生死之戰(zhàn):我不是黑客,我的對手卻比黑客還厲害

我,是一個(gè)在甲方企業(yè)做了十多年安全工作的老炮。早年看著那些神秘、技術(shù)高超、無所不能的黑客,他們隨心所欲地在互聯(lián)網(wǎng)上進(jìn)行迫害,激發(fā)了我內(nèi)心正義的信念,于是就加入了安全守護(hù)者隊(duì)伍。從剛畢業(yè)時(shí)的青澀菜鳥,到現(xiàn)如今成為人們口中的安全老司機(jī),雖然我對各方面的安全技術(shù)都有所了解,但是與“黑客”還不在一個(gè)層級世界。因?yàn)閿硰?qiáng)我弱,所以每天都過得如履薄冰,不敢懈怠。

因?yàn)?,我知道作為安全的守護(hù)者,需要100%確保不出錯(cuò),而攻擊者只要抓住任何一次機(jī)會(huì)都能置我于死地。因此需要我時(shí)刻緊繃神經(jīng),準(zhǔn)備處理各種突發(fā)事件。

懷著敬畏之心上戰(zhàn)場

很多時(shí)候,安全人員所建立起來的“城墻防御”,在黑客眼中就猶如積木堆的城堡,伸出小手輕輕一碰頃刻間就崩塌了。作為一個(gè)安全老兵,我深刻明白用有限的資源去對抗無限攻擊,天然的處于劣勢。安全人員都害怕自己苦心經(jīng)營的防線會(huì)被黑客以摧枯拉朽之勢毀滅。

其實(shí)這種害怕來源于攻防不對等,來源于對未知事情恐懼。防守者永遠(yuǎn)不知道下次攻擊會(huì)在何時(shí)發(fā)起,又會(huì)從何處入手。這種感覺就像你不知道黎明什么時(shí)候會(huì)到來,漫漫黑夜會(huì)給你帶去無盡的恐懼,甚至是吞噬你的靈魂。

很多時(shí)候,受限于人才、技術(shù)、資金等各種方面因素,安全從業(yè)者常常感到力不從心。例如,當(dāng)你想用堡壘機(jī)解決Linux服務(wù)器弱密碼時(shí),卻被黑客輕松繞過;當(dāng)你要求所有應(yīng)用關(guān)鍵步驟加token,同事卻問你token是什么;當(dāng)你解決了CSRF 反射XSS的時(shí)候,卻被通報(bào)“任意密碼重置”…….還有各種層出不窮的漏洞風(fēng)險(xiǎn),更是讓你防不勝防。在這樣的處境之下,即便我們天生要強(qiáng),但是內(nèi)心也害怕。

可能有血?dú)夥絼偟娜藭?huì)認(rèn)為我這是長他人志氣,作為正義代表怎能承認(rèn)自己害怕作為反面角色的黑客呢?但是我并不這么認(rèn)為,恐懼和害怕讓自己常懷敬畏之心,繼而方得始終。

從事安全工作十多年,處理過大大小小的安全事件不計(jì)其數(shù)。但要說印象最深刻一次行動(dòng),當(dāng)屬今年6月的X行動(dòng)。我相信每個(gè)安全從業(yè)者都對它有著刻骨銘心的記憶。那短短十幾天時(shí)間,仿佛自己過了好幾個(gè)月。這期間感覺就像住在茅草屋中,外面野獸成群,自己卻手無寸鐵。當(dāng)聽到狼嚎的時(shí)候,明知道兇狠的獠牙離你不遠(yuǎn)了,卻不知道該怎么辦。更可怕是,不知道它什么時(shí)候會(huì)沖進(jìn)來,撕碎所有一切。

面對十幾支攻方團(tuán)隊(duì),要說不害怕是不可能的。但既然選擇了這條道路,只能選擇堅(jiān)持,加強(qiáng)自身安全防護(hù)能力。因此,從前期隊(duì)伍建設(shè)、攻防演練、復(fù)盤總結(jié)到行動(dòng)期間對抗、全天候監(jiān)控等,我不敢有絲毫懈怠。

在行動(dòng)前,我們召開了項(xiàng)目啟動(dòng)會(huì),明確本次行動(dòng)保護(hù)目標(biāo)系統(tǒng)、團(tuán)隊(duì)整體工作流程、組織架構(gòu)等信息。也許是因?yàn)橹?jǐn)慎和敬畏之心拯救了自己,在本次行動(dòng)中我們公司也取得了不錯(cuò)的成績。

凡事預(yù)則立,不預(yù)則廢

在行動(dòng)前期我們舉辦了一場為期一周且貼近實(shí)戰(zhàn)的攻防演練,邀請了安全圈實(shí)力最強(qiáng)的公司扮演攻方角色,而守方陣營也幾乎囊括市場上所有主流安全廠商。

雖說是演練,但也投入了十足的準(zhǔn)備。在演練前期,我們進(jìn)行了詳細(xì)的資產(chǎn)梳理工作。同時(shí)對于資產(chǎn)存在的一些通用性風(fēng)險(xiǎn),比如弱口令、漏洞、補(bǔ)丁等風(fēng)險(xiǎn)項(xiàng)進(jìn)行逐一排查,其中光補(bǔ)丁修復(fù)就高達(dá)幾十萬個(gè)。

有人可能會(huì)認(rèn)為我們?nèi)粘Qa(bǔ)丁修復(fù)工作做的太差了。針對打補(bǔ)丁,作為甲方安全人員,也有我們自己的痛。比如國內(nèi)某安全廠商“漏掃”產(chǎn)品被稱為中國最好的漏掃工具。但是,我們卻不敢用,因?yàn)檎`報(bào)率高得讓你懷疑人生。舉個(gè)簡單例子,通過傳統(tǒng)的漏掃產(chǎn)品檢測OpenSSL,只能檢測到大版本號(hào),卻不能檢測得到小版本號(hào)。通常情況下,報(bào)出50個(gè)OpenSSL補(bǔ)丁,可能只有一個(gè)是真實(shí)存在的,其它都屬于誤報(bào)。高誤報(bào)會(huì)消耗我們大量的精力而導(dǎo)致忽略了那些真正的威脅。因此,我們基本上每季度才會(huì)用該產(chǎn)品掃描一次。除了誤報(bào)率高,傳統(tǒng)的漏掃產(chǎn)品檢測效率也非常低下,而且每次檢測都需要重新登錄,面對大量主機(jī)設(shè)備這并非易事。高誤報(bào)、低效率導(dǎo)致一般甲方用戶都不愛用這類漏掃產(chǎn)品,因此后期漏洞的修復(fù)進(jìn)度也就基本上無法跟進(jìn)。后期,我們選擇了青藤的主機(jī)漏洞掃描功能。通過在服務(wù)器內(nèi)裝Agent,不僅掃描速度快,而且誤報(bào)率低,也比較精準(zhǔn)發(fā)現(xiàn)了臟牛、Struts2等漏洞。

原以為有序完成主機(jī)資產(chǎn)梳理、補(bǔ)丁修復(fù)、漏洞掃描等工作后,足以應(yīng)對一般攻防演練。讓我沒想到,千里之堤,潰于蟻穴。演練期間居然因?yàn)橐粋€(gè)弱口令,就讓前期苦心經(jīng)營的所有防線瞬間垮臺(tái)。直到后來,在攻防演練結(jié)束后的復(fù)盤總結(jié)會(huì)上,針對這次攻擊,攻方人員詳細(xì)講解所用的攻擊手段和攻陷目標(biāo),才明白攻擊方是如何通過一個(gè)弱密碼打穿整條防線。

原來,在演練期間攻方團(tuán)隊(duì)發(fā)現(xiàn)公司VPN存在名為test測試賬號(hào),并且是弱密碼。更可怕是,其中有一個(gè)測試賬號(hào)能直接連接到生產(chǎn)網(wǎng)。攻擊方正是通過VPN弱口令,進(jìn)入總部業(yè)務(wù)生產(chǎn)區(qū)拿到了公司核心郵件服務(wù)器的權(quán)限,也獲得了部分服務(wù)器管理員的賬號(hào)密碼。

在這件事之后,一向淡定的上級領(lǐng)導(dǎo)終于也坐不住了,下命令要求各處室所有服務(wù)器運(yùn)維人員,針對青藤上報(bào)的所有風(fēng)險(xiǎn)進(jìn)行無條件修復(fù),包括安全補(bǔ)丁、漏洞檢測、賬號(hào)風(fēng)險(xiǎn)、系統(tǒng)風(fēng)險(xiǎn)、應(yīng)用分析、弱口令等等。

練兵三月,用兵一時(shí)

眾所周知,所有演習(xí)基本都有預(yù)定方案,結(jié)果也比較容易掌控。但是進(jìn)入真刀真槍實(shí)戰(zhàn)之后,結(jié)果往往就很難預(yù)測了。為了應(yīng)對更多不可控因素,行動(dòng)開始后,我們安排了更強(qiáng)大的守方團(tuán)隊(duì)。

公司建立了立體防御戰(zhàn)線。一線人員基本是公司自己人,二線則是各大廠商技術(shù)支持人員。與此同時(shí),一線人員采取24小時(shí)無間斷值班制度。所有安全設(shè)備都有專門值守人員進(jìn)行實(shí)時(shí)監(jiān)控。不論一線還是二線人員,一旦發(fā)現(xiàn)異常情況,第一時(shí)間相互同步信息,并上報(bào)服務(wù)器管理員進(jìn)行確認(rèn)。整個(gè)響應(yīng)流程前期也經(jīng)過多次訓(xùn)練,不同人員相互配合也非常默契。

從行動(dòng)開始,補(bǔ)丁修復(fù)變得異常重要,慶幸前期已經(jīng)完成了大部分補(bǔ)丁修復(fù)。即便如此,按上級指示,每天盡可能修復(fù)補(bǔ)丁并同步修復(fù)進(jìn)度,同時(shí),放開所有服務(wù)器權(quán)限申請,可以在任何時(shí)間進(jìn)行修復(fù)。所有一線人員每天在早上9點(diǎn),進(jìn)行復(fù)盤總結(jié)補(bǔ)丁的修復(fù)情況。

但是即便準(zhǔn)備如此充分,在行動(dòng)第一天就被打臉了。公司某業(yè)務(wù)系統(tǒng)被上傳了多個(gè)WebShell。慶幸的是,該后門被上傳后,第一時(shí)間就被我們盟友青藤云安全發(fā)現(xiàn),并上報(bào)安全人員及時(shí)刪除。后期經(jīng)過分析,發(fā)現(xiàn)該服務(wù)器上居然有上百個(gè)WebShell,其中很大一部分是歷史遺留下來的。

整個(gè)行動(dòng)期間24小時(shí)繃緊神經(jīng),到最后一周的時(shí)候,大家的腦力和體力都已經(jīng)達(dá)到了極限。但是這個(gè)時(shí)候,也是攻方最好下手的時(shí)候。甚至,攻方不停傳出消息,XX單位已經(jīng)被攻陷。那個(gè)時(shí)候的我?guī)缀跆幱诒罎⑦吘?,害怕自己前功盡棄,明天醒來就已經(jīng)“陣亡”。也許是上天總是眷顧努力和勤奮的人,最后幾天我們沒有成為攻方照顧對象。

生死之戰(zhàn)已結(jié)束,未來對抗才開始

今年行動(dòng)計(jì)劃雖已結(jié)束,但未來對抗卻才剛開始。我們不能祈禱黑客手下留情,唯一能做就是增強(qiáng)自身實(shí)力。而通過真刀真槍的對抗,遠(yuǎn)比紙上談兵來得有效,比如通過紅隊(duì)評估、滲透測試等來增強(qiáng)自身安全能力。

紅隊(duì)評估模擬了一個(gè)惡意攻擊者,在攻擊過程中會(huì)盡可能避開檢測工具。紅隊(duì)將會(huì)以任何可能的方式,悄無聲息地進(jìn)入組織機(jī)構(gòu)并獲取敏感信息。紅隊(duì)的評估通常也比滲透測試的持續(xù)時(shí)間長。滲透測試通常在1-2周內(nèi)進(jìn)行,而紅隊(duì)的評估可能在3-4周或更長時(shí)間內(nèi)進(jìn)行,并且由多人團(tuán)隊(duì)組成。

在紅隊(duì)評估中使用的方法包括社會(huì)工程(物理和電子)、無線、外部入侵等各種方法。當(dāng)然,紅隊(duì)評估比較適合那些具有完整、成熟安全團(tuán)隊(duì)的企業(yè),這些企業(yè)組織經(jīng)常進(jìn)行滲透測試,修補(bǔ)了大多數(shù)漏洞。通過紅隊(duì)評估,能較好檢測企業(yè)機(jī)構(gòu)的檢測和響應(yīng)能力,可以進(jìn)一步提升企業(yè)應(yīng)對黑客攻擊的能力。

最后青藤云安全想說:安全永無止境,只能謹(jǐn)慎前行!

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2019-11-14
生死之戰(zhàn):我不是黑客,我的對手卻比黑客還厲害
我,是一個(gè)在甲方企業(yè)做了十多年安全工作的老炮。

長按掃碼 閱讀全文