共计 2415 个字符,预计需要花费 7 分钟才能阅读完成。
编者按
数字化浪潮蓬勃衰亡,企业面临的平安挑战亦日益严厉。
腾讯平安近期将复盘 2022 年典型的攻打事件,帮忙企业深刻理解攻打手法和应答措施,欠缺本身平安进攻体系。
本篇是第六期,讲述了某企业 NAS 零碎数据被删除,始终找不到幕后的始作俑者;在腾讯平安应急响应专家团队抽丝剥茧之下,最终还原了数据隐没的假相,及时止损并阻止了危机的进一步蔓延。
9 月 8 日,一个平时的工作日,某企业 IT 部门员工们同平常一样,坐在电脑前解决工作。中午一点左右,正是午饭后小憩的时刻。 而此时,部门所应用的共享存储系统 NAS 存储上的数据,忽然开始被一只看不见的手逐条删除。
下午 3:00,零碎运维人员监测到某个零碎内文件读取不到,开始有所觉察。 而这时,被删除的文件已达到 1.8T 之多。
在发现的时刻,删除行为就在眼皮底下明火执仗地持续。 但他们只能眼睁睁看着零碎里的数据继续隐没,却不晓得如何停止,事急从权,平安工程师只能先断开 NAS 存储的网络连接进行紧急止损。
这种景象不是第一次产生。早在 4 月,该部门就遭逢过简直截然不同的删除行为,过后动用了大量人力工夫进行排查,最终满载而归,案件悬置至今。
“必须尽快找到问题源头,能力彻底杜绝这类事变反复产生。”
问题很辣手,他们决定引入“外援”。9 月 9 日上午,该企业向腾讯平安服务应急响应核心提出声援需要。腾讯平安服务应急响应核心判断事态重大,技术负责人 Phon 二话没说,带着团队一行四人奔赴高铁站,第一工夫赶到客户现场。
被清空的 151 服务器
下午两点多,四人赶到现场,一边理解了根本状况,一边开始着手摸排。 看到服务器的配置时,Phon 心里咯噔一响:没装置安全软件,也没有日志归类产品,这意味着排查的难度将会成倍增长。只能用最“笨”的方法,从数百十服务器中逐个排查。
在缓和的排查中,一台代号为 151 的服务器引起了腾讯平安服务团队的关注。在 151 里,除了监测到的服务器上被删除的数据外,151 自身 web 目录下的各类文件包含拜访日志都被一并删除——这有点“此地无银三百两”的意思了。
应急团队提出大胆猜想:网络黑客是利用 151 进行侵入,为了防止追根溯源,才将服务器的拜访日志删除。他们将日志进行了手动复原,接下来就是还原黑客是如何绕过层层紧密的防护进入 151 服务器的,因为可用的线索少得可怜,所有只能靠教训判断。依据过往的教训,Phon 和团队成员提出了几种对入侵路径的猜想,他们像侦探一样做起了沙盘推演,并针对每一种揣测的门路、可能留下什么痕迹来反向论证。
“找到了一些看起来有用的数据,惋惜认真筛查一看,没有什么理论无效的信息。”让人丧气的是,四种猜想最终都走到了死胡同。
此时,每天还有大量用户在拜访零碎、办理业务,无奈之下,平安团队对系统进行了“战时手术”:将 NAS 存储设为只读状态从新挂载,长期让局部业务失常运行,也管制住了删除行为的再蔓延。数据删除没有进一步倒退,日常业务也能勉强持续进行,这为平安团队解决问题也博得了一些工夫。
破局:不存在的黑客
谁可能做到如此精准地删除 NAS 上的数据,而又能不留下一丝痕迹?碰壁屡次的团队,士气有些低迷。
“今天是中秋节,大家打起精神,争取今晚解决战斗,明晚赶回家吃个离散餐。”Phon 给团队打气。
凌晨一点,客户偌大的办公楼只有他们所在的这片区域灯火通明,四位成员逐个复盘以往解决过的相似应急案例,心愿可能找到一点突破口。他们历史上解决过很多辣手的案例,有一条准则是深信不疑的:凡走过必留下痕迹。对于这样一支经验丰富的专家团队而言,他们有足够的自信,问题最终都会解决,无外乎是破费的工夫多少。
Phon 带着团队将资料始终翻回到去年,在某个堡垒机相干的案例上,成员们仿佛嗅到了相熟的气味。“咱们始终默认这些数据是被黑客无意识地删除,但如果基本就没有黑客呢?”
毅然决然,成员们一道前去验证猜测。几台机器同时开启,搭建复现环境、进行复现操作……大家迅速投入工作中去。9 月 10 日凌晨五点,复现工作进展到开端。 最终,猜测得以验证,问题呈现在堡垒机上,没有黑客攻击,是一系列简单条件聚合在一起触发自我清理机制。
复现后果进去后大家一阵欢呼,所有人的脸上都弥漫出如释重负的喜悦神气。客户部门领导员工们互相击掌,向 Phon 团队成员鸣谢,一个困扰了他们半年之久的问题就这样解决了。
他们乘坐最早一班的高铁回到了深圳,因为当天没有紧急事项,4 集体都调休了一天。Phon 安顿好了当天的工作,大睡了一觉,直到晚餐工夫家人把他叫醒。
电视里正在播放中秋晚会——大概率,腾讯平安的另一些共事也正在为这台晚会直播做平安重保。
新的帮手
对于 Phon 团队来说,这是他们又一次“救火”,这样的应急响应他们曾经解决了无数次。 一次又一次应急响应下来,他们发现,很多安全事故的产生并不是因为高精尖的黑客攻防反抗,而是出于一些常见的配置谬误、弱口令等等问题,而这样的谬误须要破费很大的代价去发现和修改。
有没有更好的方法能够缩小这类事变的产生,以及如何将专家教训做无效的传承,让一些不足业余平安人才的企业通过一些培训或者在富有经验的专家近程领导下,也能解决紧急情况?
Phon 所在的云鼎实验室日常负责腾讯云及云租户做平安保障,须要解决大批量安全漏洞、攻击行为,在这个过程中,他们积淀了一套规模化利用的标准化、自动化能力。 这两年,云鼎和腾讯专家服务团队一起,尝试将专家工作办法和自动化的能力联合,积淀成平安托管服务(MSS)。 通过腾讯平安托管服务,企业日常平安工作复杂度极大升高,服务流程可查看、服务人员可治理、服务过程可跟踪,解决了传统平安建设中“过程不可见”和“后果不可控”的问题。在安全事件根因溯源排查中,MSS 极大地升高了检索难度。
以后,腾讯平安托管服务 MSS 已胜利利用到政府机构、泛互联网、医疗行业、批发行业、金融行业及轨道交通等多个行业,为它们提供平安保障。
而 Phon,他们在节假日仍然要响应客户的征召,不过有了 MSS,他们通宵达旦的情景曾经越来越少了。