本文是WOT2016互聯(lián)網(wǎng)運(yùn)維與開(kāi)發(fā)者大會(huì)的現(xiàn)場(chǎng)干貨，新一屆主題為WOT2016企業(yè)安全技術(shù)峰會(huì)將在2016年6月24日-25日于北京珠三角JW萬(wàn)豪酒店隆重召開(kāi)！

在今年4月份舉行的WOT2016互聯(lián)網(wǎng)運(yùn)維與開(kāi)發(fā)者大會(huì)的運(yùn)維安全專場(chǎng)中，來(lái)自知道創(chuàng)宇的鍋濤為大家?guī)?lái)了題為《云安全助力輕安全運(yùn)維》的演講。他對(duì)傳統(tǒng)的安全運(yùn)維進(jìn)行了深入的剖析，闡述了安全運(yùn)維工作的挑戰(zhàn)與困惑，分析了黑客攻擊的那些入口以及存在的安全隱患，并在最后介紹了知道創(chuàng)宇如何利用云安全助力輕安全運(yùn)維。

安全運(yùn)維之困惑

安全運(yùn)維工作的對(duì)象有很多，比如網(wǎng)絡(luò)承載IPS、防火墻、AV、網(wǎng)關(guān)等。當(dāng)運(yùn)維人員開(kāi)始運(yùn)維諸多的安全產(chǎn)品的時(shí)候，第一要保證安全產(chǎn)品的正常運(yùn)行，第二，針對(duì)發(fā)生的安全事件進(jìn)行深入分析，需要面對(duì)海量的日志。陳舊的架構(gòu)使得我們獲取所需數(shù)據(jù)需要花費(fèi)大量事件，迫使運(yùn)維者在效率和數(shù)據(jù)之間進(jìn)行選擇，這就是比較常見(jiàn)的安全運(yùn)維困惑之一。而且安全事件本身并不能提供足夠多的上下文信息以識(shí)別現(xiàn)在愈來(lái)愈高級(jí)的威脅，復(fù)雜的產(chǎn)品部署方式及管理方式使得安全運(yùn)維成本飛漲。

安全運(yùn)維的挑戰(zhàn)

面對(duì)很多的網(wǎng)絡(luò)設(shè)備和安全設(shè)備，當(dāng)安全事件發(fā)生，黑客從企業(yè)邊界進(jìn)入到最終的核心數(shù)據(jù)中心，需要通過(guò)很多防火墻、郵件網(wǎng)關(guān)的過(guò)濾，而這每一層過(guò)濾都會(huì)產(chǎn)生一些日志。當(dāng)運(yùn)維人員進(jìn)行安全定位時(shí)，一定要做關(guān)聯(lián)性的分析，產(chǎn)生海量的日志。

現(xiàn)在安全的運(yùn)維現(xiàn)狀依舊是停留在分析日志，當(dāng)發(fā)生安全事件后，運(yùn)維人員還要去做事后的追溯。當(dāng)發(fā)生問(wèn)題的時(shí)候，需要搜索事件，統(tǒng)計(jì)一下事件發(fā)生的頻率。然而可能通過(guò)日志分析，還是無(wú)法去快速的定位問(wèn)題，因?yàn)槿罩玖刻嗔?，工作效率就?huì)降低，而領(lǐng)導(dǎo)會(huì)一天或者每時(shí)每分都會(huì)問(wèn)你事件處理的進(jìn)度，但是我們還在分析日志。為什么要分析海量日志呢?分析日志其實(shí)就是要分析一下這次黑客入侵，黑客是否拿走了敏感數(shù)據(jù)，或者這次入侵事件是不是通過(guò)分析日志可以發(fā)現(xiàn)一些安全隱患。總結(jié)一下，主要包含以下幾個(gè)問(wèn)題的處理：

我有沒(méi)有與低信譽(yù)的機(jī)器進(jìn)行通信?
哪些通信沒(méi)有被阻止?
有哪些具體的服務(wù)器、客戶端、設(shè)備被入侵?
有哪些用戶賬號(hào)被泄露?
這些被泄露的賬號(hào)都被用來(lái)做了什么?
我該如何反應(yīng)?

發(fā)現(xiàn)問(wèn)題立即下發(fā)策略，你敢立即阻攔?

其實(shí)在做安全運(yùn)維的時(shí)候，我們先要了解黑客攻擊的入口。如果你不了解黑客攻擊的入口，那你就沒(méi)法去很快速的進(jìn)行黑客攻擊行為的阻攔。大家可以看一下，當(dāng)我們了解了黑客攻擊的入口，整個(gè)防護(hù)就很簡(jiǎn)單。

首先，安全運(yùn)維輔助于企業(yè)的業(yè)務(wù)發(fā)展，而業(yè)務(wù)發(fā)展可能會(huì)存在很多的入口。比如：通過(guò)應(yīng)用前端對(duì)業(yè)務(wù)進(jìn)行訪問(wèn)時(shí)，做表單提交，商品采購(gòu)，這時(shí)應(yīng)用的入口是否安全呢?再有，如果為了業(yè)務(wù)的快速發(fā)展，企業(yè)推出了APP的訪問(wèn)，每個(gè)APP訪問(wèn)的時(shí)候，都會(huì)有一個(gè)API的訪問(wèn)接口，這個(gè)接口是不是做了防護(hù)呢?再比如，為了快速推廣，企業(yè)注冊(cè)運(yùn)行了官方的微信公眾號(hào)，那公眾號(hào)對(duì)應(yīng)的防護(hù)工作你有沒(méi)有做，或者說(shuō)是做安全監(jiān)測(cè)你有沒(méi)有做?等等很多入口都可能帶來(lái)安全風(fēng)險(xiǎn)。

總之，如果企業(yè)在第三方授權(quán)登陸的地方，沒(méi)有做好一個(gè)安全的管控，黑客就可以實(shí)施入侵。比如說(shuō)他可以通過(guò)授權(quán)登陸的時(shí)候，直接劫持企業(yè)授權(quán)登陸的用戶名和密碼。還有，因?yàn)闃I(yè)務(wù)前端一些中間件包括其他的數(shù)據(jù)庫(kù)，一些測(cè)試開(kāi)發(fā)環(huán)境，也有可能在跟正常業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)交互，企業(yè)是不是也做了安全防護(hù)?這是正常的用戶入口，其實(shí)也是黑客的入口。

黑客攻擊入口存在的安全隱患

基于黑客的入口，我們可以發(fā)現(xiàn)哪些安全隱患，你是不是做過(guò)梳理?

對(duì)此，知道創(chuàng)宇做了一個(gè)比較詳細(xì)的一個(gè)安全隱患的梳理，如下圖：

第一種是DDoS攻擊。我們知道，黑客也分級(jí)別，一般初級(jí)黑客常發(fā)起的攻擊就是圖中第一部分DDoS攻擊。因?yàn)楝F(xiàn)在DDOS攻擊的成本越來(lái)越低，一個(gè)G的DDOS，50塊錢就可以買一個(gè)小時(shí)。

第二種是應(yīng)用層的代碼級(jí)漏洞。大家知道應(yīng)用層的代碼級(jí)漏洞，可能是開(kāi)發(fā)者本身他遺漏的安全隱患。但是這個(gè)隱患發(fā)生之后，背鍋的可能是我們的安全運(yùn)維工程師。這個(gè)時(shí)候，你要是不知道安全，就是應(yīng)用層級(jí)代碼漏洞的話，你怎么去做防護(hù)，包括如果說(shuō)因?yàn)殚_(kāi)發(fā)者造成的隱患，你沒(méi)有做防護(hù)的話，是不是可能自己的信息就丟掉?另外，注入類攻擊也是最嚴(yán)重的，因?yàn)樽⑷胝娴淖屛覀兎啦粍俜?，而且注入攻擊一直在衍生，不但有cookle注入，還有OS注入。注入類攻擊其實(shí)有很多，而不局限于cookle注入。同時(shí)還有XSS漏洞，包括需要的身份認(rèn)證和會(huì)話管理，這些你是不是都了解他漏洞利用的原理。包括我們?cè)趺慈シ雷o(hù)，你是不是都?jí)蛄私狻?/p>

第三種是第三方應(yīng)用程序漏洞。因?yàn)殚_(kāi)發(fā)者在開(kāi)發(fā)程序時(shí)，業(yè)務(wù)搭建時(shí)，可能會(huì)使用第三方開(kāi)源的工具。這些第三方應(yīng)用程序發(fā)生漏洞的時(shí)候，怎么去做防護(hù)?例如：struts2漏洞，可能大家如果說(shuō)作為安全運(yùn)維的話，應(yīng)該都知道這個(gè)漏洞當(dāng)時(shí)在安全之間的影響也非常大。在13年的時(shí)候，這個(gè)漏洞波及的網(wǎng)站數(shù)量也非常多，因?yàn)楫?dāng)時(shí)我們用的開(kāi)發(fā)代碼，PHP還是比較多的。同時(shí)這個(gè)漏洞可能本身問(wèn)題不大，但是基于它黑客就可以上傳攻擊腳本，就可以對(duì)你的網(wǎng)站進(jìn)行所有權(quán)的控制。

第四種是微信第三方的API接口。攻擊者可以利用第三方的API接口，對(duì)已授權(quán)登陸用戶進(jìn)行一個(gè)劫持。劫持之后，攻擊者可以對(duì)所有的賬戶里對(duì)應(yīng)的資產(chǎn)進(jìn)行清洗，比如說(shuō)支付通道類的。然后，攻擊者就可以拿到一些虛擬資產(chǎn)。還有就是APP端的應(yīng)用程序漏洞。

第五種是業(yè)務(wù)邏輯安全性。其實(shí)業(yè)務(wù)邏輯安全性一直是圍繞著業(yè)務(wù)展開(kāi)的一個(gè)漏洞利用。最常見(jiàn)的就是任意的用戶密碼重置、修改，包括查詢，修改等問(wèn)題。你是不是做了一些安全防護(hù)?

第六種是還有網(wǎng)站業(yè)務(wù)安全問(wèn)題以及運(yùn)維或者開(kāi)發(fā)者造成的安全問(wèn)題。就是基于網(wǎng)站業(yè)務(wù)的安全性。可能大家最近聽(tīng)說(shuō)過(guò)最多的就是薅羊毛。薅羊毛的時(shí)候，會(huì)把所有公司運(yùn)營(yíng)所使用的一些新用戶注冊(cè)的體驗(yàn)金、紅包、反利金，包括邀請(qǐng)的一些額外獎(jiǎng)勵(lì)，都全部被羊毛黨刷走。包括大家危言聳聽(tīng)的一些事件，就是零元訂票、一元買手機(jī)，這些都是業(yè)務(wù)安全性。

最后一種就是我們的運(yùn)維和開(kāi)發(fā)者造成的一些安全隱患。例如：為了快速去做一些滿足開(kāi)發(fā)人員的一些測(cè)試，我直接會(huì)去配置一些信息，而配置的時(shí)候，沒(méi)有去考慮安全性，就會(huì)造成配置不當(dāng)。

黑客利用安全隱患是如何發(fā)動(dòng)攻擊的?

了解了黑客的入口，黑客利用入口存在的安全隱患，那么黑客利用安全隱患是如何發(fā)動(dòng)攻擊的呢?

大家可以看上面這張圖，其實(shí)這張圖也是非常有典型性的。當(dāng)黑客真的想對(duì)你的網(wǎng)站發(fā)動(dòng)攻擊的時(shí)候，他可能對(duì)你的網(wǎng)站前期進(jìn)行了信息采集，包括他肯定不是一個(gè)人能夠搞定的。如果說(shuō)他想真的拿下一個(gè)安全性比較高網(wǎng)站的時(shí)候，他絕對(duì)不是一個(gè)人搞，肯定是有很多人。那么在攻的時(shí)候，不是持續(xù)一天，可能是持續(xù)兩到一周，非常的長(zhǎng)。大家可以看，黑客攻擊的時(shí)候，先對(duì)你的網(wǎng)站進(jìn)行信息采集，去看一下你的網(wǎng)站開(kāi)放哪些端口，包括你的子域名是不是都放在公網(wǎng)上面，同時(shí)去看一下源代碼是不是泄漏了。那么收集完信息之后，做定向的攻擊，就是做掃描。那么掃描的時(shí)候，剛才說(shuō)了注入類攻擊也是非常頻繁的，包括XS漏洞，他們會(huì)快速的去掃描網(wǎng)站，之后進(jìn)行大規(guī)模的cookle注入，包括XS漏洞利用。同時(shí)如果說(shuō)發(fā)現(xiàn)了利用傳統(tǒng)漏洞，無(wú)法攻向你的網(wǎng)站，攻擊者會(huì)使用DDOS，DDOS可能來(lái)自于PC端，也可能來(lái)自于移動(dòng)端。

云安全“大數(shù)據(jù)分析”讓你不再事后看日志

當(dāng)你的網(wǎng)站遭受了黑客攻擊，你還在做什么呢?可能就是在分析日志，安全工程師認(rèn)為最快速的去定位問(wèn)題的時(shí)候，就是分析日志。而日志都是我們事后拘束的一個(gè)參考的文本。日志又非常的多，但是老板一直在催，你這個(gè)事件什么時(shí)候幫我去處理，包括解決方案是什么，你都可能在分析日志的階段，包括報(bào)告什么的還沒(méi)有形成，這就是我們傳統(tǒng)運(yùn)維面臨的一個(gè)弊端。

鍋濤表示：“面對(duì)傳統(tǒng)的安全運(yùn)維存在的一些弊端，我們真正要做的事先防御而不是事后分析。”并介紹說(shuō)，知道創(chuàng)宇通過(guò)集結(jié)八年的技術(shù)經(jīng)驗(yàn)，依托于知道創(chuàng)宇三百多為位白帽技術(shù)黑客，建立了一個(gè)云的防護(hù)體系。這個(gè)云的防護(hù)體系，不是簡(jiǎn)單的做一個(gè)數(shù)據(jù)的堆積，而是通過(guò)大數(shù)據(jù)和云計(jì)算，對(duì)數(shù)據(jù)進(jìn)行分析。目前分析的樣本有多少呢?現(xiàn)在，知道創(chuàng)宇整個(gè)防護(hù)的網(wǎng)站數(shù)量達(dá)到了86萬(wàn)+，包括大家所熟知的中國(guó)人民央行，兼程央行，包括像91金融。86萬(wàn)個(gè)網(wǎng)站，每時(shí)產(chǎn)生的日記攻擊量就達(dá)到上億級(jí)別，而每個(gè)小時(shí)知道創(chuàng)宇攔截的攻擊日志量達(dá)到千萬(wàn)次真實(shí)的攻擊。

傳統(tǒng)的安全運(yùn)維中，在分析安全設(shè)備時(shí)分析的都是行為，會(huì)有一個(gè)滯后性。那么針對(duì)與這種情況，知道創(chuàng)宇依托與三百多位技術(shù)白帽黑客，已經(jīng)收集了33樣黑客指紋信息，而指紋信息里面不僅僅是有黑客攻擊常用的IP地址，還對(duì)黑客做了一個(gè)評(píng)級(jí)。評(píng)級(jí)的時(shí)候要去看一下黑客經(jīng)常使用的攻擊手法，包括他經(jīng)常攻擊的網(wǎng)站的類型，針對(duì)這些要做統(tǒng)計(jì)。當(dāng)知道黑客攻擊行為之后，是不是就可以在事先把黑客入侵的動(dòng)作直接干掉?就是新的安全運(yùn)維的一種思考模式，一定要產(chǎn)生。就是說(shuō)，黑客他是不是用了什么操作系統(tǒng)，包括他使用了什么掃描工具?對(duì)我們的網(wǎng)站進(jìn)行漏洞發(fā)現(xiàn)?

同時(shí)，我們通過(guò)云的方式，讓安全運(yùn)維人員分析的不再是設(shè)備，而是分析的一個(gè)黑客的攻擊行為。就是說(shuō)，我們做安全事件分析的時(shí)候，先去了解整個(gè)防火墻，IPS，或者說(shuō)終端殺毒軟件本身的特性，這樣的話還是存在一些了解設(shè)備的階段。而知道創(chuàng)宇新的SAS云安全方式，不是僅僅了解安全端的設(shè)備，要去了解一下黑客，只要你知道黑客怎么去攻擊，你才能知道怎么更好的防護(hù)。那么依托于知道創(chuàng)宇態(tài)勢(shì)感知系統(tǒng)——創(chuàng)宇新圖。創(chuàng)宇新圖會(huì)把86萬(wàn)個(gè)網(wǎng)站里面每天攔截的上億次的攻擊日志，做綜合性的分析，分析之后會(huì)看到防御類的狀態(tài)，同時(shí)還會(huì)看到黑客的攻擊的一個(gè)態(tài)勢(shì)。那我們?cè)偌?xì)分一下，包括攻擊者他的一個(gè)地域的分布，他使用IP的一個(gè)數(shù)量。同時(shí)，對(duì)攻擊者，進(jìn)行更細(xì)化的分析。分析黑客使用了多少次攻擊，同一個(gè)黑客他某時(shí)、某分、某秒在對(duì)某個(gè)網(wǎng)站發(fā)動(dòng)哪種攻擊，這都可以進(jìn)行定位，這就是云安全的一個(gè)最大的前瞻性的技術(shù)領(lǐng)先性的地方。

另外，因?yàn)槟懔私獾降闹皇且粋€(gè)虛擬黑客，他的一個(gè)行為，我們還要去分析一下?？梢匀リP(guān)聯(lián)一下黑客在真實(shí)的生活中，他使用的一些個(gè)人經(jīng)常上網(wǎng)使用的，使用谷歌的瀏覽器，還是臉譜去做一些社交。這樣的話，當(dāng)這個(gè)黑客想發(fā)動(dòng)攻擊，而攻擊對(duì)象又是知道創(chuàng)宇云保護(hù)的客戶的時(shí)候，那他肯定會(huì)被攔截掉，因?yàn)閷?duì)他已經(jīng)非常的了解。

因?yàn)楹诳驮谀愕木W(wǎng)絡(luò)里面進(jìn)行漏洞掃描、漏洞發(fā)現(xiàn)，如果說(shuō)你先于黑客發(fā)現(xiàn)漏洞的時(shí)候，那你是不是可以提早做好安全防護(hù)?怎么先于漏洞發(fā)現(xiàn)呢?知道創(chuàng)宇可以依托于鐘馗之眼。里面是采集了全球40億IPTop100的端口，并將所有的將近20億域名的Top的外部組件進(jìn)行了所有采集。通過(guò)鐘馗之眼我們就可以看到對(duì)應(yīng)的應(yīng)用程序，開(kāi)放的服務(wù)，包括他使用的一些后臺(tái)端口，都可以進(jìn)行掃描到。同時(shí)，通過(guò)大數(shù)據(jù)云計(jì)算，就不用再添加每條策略的時(shí)候，我要做各種的驗(yàn)證，包括各種的搭建測(cè)試環(huán)境，而我們的云安全防護(hù)的時(shí)候，就可以把所有的攻擊數(shù)據(jù)快速的形成防御策略。

【嘉賓簡(jiǎn)介】

[[167715]]

知道創(chuàng)宇高級(jí)安全顧問(wèn)鍋濤

鍋濤，現(xiàn)任職知道創(chuàng)宇高級(jí)安全顧問(wèn)，從事信息安全行業(yè)多年，有豐富的國(guó)際安全產(chǎn)品經(jīng)驗(yàn)，包括：IMPERVA 、Paloalto 、McAfee、IBM國(guó)際一線安全產(chǎn)品，榮獲Ploalto ACE高級(jí)工程師證書(shū)以及IBM SVP 證書(shū)，IMPERVA 應(yīng)用場(chǎng)景撰寫大賽最佳文檔獎(jiǎng)等殊榮。