笔者是一名网络安全从业者,毕业至今已经在这个行当里混迹了5年之久,虽然还远远谈不上资深,但这几年来也见过了不少安全事件,自己作为技术支持,也处理了其中一些。就在我慢慢觉得这一行已经没有了当初的新鲜感的时候,公司派我去一家网络新闻媒体协助解决他们最近遇到的安全问题。未曾想到,这一次“难忘”的工作经历让我对网络安全又有了新的认识。

事情发生在一个夜晚,即将入眠的我突然接到了公司一线销售人员的求助电话,电话中说到这家网络新闻媒体的数据遭到了丢失、篡改,运维人员却无法找到此次攻击的根源所在。

“有点意思……”挂断电话的我,从床上慢慢坐了起来,思忖着。

“未知”的“未知”

既然被攻击的原因与所有已知的漏洞与威胁都不匹配,我经过分析之后,觉得客户应该是被一种新的攻击手段入侵了,用网络安全界的行话,这叫做“未知威胁”。未知威胁又分为两种,一种是能预测到可能会发生的,可以一定程度上进行防范的,称为“已知的未知威胁”,而另一种则是无法预测,因此让人觉得无从防范的,则称为“未知的未知威胁”。

客户作为一家网络新闻媒体,铁肩担道义,妙笔著文章,为社会传递了大量的正能量,有着极大的社会影响。但是,仍有不法分子为了牟取自身利益,利用“未知的未知威胁”对这家客户进行网络攻击,居心不可谓不叵测。愤慨之余,我深感责无旁贷,一定要帮助客户扫除威胁,还客户一片网络净土。

“摸着石头过河”

越来越多的未知攻击是如今安全攻防的一个最大的特点,客户所面临的攻击工具可能是之前从来没有使用过的,甚至是身边的监控视野从来没有看到过的。如何有效地应对未知威胁的确是一个令人头大的问题,传统入侵检测方法基于的是特征码或规则,要求软件必须提前“知道”入侵的“定义”,才可以识别对应的入侵。但是,面对全新品种的恶意软件,其特定入侵指标(IOC)自然就不为人知,传统入侵检测方法又如何能检测出未知攻击呢?

既然传统的方式行不通,我决定改变思路。虽然所谓“未知的未知攻击”在之前并没有出现过,但是既然攻击了客户的系统,就总会留下一些异常的痕迹,正如业内一位德高望重的前辈告诉我的那样,异常不一定是威胁,但一般来说威胁一定有异常。需要将“未知的未知威胁”转为“已知的未知威胁”来控制问题,如果能够从业务的运转中,抽取生成内在的监控指标,并对指标进行持续地观测和分析,那么无论遇到什么攻击,都会引起指标变化而被察觉。

与客户沟通了我的这些想法之后,我们在客户的服务器集群上部署了青藤万相·主机自适应安全平台,根据客户的业务运行状况设立数万个监测指标,对文件进程、主机访问、业务关系等建立多维度、多层次的纵深检测体系,可以无间断对入侵行为进行监控,实现实时的入侵检测和快速响应,一旦发现异常情况,就会进行毫秒级报警。

凭借着青藤万相·主机自适应安全平台强大的持续监控能力,终于找到了客户系统被攻击的根本原因,原来是攻击者制作了一个新的更轻量级、功能更全的Webshell。找到原因,剩下的工作就简单多了。于是,我们顺利地协助客户守护了他们的数据安全。

这次的工作经历给我的网络安全职业生涯上了重要的一课,要守护网络安全,不仅要在技术上强过攻击者,更要在意识上领先于攻击者,对“未知的未知”给予足够的重视,未雨绸缪,只有这样,才能做到固若金汤,不给黑客任何可乘之机。

相关阅读:

风险来了,云计算安全合规基线如何为安全人员“镇痛止疼”?

全面解读“等保2.0”系列(二):云计算安全扩展要求

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-07-31 13:34:00
大数据资讯 贵州省人大审议大数据安全保障条例(草案)
7月29日,贵州省十三届人大常委会第十一次会议举行第一次全体会议,听取了贵州省人大法制委员会关于《贵州省大数据安全保障条例(草案)》审议结果的报告,并分组审议了《 <详情>
2019-07-30 19:15:23
云安全 腾讯牵头制定首个“零信任”安全技术行业标准
7月25日,在中国通信标准化协会CCSA TC8 WG3第60次工作会议上,由腾讯牵头提案的“零信任安全技术-参考框架”行业标准正式通过权威专家组评审并成功立项。 <详情>
2019-07-30 12:48:00
云安全 云安全的12个阴暗面
过去十年,云计算和云安全已经取得长足进步,越来越多的企业对云安全的认知,从最初的顾忌和恐慌,转变为盲目的信任和依赖。但是近年来随着国内外云安全事件的不断发作,企 <详情>
2019-07-30 12:26:08
云安全 长亭科技全线产品升级支持IPv6防护服务
IPv6 能够提供更广泛的互联网连接,促进物联网、人工智能等新技术应用的发展,是全球公认的下一代互联网解决方案。在国家政策的大力推动下,各行业IPv6改造都在如火如荼地 <详情>
2019-07-25 17:40:43
云资讯 多云和安全注意事项
随着企业将工作负载从内部数据中心迁移到云平台,采用多个云平台已经为各种规模的企业带来了一些变革性的运营实践。应用程序环境从内部部署转向公共云,从裸机转移到容器, <详情>