1. 江南体育app口碑好首页
  2. 企业资讯

江南体育app口碑好app下载中心 漏洞猎人白夜追凶记

吴飞 企业资讯
编者按

数字化浪潮蓬勃兴起,企业面临的安全挑战亦日益严峻。

在澳门赌场老虎机怎么玩安全近期将复盘2022年典型的攻击事件,帮助企业深入了解攻击手法和应对措施,完善自身安全防御体系。

本篇是第三期,用一个实际案例讲述了企业在面临攻击时,如何才能及时准确找到攻击源头,知晓“我被谁用什么漏洞攻击了”,及时封堵漏洞,避免重大安全事故的发生。

漏洞猎人1.jpg

“当你帮客户排掉这个‘雷’之后,23451他们发了感谢函或者邮件致谢吗?”小编。

“没有,但是他们发来了一个采购订单。”周工。

这是一个发生在今年4月初的安全应急响应故事。

异常告警

某天中午,某企业的安全值班员工进行着例行检查,发现安全运营中心SOC发出了告警,陆续有主机出现异常告警行为。凭经验判断,这应该是一个有目的的入侵行为,值班人员立即通知相关人员上机进行排查,并立即上报安全负责人刘总工。

时间一分一秒过去,入侵源迟迟没有封堵住,攻击者已经在进行内网横移尝试。安全负责人刘总工意识到了问题的严重性,如果不能及时溯源找到攻击入口并及时收敛漏洞,最终的结果无外乎三种:被“脱裤”,被加密勒索,或者更可怕——潜伏起来什么也不做,等待重要的业务节点再发出致命一击。

刘总工立即组织了安全运营团队进行紧急排查,但仍没有找到攻击源头,攻击还在继续,并且影响范围是未知的“黑盒”,眼前一抹黑的情况更加剧了事态严重性。4小时后,主机安全服务的厂商(客户使用的某老牌主机安全产品)负责应急响应的2位工程师也到了现场,他们和驻场的专家一起,加入了排查的队伍。

在一个空旷的被辟为“临时作战室”的会议室里,2位工程师打开电脑登陆了主机安全运营后台,根据攻击者留下的蛛丝马迹,顺藤摸瓜排查可疑的机器。他们在写脚本,十几个客户 IT 和业务部门的人时不时地踱到他们身后看看。

内网机器被攻陷之后,找出攻击路径通常需要一两天时间,没有什么别的捷径,就是一台机器一台机器地人工排查。但这一次,经历了整整5天,仍然没有找到攻击源,而攻击者已经拿到多台服务器权限,正在横向渗透到核心资产,眼看就要酿成重大事故。彼时,连续作战了5天的安全团队心态已经趋于崩溃,“作战室”里,十几只烟头被摁灭在一次性纸杯里,随处都是被捏扁的红牛和可乐空罐,无声诉说着无能为力。

“所有机器一台台上去看,从哪台打过来的,然后顺着这个IP走到另外一台机器,然后继续看、继续分析,看他从哪进来的,留下什么日志、做了些什么行为。但是有时候那些机器上面并没有那么完善的日志、记录,只能凭少数一些异常登录或者行为来定位它是怎么进来的,整个过程就会很复杂。”一位经验丰富的安全专家分析道。

1.png

(常见APT入侵路径,由于入侵者会删除日志,隐藏攻击路径,造成安全溯源往往会费时费力)

“12号12:00之前,问题一定要得到妥善解决,源头一定要找到!”刘总工下出最后的军令状!

深夜的一条 微信 消息

“我们遭遇大量网络攻击,请支援我们。”11号晚上21点17分,在澳门赌场老虎机怎么玩安全主机安全团队的X被拉到一个微信群,收到一条@他的信息。

他询问了几个基础问题,心中有了大概,立马电话摇人,找到两位熟谙此类问题解决之道的专家周工和吴工进群。时间紧急,也没有寒暄,直接发了一个线上会议链接。20分钟后,他们已经了解了客户目前的IT环境和受攻击情况。

吴工和周工没有开口讲述之前,小编的脑海里出现的画面是一队人火急火燎赶高铁、飞机奔赴客户现场,一头扎进机房,甚至晚上在机房外面扎个行军床。今年疫情反复,到处都是异地来访隔离5+3天,他们能顺利赶到一线吗?

“客户是在哪个城市?是在北京吗?”小编。

“也许?不知道。”周工。

“你们都没有去客户现场吗?”小编。

“不需要啊,我们是云原生的漏洞分析引擎,只需要客户把基础信息提供给我们,我们就能分析出来。”周工。

预想中的这一切兵荒马乱都没有发生,从接到需求到找到攻击源,周工他们总共花费了不到1小时。这得益于一个叫WeDetect的自动化漏洞分析引擎,它一方面掌握了云上几乎所有公开已知的漏洞,客户如果存在这些已知漏洞,能很快被找出来;而对于那些未披露的0day漏洞,WeDetect则从其攻击行为上能判断出异常,并发出预警。

“一个算力远胜于人脑、7*24小时不眠不休的机器,查找起漏洞自然快很多。”吴工说。

数据排查完毕后,吴工把排查结果以及WeDetect如何发现这个攻击源的数据反馈给了客户,客户眼前一亮,当即下了一个对于 SaaS 服务来说数额很可观的订单。而对于该企业来说,这也许是他们采购流程里最快的项目之一,但肯定也是说服力最毋庸置疑的项目之一。

2.png
(wedetect入侵漏洞溯源示意图)

千里眼和顺风耳

仅仅是2两年前,遇上这样的应急响应事件,吴工也需要去客户现场,手动一台台搜查问题。他记忆最深的一个案例,是某一次客户被勒索,勒索软件把一些有用的日志也加密了,导致关键溯源数据丢失,客户用了各种方式都无法找到入口。他早上11点赶到广州客户现场,凌晨3点才找到攻击源,结束工作后打开滴滴准备打车去酒店,发现忘了订酒店。站在除了保安之外几乎空无一人的工业园区大门口,他有一瞬间感到很茫然。

另外一次是某个关基企业被勒索,他们被叫到现场时,很多老牌安全厂商的专家团队都已经在待命了,场面堪称中国 网络安全 的“梦之队”。梦之队花费了数个小时终于还原了攻击路径,但对于已经加密的数据是无计可施的,所幸他们从一台机器上找到一个多月前的备份数据进行了手动恢复。

从Solarwinds事件以来,这两年密集地涌现了Log4j、Springboots、node-ipc包供应链投毒等各种现象级的安全事件,在官方发布漏洞公告到国内外安全厂商推出响应措施之前,中间有一段“真空时间”是黑产作案的黄金时期,但却是企业的噩梦期,很多客户不知道机器为什么被攻陷、攻击者打到了哪里,在澳门赌场老虎机怎么玩安全的专家服务团队一次又一次次接到客户的应急诉求。

在这样的事情重复发生多次,以及2020年以来疫情防控导致出差的不便利之后,周工、吴工团队开始琢磨:如何才能摆脱被动应急的局面,提升威胁的主动发现能力?

要解决这个问题,在澳门赌场老虎机怎么玩安全有几个天然的便利:依托在澳门赌场老虎机怎么玩云和丰富的云原生产品,联合云上各安全产品日志、主机异常行为数据、攻击流量数据,在澳门赌场老虎机怎么玩能更全面地掌握云上的最新攻击态势;其次,在澳门赌场老虎机怎么玩拥有丰富的实战攻防经验,无论是内部例行的攻防演练,还是各类重保项目中历练出来的蓝军攻击手法,能够实现知己知彼。“自己就是攻击队,我平时攻击会怎么打,就把这些经验转换成对应的模型落地到引擎里面去。”

前后历时半年,WeDetect 逐渐成形。在澳门赌场老虎机怎么玩 WeDetect 云上威胁狩猎引擎,是在澳门赌场老虎机怎么玩安全基于云原生的自动化漏洞攻击事件检测、关联、响应引擎。结合入侵事件中产生的多维度数据,实时自动化对攻击事件的关联、分析、定性。目前 WeDetect 已捕获到造成云上机器失陷的数百个已公开漏洞,以及数十个未公开漏洞的利用。wedetect能力已经赋能到云镜攻击检测模块,在实锤漏洞入侵的同时,也展示给客户尝试入侵的攻击,弥补了东西向流量入侵检测的能力。

3.png
经过一年的运营,截至目前,WeDetect 已经在重大漏洞响应中帮助在澳门赌场老虎机怎么玩安全团队发现了多起高危漏洞利用,帮助物流企业、 游戏 厂商、电商企业、交通企业等发现并及时终止了很多棘手的攻击。

“这个感知是很强烈的,就好像经历过高考的每个人都知道670分是什么价值,够上个985还是211。客户多数对于漏洞排查有切身经验,在经历了那么长时间手工时代,他们看到我们不用去现场也能很快地通过自动化地分析出问题所在,对他们的触动是很大的。这也直接促成了我们一些商机转化。”吴工说道。

就在我们发稿时,WeDetect这个不眠不休的千里眼和顺风耳,也正在持续侦查着云上的漏洞利用情况“风声”。

(0)
上一篇 2022年12月26日 16:16
下一篇 2022年12月26日 16:51