何時發(fā)起，又會從何處入手。這種感覺就像你不知道黎明什么時候會到來，漫漫黑夜會給你帶去無盡的恐懼，甚至是吞噬你的靈魂。

很多時候，受限于人才、技術(shù)、資金等各種方面因素，安全從業(yè)者常常感到力不從心。例如，當(dāng)你想用堡壘機解決Linux服務(wù)器弱密碼時，卻被黑客輕松繞過;當(dāng)你要求所有應(yīng)用關(guān)鍵步驟加token，同事卻問你token是什么;當(dāng)你解決了CSRF 反射XSS的時候，卻被通報“任意密碼重置”…….還有各種層出不窮的漏洞風(fēng)險，更是讓你防不勝防。在這樣的處境之下，即便我們天生要強，但是內(nèi)心也害怕。

可能有血氣方剛的人會認(rèn)為我這是長他人志氣，作為正義代表怎能承認(rèn)自己害怕作為反面角色的黑客呢?但是我并不這么認(rèn)為，恐懼和害怕讓自己常懷敬畏之心，繼而方得始終。

從事安全工作十多年，處理過大大小小的安全事件不計其數(shù)。但要說印象最深刻一次行動，當(dāng)屬今年6月的X行動。我相信每個安全從業(yè)者都對它有著刻骨銘心的記憶。那短短十幾天時間，仿佛自己過了好幾個月。這期間感覺就像住在茅草屋中，外面野獸成群，自己卻手無寸鐵。當(dāng)聽到狼嚎的時候，明知道兇狠的獠牙離你不遠了，卻不知道該怎么辦。更可怕是，不知道它什么時候會沖進來，撕碎所有一切。

面對十幾支攻方團隊，要說不害怕是不可能的。但既然選擇了這條道路，只能選擇堅持，加強自身安全防護能力。因此，從前期隊伍建設(shè)、攻防演練、復(fù)盤總結(jié)到行動期間對抗、全天候監(jiān)控等，我不敢有絲毫懈怠。

在行動前，我們召開了項目啟動會，明確本次行動保護目標(biāo)系統(tǒng)、團隊整體工作流程、組織架構(gòu)等信息。也許是因為謹(jǐn)慎和敬畏之心拯救了自己，在本次行動中我們公司也取得了不錯的成績。

凡事預(yù)則立，不預(yù)則廢

在行動前期我們舉辦了一場為期一周且貼近實戰(zhàn)的攻防演練，邀請了安全圈實力最強的公司扮演攻方角色，而守方陣營也幾乎囊括市場上所有主流安全廠商。

雖說是演練，但也投入了十足的準(zhǔn)備。在演練前期，我們進行了詳細(xì)的資產(chǎn)梳理工作。同時對于資產(chǎn)存在的一些通用性風(fēng)險，比如弱口令、漏洞、補丁等風(fēng)險項進行逐一排查，其中光補丁修復(fù)就高達幾十萬個。

有人可能會認(rèn)為我們?nèi)粘Ｑa丁修復(fù)工作做的太差了。針對打補丁，作為甲方安全人員，也有我們自己的痛。比如國內(nèi)某安全廠商“漏掃”產(chǎn)品被稱為中國最好的漏掃工具。但是，我們卻不敢用，因為誤報率高得讓你懷疑人生。舉個簡單例子，通過傳統(tǒng)的漏掃產(chǎn)品檢測OpenSSL，只能檢測到大版本號，卻不能檢測得到小版本號。通常情況下，報出50個OpenSSL補丁，可能只有一個是真實存在的，其它都屬于誤報。高誤報會消耗我們大量的精力而導(dǎo)致忽略了那些真正的威脅。因此，我們基本上每季度才會用該產(chǎn)品掃描一次。除了誤報率高，傳統(tǒng)的漏掃產(chǎn)品檢測效率也非常低下，而且每次檢測都需要重新登錄，面對大量主機設(shè)備這并非易事。高誤報、低效率導(dǎo)致一般甲方用戶都不愛用這類漏掃產(chǎn)品，因此后期漏洞的修復(fù)進度也就基本上無法跟進。后期，我們選擇了青藤的主機漏洞掃描功能。通過在服務(wù)器內(nèi)裝Agent，不僅掃描速度快，而且誤報率低，也比較精準(zhǔn)發(fā)現(xiàn)了臟牛、Struts2等漏洞。

原以為有序完成主機資產(chǎn)梳理、補丁修復(fù)、漏洞掃描等工作后，足以應(yīng)對一般攻防演練。讓我沒想到，千里之堤，潰于蟻穴。演練期間居然因為一個弱口令，就讓前期苦心經(jīng)營的所有防線瞬間垮臺。直到后來，在攻防演練結(jié)束后的復(fù)盤總結(jié)會上，針對這次攻擊，攻方人員詳細(xì)講解所用的攻擊手段和攻陷目標(biāo)，才明白攻擊方是如何通過一個弱密碼打穿整條防線。

原來，在演練期間攻方團隊發(fā)現(xiàn)公司VPN存在名為test測試賬號，并且是弱密碼。更可怕是，其中有一個測試賬號能直接連接到生產(chǎn)網(wǎng)。攻擊方正是通過VPN弱口令，進入總部業(yè)務(wù)生產(chǎn)區(qū)拿到了公司核心郵件服務(wù)器的權(quán)限，也獲得了部分服務(wù)器管理員的賬號密碼。

在這件事之后，一向淡定的上級領(lǐng)導(dǎo)終于也坐不住了，下命令要求各處室所有服務(wù)器運維人員，針對青藤上報的所有風(fēng)險進行無條件修復(fù)，包括安全補丁、漏洞檢測、賬號風(fēng)險、系統(tǒng)風(fēng)險、應(yīng)用分析、弱口令等等。

練兵三月，用兵一時

眾所周知，所有演習(xí)基本都有預(yù)定方案，結(jié)果也比較容易掌控。但是進入真刀真槍實戰(zhàn)之后，結(jié)果往往就很難預(yù)測了。為了應(yīng)對更多不可控因素，行動開始后，我們安排了更強大的守方團隊。

公司建立了立體防御戰(zhàn)線。一線人員基本是公司自己人，二線則是各大廠商技術(shù)支持人員。與此同時，一線人員采取24小時無間斷值班制度。所有安全設(shè)備都有專門值守人員進行實時監(jiān)控。不論一線還是二線人員，一旦發(fā)現(xiàn)異常情況，第一時間相互同步信息，并上報服務(wù)器管理員進行確認(rèn)。整個響應(yīng)流程前期也經(jīng)過多次訓(xùn)練，不同人員相互配合也非常默契。

從行動開始，補丁修復(fù)變得異常重要，慶幸前期已經(jīng)完成了大部分補丁修復(fù)。即便如此，按上級指示，每天盡可能修復(fù)補丁并同步修復(fù)進度，同時，放開所有服務(wù)器權(quán)限申請，可以在任何時間進行修復(fù)。所有一線人員每天在早上9點，進行復(fù)盤總結(jié)補丁的修復(fù)情況。

但是即便準(zhǔn)備如此充分，在行動第一天就被打臉了。公司某業(yè)務(wù)系統(tǒng)被上傳了多個WebShell。慶幸的是，該后門被上傳后，第一時間就被我們盟友青藤云安全發(fā)現(xiàn)，并上報安全人員及時刪除。后期經(jīng)過分析，發(fā)現(xiàn)該服務(wù)器上居然有上百個WebShell，其中很大一部分是歷史遺留下來的。

整個行動期間24小時繃緊神經(jīng)，到最后一周的時候，大家的腦力和體力都已經(jīng)達到了極限。但是這個時候，也是攻方最好下手的時候。甚至，攻方不停傳出消息，XX單位已經(jīng)被攻陷。那個時候的我?guī)缀跆幱诒罎⑦吘墸ε伦约呵肮ΡM棄，明天醒來就已經(jīng)“陣亡”。也許是上天總是眷顧努力和勤奮的人，最后幾天我們沒有成為攻方照顧對象。

生死之戰(zhàn)已結(jié)束，未來對抗才開始

今年行動計劃雖已結(jié)束，但未來對抗卻才剛開始。我們不能祈禱黑客手下留情，唯一能做就是增強自身實力。而通過真刀真槍的對抗，遠比紙上談兵來得有效，比如通過紅隊評估、滲透測試等來增強自身安全能力。

紅隊評估模擬了一個惡意攻擊者，在攻擊過程中會盡可能避開檢測工具。紅隊將會以任何可能的方式，悄無聲息地進入組織機構(gòu)并獲取敏感信息。紅隊的評估通常也比滲透測試的持續(xù)時間長。滲透測試通常在1-2周內(nèi)進行，而紅隊的評估可能在3-4周或更長時間內(nèi)進行，并且由多人團隊組成。

在紅隊評估中使用的方法包括社會工程(物理和電子)、無線、外部入侵等各種方法。當(dāng)然，紅隊評估比較適合那些具有完整、成熟安全團隊的企業(yè)，這些企業(yè)組織經(jīng)常進行滲透測試，修補了大多數(shù)漏洞。通過紅隊評估，能較好檢測企業(yè)機構(gòu)的檢測和響應(yīng)能力，可以進一步提升企業(yè)應(yīng)對黑客攻擊的能力。

最后青藤云安全想說：安全永無止境，只能謹(jǐn)慎前行!

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。