笔者是一名网络安全从业者,毕业至今已经在这个行当里混迹了5年之久,虽然还远远谈不上资深,但这几年来也见过了不少安全事件,自己作为技术支持,也处理了其中一些。就在我慢慢觉得这一行已经没有了当初的新鲜感的时候,公司派我去一家网络新闻媒体协助解决他们最近遇到的安全问题。未曾想到,这一次“难忘”的工作经历让我对网络安全又有了新的认识。

事情发生在一个夜晚,即将入眠的我突然接到了公司一线销售人员的求助电话,电话中说到这家网络新闻媒体的数据遭到了丢失、篡改,运维人员却无法找到此次攻击的根源所在。

“有点意思……”挂断电话的我,从床上慢慢坐了起来,思忖着。

“未知”的“未知”

既然被攻击的原因与所有已知的漏洞与威胁都不匹配,我经过分析之后,觉得客户应该是被一种新的攻击手段入侵了,用网络安全界的行话,这叫做“未知威胁”。未知威胁又分为两种,一种是能预测到可能会发生的,可以一定程度上进行防范的,称为“已知的未知威胁”,而另一种则是无法预测,因此让人觉得无从防范的,则称为“未知的未知威胁”。

客户作为一家网络新闻媒体,铁肩担道义,妙笔著文章,为社会传递了大量的正能量,有着极大的社会影响。但是,仍有不法分子为了牟取自身利益,利用“未知的未知威胁”对这家客户进行网络攻击,居心不可谓不叵测。愤慨之余,我深感责无旁贷,一定要帮助客户扫除威胁,还客户一片网络净土。

“摸着石头过河”

越来越多的未知攻击是如今安全攻防的一个最大的特点,客户所面临的攻击工具可能是之前从来没有使用过的,甚至是身边的监控视野从来没有看到过的。如何有效地应对未知威胁的确是一个令人头大的问题,传统入侵检测方法基于的是特征码或规则,要求软件必须提前“知道”入侵的“定义”,才可以识别对应的入侵。但是,面对全新品种的恶意软件,其特定入侵指标(IOC)自然就不为人知,传统入侵检测方法又如何能检测出未知攻击呢?

既然传统的方式行不通,我决定改变思路。虽然所谓“未知的未知攻击”在之前并没有出现过,但是既然攻击了客户的系统,就总会留下一些异常的痕迹,正如业内一位德高望重的前辈告诉我的那样,异常不一定是威胁,但一般来说威胁一定有异常。需要将“未知的未知威胁”转为“已知的未知威胁”来控制问题,如果能够从业务的运转中,抽取生成内在的监控指标,并对指标进行持续地观测和分析,那么无论遇到什么攻击,都会引起指标变化而被察觉。

与客户沟通了我的这些想法之后,我们在客户的服务器集群上部署了青藤万相·主机自适应安全平台,根据客户的业务运行状况设立数万个监测指标,对文件进程、主机访问、业务关系等建立多维度、多层次的纵深检测体系,可以无间断对入侵行为进行监控,实现实时的入侵检测和快速响应,一旦发现异常情况,就会进行毫秒级报警。

凭借着青藤万相·主机自适应安全平台强大的持续监控能力,终于找到了客户系统被攻击的根本原因,原来是攻击者制作了一个新的更轻量级、功能更全的Webshell。找到原因,剩下的工作就简单多了。于是,我们顺利地协助客户守护了他们的数据安全。

这次的工作经历给我的网络安全职业生涯上了重要的一课,要守护网络安全,不仅要在技术上强过攻击者,更要在意识上领先于攻击者,对“未知的未知”给予足够的重视,未雨绸缪,只有这样,才能做到固若金汤,不给黑客任何可乘之机。

相关阅读:

风险来了,云计算安全合规基线如何为安全人员“镇痛止疼”?

全面解读“等保2.0”系列(二):云计算安全扩展要求

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-06-06 09:17:26
国内资讯 拥抱数据浪潮,引领未来风向|2019大数据产业峰会圆满落幕
6月5日,经过两天的思想交流与碰撞,由中国信息通信研究院、中国通信标准化协会主办、大数据技术标准推进委员会承办、中国IDC圈协办的2019大数据产业峰会圆满落下帷幕。 <详情>
2019-06-05 17:50:00
云安全 软件云化,开辟游戏安全场景新模式
目前大多数游戏客户的安全防护体系还主要依靠威胁情报中心、设备指纹识别、策略&规则等方式,在滞后性、误判误报率、未知威胁识别等方面依然存在技术瓶颈。 <详情>
2019-06-04 09:13:01
机房建设 数据需极致安全 云灾备保障成大势所趋
近日,国家互联网信息办公室会同相关部门研究起草《数据安全管理办法(征求意见稿)》(以下简称《办法》),并向社会公开征求意见。该《办法》要求,网络运营者应当参照国 <详情>
2019-06-03 11:21:33
云技术 传统PC瓶颈凸显,哪种云桌面更适合税务部门?
近年随着税务部门的无纸化办公和智能化办公的推进,更多信息化系统开始被引入全国税务部门,在节省了大量人力物力的同事也让信息安全被提到了一个新的高度。 <详情>
2019-05-31 14:24:00
云安全 风险来了,云计算安全合规基线如何为安全人员“镇痛止疼”?
漏洞可能是危害最严重的风险,所有安全人员一旦发现漏洞都会尝试所有方法来修复它,比如打补丁、软件升级等,显然打补丁是解决漏洞的最佳办法。 <详情>