编者按
数字化浪潮蓬勃衰亡,企业面临的平安挑战亦日益严厉。
腾讯平安近期将复盘 2022 年典型的攻打事件,帮忙企业深刻理解攻打手法和应答措施,欠缺本身平安进攻体系。
本篇是第三期,用一个理论案例讲述了企业在面临攻打时,如何能力及时精确找到攻打源头,通晓“我被谁用什么破绽攻打了”,及时封堵破绽,防止重大安全事故的产生。
“当你帮客户排掉这个‘雷’之后,23451 他们发了感激函或者邮件致谢吗?”小编。
“没有,然而他们发来了一个洽购订单。”周工。
这是一个产生在往年 4 月初的平安应急响应故事。
异样告警
某天中午,某企业的平安值班员工进行着例行查看,发现平安经营核心 SOC 收回了告警,陆续有主机出现异常告警行为。凭教训判断,这应该是一个有目标的入侵行为,值班人员立刻告诉相干人员上机进行排查,并立刻上报平安负责人刘总工。
工夫一分一秒过来,入侵源迟迟没有封堵住,攻击者曾经在进行内网横移尝试。平安负责人刘总工意识到了问题的严重性,如果不能及时溯源找到攻打入口并及时收敛破绽,最终的后果无外乎三种:被“脱裤”,被加密勒索,或者更可怕——埋伏起来什么也不做,期待重要的业务节点再收回致命一击。
刘总工立刻组织了平安经营团队进行紧急排查,但仍没有找到攻打源头,攻打还在持续,并且影响范畴是未知的“黑盒”,眼前一抹黑的状况更加剧了事态严重性。4 小时后,主机平安服务的厂商(客户应用的某老牌主机平安产品)负责应急响应的 2 位工程师也到了现场,他们和驻场的专家一起,退出了排查的队伍。在一个空阔的被辟为“长期作战室”的会议室里,2 位工程师关上电脑登陆了主机平安经营后盾,依据攻击者留下的蛛丝马迹,顺藤摸瓜排查可疑的机器。他们在写脚本,十几个客户 IT 和业务部门的人时不时地踱到他们身后看看。
内网机器被攻陷之后,找出攻打门路通常须要一两天工夫,没有什么别的捷径,就是一台机器一台机器地人工排查。但这一次,经验了整整 5 天,依然没有找到攻打源,而攻击者曾经拿到多台服务器权限,正在横向渗透到外围资产,眼看就要酿成重大事故。彼时,连续作战了 5 天的平安团队心态曾经趋于解体,“作战室”里,十几只烟头被摁灭在一次性纸杯里,随处都是被捏扁的红牛和可乐空罐,无声诉说着无能为力。
“所有机器一台台上去看,从哪台打过去的,而后顺着这个 IP 走到另外一台机器,而后持续看、持续剖析,看他从哪进来的,留下什么日志、做了些什么行为。然而有时候那些机器下面并没有那么欠缺的日志、记录,只能凭多数一些异样登录或者行为来定位它是怎么进来的,整个过程就会很简单。”一位经验丰富的平安专家剖析道。
(常见 APT 入侵门路,因为入侵者会删除日志,暗藏攻打门路,造成平安溯源往往会费时费力 )
“12 号 12:00 之前,问题肯定要失去妥善解决,源头肯定要找到!”刘总工下出最初的军令状!
深夜的一条微信音讯
“咱们遭逢大量网络攻击,请声援咱们。”11 号早晨 21 点 17 分,腾讯平安主机平安团队的 X 被拉到一个微信群,收到一条 @他的信息。
他询问了几个根底问题,心中有了大略,立马电话摇人,找到两位熟谙此类问题解决之道的专家周工和吴工进群。工夫紧急,也没有寒暄,间接发了一个线上会议链接。20 分钟后,他们曾经理解了客户目前的 IT 环境和受攻打状况。
吴工和周工没有闭口讲述之前,小编的脑海里呈现的画面是一队人火急火燎赶高铁、飞机奔赴客户现场,一头扎进机房,甚至早晨在机房里面扎个行军床。往年疫情重复,到处都是异地来访隔离 5 + 3 天,他们能顺利赶到一线吗?
“客户是在哪个城市?是在北京吗?”小编。
“兴许?不晓得。”周工。
“你们都没有去客户现场吗?”小编。
“不须要啊,咱们是云原生的破绽剖析引擎,只须要客户把根底信息提供给咱们,咱们就能剖析进去。”周工。
料想中的这所有太平盛世都没有产生,从接到需要到找到攻打源,周工他们总共破费了不到 1 小时。这得益于一个叫 WeDetect 的自动化破绽剖析引擎,它一方面把握了云上简直所有公开已知的破绽,客户如果存在这些已知破绽,能很快被找进去;而对于那些未披露的 0day 破绽,WeDetect 则从其攻击行为上能判断出异样,并收回预警。
“一个算力远胜于人脑、7*24 小时不眠不休的机器,查找起破绽天然快很多。”吴工说。
数据排查结束后,吴工把排查后果以及 WeDetect 如何发现这个攻打源的数据反馈给了客户,客户眼前一亮,当即下了一个对于 SaaS 服务来说数额很可观的订单。而对于该企业来说,这兴许是他们洽购流程里最快的我的项目之一,但必定也是说服力最毋庸置疑的我的项目之一。
(wedetect 入侵破绽溯源示意图 )
千里眼和顺风耳
仅仅是 2 两年前,遇上这样的应急响应事件,吴工也须要去客户现场,手动一台台搜查问题。他记忆最深的一个案例,是某一次客户被勒索,勒索软件把一些有用的日志也加密了,导致要害溯源数据失落,客户用了各种形式都无奈找到入口。他早上 11 点赶到广州客户现场,凌晨 3 点才找到攻打源,完结工作后关上滴滴筹备打车去酒店,发现忘了订酒店。站在除了保安之外简直空无一人的工业园区大门口,他有一瞬间感到很茫然。
另外一次是某个关基企业被勒索,他们被叫到现场时,很多老牌平安厂商的专家团队都曾经在待命了,局面堪称中国网络安全的“梦之队”。梦之队破费了数个小时终于还原了攻打门路,但对于曾经加密的数据是机关用尽的,所幸他们从一台机器上找到一个多月前的备份数据进行了手动复原。
从 Solarwinds 事件以来,这两年密集地涌现了 Log4j、Springboots、node-ipc 包供应链投毒等各种景象级的安全事件,在官网公布破绽布告到国内外平安厂商推出响应措施之前,两头有一段“真空工夫”是黑产作案的黄金期间,但却是企业的噩梦期,很多客户不晓得机器为什么被攻陷、攻击者打到了哪里,腾讯平安的专家服务团队一次又一次次接到客户的应急诉求。
在这样的事件反复产生屡次,以及 2020 年以来疫情防控导致出差的不便当之后,周工、吴工团队开始推敲:如何能力解脱被动应急的场面,晋升威逼的被动发现能力?
要解决这个问题,腾讯平安有几个人造的便当:依靠腾讯云和丰盛的云原生产品,联结云上各平安产品日志、主机异样行为数据、攻打流量数据,腾讯能更全面地把握云上的最新攻打态势;其次,腾讯领有丰盛的实战攻防教训,无论是外部例行的攻防演练,还是各类重保我的项目中历练进去的蓝军攻打手法,可能实现知己知彼。“本人就是攻打队,我平时攻打会怎么打,就把这些教训转换成对应的模型落地到引擎外面去。”
前后历时半年,WeDetect 逐步成形。腾讯 WeDetect 云上威逼狩猎引擎,是腾讯平安基于云原生的自动化破绽攻打事件检测、关联、响应引擎。联合入侵事件中产生的多维度数据,实时自动化对攻打事件的关联、剖析、定性。目前 WeDetect 已捕捉到造成云上机器失陷的数百个已公开破绽,以及数十个未公开破绽的利用。wedetect 能力曾经赋能到云镜攻打检测模块,在实锤破绽入侵的同时,也展现给客户尝试入侵的攻打,补救了东西向流量入侵检测的能力。
通过一年的经营,截至目前,WeDetect 曾经在重大破绽响应中帮忙腾讯平安团队发现了多起高危破绽利用,帮忙物流企业、游戏厂商、电商企业、交通企业等发现并及时终止了很多辣手的攻打。
“这个感知是很强烈的,就如同经验过高考的每个人都晓得 670 分是什么价值,够上个 985 还是 211。客户少数对于破绽排查有切身经验,在经验了那么长时间手工时代,他们看到咱们不必去现场也能很快地通过自动化地剖析出问题所在,对他们的触动是很大的。这也间接促成了咱们一些商机转化。”吴工说道。
就在咱们发稿时,WeDetect 这个不眠不休的千里眼和顺风耳,也正在继续侦察着云上的破绽利用状况“风声”。