生死之战:我不是黑客,我的对手却比黑客还厉害

我,是一个在甲方企业做了十多年安全工作的老炮。早年看着那些神秘、技术高超、无所不能的黑客,他们随心所欲地在互联网上进行迫害,激发了我内心正义的信念,于是就加入了安全守护者队伍。从刚毕业时的青涩菜鸟,到现如今成为人们口中的安全老司机,虽然我对各方面的安全技术都有所了解,但是与“黑客”还不在一个层级世界。因为敌强我弱,所以每天都过得如履薄冰,不敢懈怠。

因为,我知道作为安全的守护者,需要100%确保不出错,而攻击者只要抓住任何一次机会都能置我于死地。因此需要我时刻紧绷神经,准备处理各种突发事件。

怀着敬畏之心上战场

很多时候,安全人员所建立起来的“城墙防御”,在黑客眼中就犹如积木堆的城堡,伸出小手轻轻一碰顷刻间就崩塌了。作为一个安全老兵,我深刻明白用有限的资源去对抗无限攻击,天然的处于劣势。安全人员都害怕自己苦心经营的防线会被黑客以摧枯拉朽之势毁灭。

其实这种害怕来源于攻防不对等,来源于对未知事情恐惧。防守者永远不知道下次攻击会在何时发起,又会从何处入手。这种感觉就像你不知道黎明什么时候会到来,漫漫黑夜会给你带去无尽的恐惧,甚至是吞噬你的灵魂。

很多时候,受限于人才、技术、资金等各种方面因素,安全从业者常常感到力不从心。例如,当你想用堡垒机解决Linux服务器弱密码时,却被黑客轻松绕过;当你要求所有应用关键步骤加token,同事却问你token是什么;当你解决了CSRF 反射XSS的时候,却被通报“任意密码重置”…….还有各种层出不穷的漏洞风险,更是让你防不胜防。在这样的处境之下,即便我们天生要强,但是内心也害怕。

可能有血气方刚的人会认为我这是长他人志气,作为正义代表怎能承认自己害怕作为反面角色的黑客呢?但是我并不这么认为,恐惧和害怕让自己常怀敬畏之心,继而方得始终。

从事安全工作十多年,处理过大大小小的安全事件不计其数。但要说印象最深刻一次行动,当属今年6月的X行动。我相信每个安全从业者都对它有着刻骨铭心的记忆。那短短十几天时间,仿佛自己过了好几个月。这期间感觉就像住在茅草屋中,外面野兽成群,自己却手无寸铁。当听到狼嚎的时候,明知道凶狠的獠牙离你不远了,却不知道该怎么办。更可怕是,不知道它什么时候会冲进来,撕碎所有一切。

面对十几支攻方团队,要说不害怕是不可能的。但既然选择了这条道路,只能选择坚持,加强自身安全防护能力。因此,从前期队伍建设、攻防演练、复盘总结到行动期间对抗、全天候监控等,我不敢有丝毫懈怠。

在行动前,我们召开了项目启动会,明确本次行动保护目标系统、团队整体工作流程、组织架构等信息。也许是因为谨慎和敬畏之心拯救了自己,在本次行动中我们公司也取得了不错的成绩。

凡事预则立,不预则废

在行动前期我们举办了一场为期一周且贴近实战的攻防演练,邀请了安全圈实力最强的公司扮演攻方角色,而守方阵营也几乎囊括市场上所有主流安全厂商。

虽说是演练,但也投入了十足的准备。在演练前期,我们进行了详细的资产梳理工作。同时对于资产存在的一些通用性风险,比如弱口令、漏洞、补丁等风险项进行逐一排查,其中光补丁修复就高达几十万个。

有人可能会认为我们日常补丁修复工作做的太差了。针对打补丁,作为甲方安全人员,也有我们自己的痛。比如国内某安全厂商“漏扫”产品被称为中国最好的漏扫工具。但是,我们却不敢用,因为误报率高得让你怀疑人生。举个简单例子,通过传统的漏扫产品检测OpenSSL,只能检测到大版本号,却不能检测得到小版本号。通常情况下,报出50个OpenSSL补丁,可能只有一个是真实存在的,其它都属于误报。高误报会消耗我们大量的精力而导致忽略了那些真正的威胁。因此,我们基本上每季度才会用该产品扫描一次。除了误报率高,传统的漏扫产品检测效率也非常低下,而且每次检测都需要重新登录,面对大量主机设备这并非易事。高误报、低效率导致一般甲方用户都不爱用这类漏扫产品,因此后期漏洞的修复进度也就基本上无法跟进。后期,我们选择了青藤的主机漏洞扫描功能。通过在服务器内装Agent,不仅扫描速度快,而且误报率低,也比较精准发现了脏牛、Struts2等漏洞。

原以为有序完成主机资产梳理、补丁修复、漏洞扫描等工作后,足以应对一般攻防演练。让我没想到,千里之堤,溃于蚁穴。演练期间居然因为一个弱口令,就让前期苦心经营的所有防线瞬间垮台。直到后来,在攻防演练结束后的复盘总结会上,针对这次攻击,攻方人员详细讲解所用的攻击手段和攻陷目标,才明白攻击方是如何通过一个弱密码打穿整条防线。

原来,在演练期间攻方团队发现公司VPN存在名为test测试账号,并且是弱密码。更可怕是,其中有一个测试账号能直接连接到生产网。攻击方正是通过VPN弱口令,进入总部业务生产区拿到了公司核心邮件服务器的权限,也获得了部分服务器管理员的账号密码。

在这件事之后,一向淡定的上级领导终于也坐不住了,下命令要求各处室所有服务器运维人员,针对青藤上报的所有风险进行无条件修复,包括安全补丁、漏洞检测、账号风险、系统风险、应用分析、弱口令等等。

练兵三月,用兵一时

众所周知,所有演习基本都有预定方案,结果也比较容易掌控。但是进入真刀真枪实战之后,结果往往就很难预测了。为了应对更多不可控因素,行动开始后,我们安排了更强大的守方团队。

公司建立了立体防御战线。一线人员基本是公司自己人,二线则是各大厂商技术支持人员。与此同时,一线人员采取24小时无间断值班制度。所有安全设备都有专门值守人员进行实时监控。不论一线还是二线人员,一旦发现异常情况,第一时间相互同步信息,并上报服务器管理员进行确认。整个响应流程前期也经过多次训练,不同人员相互配合也非常默契。

从行动开始,补丁修复变得异常重要,庆幸前期已经完成了大部分补丁修复。即便如此,按上级指示,每天尽可能修复补丁并同步修复进度,同时,放开所有服务器权限申请,可以在任何时间进行修复。所有一线人员每天在早上9点,进行复盘总结补丁的修复情况。

但是即便准备如此充分,在行动第一天就被打脸了。公司某业务系统被上传了多个WebShell。庆幸的是,该后门被上传后,第一时间就被我们盟友青藤云安全发现,并上报安全人员及时删除。后期经过分析,发现该服务器上居然有上百个WebShell,其中很大一部分是历史遗留下来的。

整个行动期间24小时绷紧神经,到最后一周的时候,大家的脑力和体力都已经达到了极限。但是这个时候,也是攻方最好下手的时候。甚至,攻方不停传出消息,XX单位已经被攻陷。那个时候的我几乎处于崩溃边缘,害怕自己前功尽弃,明天醒来就已经“阵亡”。也许是上天总是眷顾努力和勤奋的人,最后几天我们没有成为攻方照顾对象。

生死之战已结束,未来对抗才开始

今年行动计划虽已结束,但未来对抗却才刚开始。我们不能祈祷黑客手下留情,唯一能做就是增强自身实力。而通过真刀真枪的对抗,远比纸上谈兵来得有效,比如通过红队评估、渗透测试等来增强自身安全能力。

红队评估模拟了一个恶意攻击者,在攻击过程中会尽可能避开检测工具。红队将会以任何可能的方式,悄无声息地进入组织机构并获取敏感信息。红队的评估通常也比渗透测试的持续时间长。渗透测试通常在1-2周内进行,而红队的评估可能在3-4周或更长时间内进行,并且由多人团队组成。

在红队评估中使用的方法包括社会工程(物理和电子)、无线、外部入侵等各种方法。当然,红队评估比较适合那些具有完整、成熟安全团队的企业,这些企业组织经常进行渗透测试,修补了大多数漏洞。通过红队评估,能较好检测企业机构的检测和响应能力,可以进一步提升企业应对黑客攻击的能力。

最后青藤云安全想说:安全永无止境,只能谨慎前行!

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2019-11-14
生死之战:我不是黑客,我的对手却比黑客还厉害
我,是一个在甲方企业做了十多年安全工作的老炮。

长按扫码 阅读全文