如果你是一名負責(zé)企業(yè)內(nèi)網(wǎng)安全的人，下面這兩段話可能會讓你心中一緊~

對于一個職業(yè)黑客，在高級木馬激活的狀態(tài)下，他只要拿到一臺PC，就完全有能力在 30 分鐘內(nèi)搞到這臺 PC 服務(wù)器的賬號和密碼，還有PC上所存儲的 IP 段和應(yīng)用系統(tǒng)，接下來，他還可以基于 IPC 去做掃描和滲透排測，從而發(fā)現(xiàn)企業(yè)中的很多問題。

那如果再給黑客 60 分鐘的時間呢？

他可以繼續(xù)拿掉企業(yè)中更多帶有漏洞的服務(wù)器，比如那些使用同一賬號密碼的服務(wù)器，當(dāng)多臺服務(wù)器都被他掌控于手掌中時，他就可以把更多的惡意樣本傳到這些服務(wù)器上，進行大規(guī)模攻擊。

上面這兩段話出自騰訊企業(yè) IT 部安全運營中心的總監(jiān)蔡晨之口。

▲蔡晨

作為騰訊企業(yè)內(nèi)網(wǎng)安全的“大管家”，蔡晨每天一睜眼就要面臨 10 萬臺 PC 和 18 萬臺移動端的“安?！比蝿?wù)，只要一臺 PC 出問題，整個龐大的內(nèi)網(wǎng)可能都會因此面臨嚴(yán)峻的安全挑戰(zhàn)。

近日，在第10屆中國云計算大會的“云計算與大數(shù)據(jù)安全專題論壇”中，蔡晨分享了騰訊企業(yè)內(nèi)網(wǎng)所面臨的安全威脅和多年來他們所總結(jié)出的應(yīng)對策略。

換句話說，這是一位擁有 13 年駕照的的老司機所傳授的“爬坑指南”，他“如數(shù)家珍”地把平常會面臨的以及踩過的坑展示出來，然后還分享了如何從坑中爬出的戰(zhàn)斗經(jīng)驗。

經(jīng)久不衰的釣魚郵件

堡壘最容易從內(nèi)部被攻破，蔡晨把針對企業(yè)內(nèi)部員工的釣魚郵件視為第一大威脅。

與廣告郵件和垃圾郵件不同，釣魚郵件往往是針對HR、財務(wù)、高管等高價值人員，這種經(jīng)典的攻擊手法之所以多年來經(jīng)久不衰，原因有兩點：

1. 黑客很容易搞到目標(biāo)對象的郵箱，比如 HR 的郵箱即使對于普通人而言也很容易搜到；
   

2. 這種郵件可以依照目標(biāo)對象的身份進行精準(zhǔn)的投遞，比如把帶有木馬的簡歷附件直接發(fā)到 HR 的郵箱中，把名為報銷票據(jù)的附件發(fā)到財務(wù)人員的郵箱中，讓對方更容易中招。

近年來，勒索病毒是釣魚郵件的常見套路之一，據(jù)蔡晨介紹，早在 Wannacry 和 Petya 爆發(fā)之前的一年，一個名為 locky 的勒索病毒就曾嘗試攻擊過騰訊的內(nèi)網(wǎng)。

黑客向受害者郵箱發(fā)送帶有惡意 word 文檔的郵件，word 文檔中包含有黑客精心構(gòu)造的惡意宏代碼，受害者打開 word 文檔并運行宏代碼后，主機會主動連接指定的 web 服務(wù)器，下載 locky 惡意軟件到本地 Temp 目錄下，并強制執(zhí)行。locky 惡意代碼被加載執(zhí)行后，主動連接黑客 C&C 服務(wù)器，執(zhí)行上傳本機信息，下載加密公鑰。

那時，由于勒索病毒并不普及，出現(xiàn)第一波的時候，各家企業(yè)還沒有做好防御的措施，導(dǎo)致不少企業(yè)中招。

當(dāng)時在某寶上竟然還出現(xiàn)了公開出售 locky 解密密鑰的商店，可想而知中招的企業(yè)其實并不在少數(shù)。

此外，黑客還可以通過釣魚郵件植入比較高級的后門，一個名為“Adwind”的高級木馬家族就曾持續(xù)對騰訊進行定點的釣魚攻擊，而且針對的都是高管、財務(wù)等重要崗位，它會根據(jù)目標(biāo)對象的身份而發(fā)送不同的郵件，誘使相關(guān)人員進行點擊。

雷鋒網(wǎng)發(fā)現(xiàn)，Adwind 以其很強的跨平臺適應(yīng)性而聞名，而且具有多種攻擊功能，包括收集用戶鍵盤輸入內(nèi)容、竊取緩存的密碼、從網(wǎng)頁表單中抓取數(shù)據(jù)、截屏、通過網(wǎng)絡(luò)攝像頭拍照和錄制視頻、通過麥克風(fēng)錄音、傳輸文件、收集系統(tǒng)和用戶信息、竊取加密貨幣錢包密匙、管理手機短息以及竊取 VPN 證書。

據(jù)蔡晨介紹，這兩種釣魚方式其實并不只針對騰訊，但是作為國內(nèi)體量最大的互聯(lián)網(wǎng)公司之一，他們經(jīng)常是最早一波受到攻擊的企業(yè)之一，如果做不好防御措施，后果可想而知。

軍工木馬平民化

除釣魚郵件的攻擊外，近年來越來越盛行的軍工類高級木馬也成為重要威脅之一，而且近兩年正在走向平民化，這就猶如越來越多的平民手中也有了能造成巨大殺傷力的核武器。

相比于平常所見到的挖礦、勒索、蠕蟲類的廣譜木馬，軍工級木馬完美詮釋了什么叫“人狠話不多”，不僅隱蔽性強，而且殺傷力巨大。

蔡晨介紹，近兩年一些高價值的漏洞，甚至是一些從來沒有被公開的漏洞正在互聯(lián)網(wǎng)上進行開放，通過騰訊內(nèi)網(wǎng)安全團隊與騰訊電腦管家團隊、以及安全平臺部合作進行的研究，他們發(fā)現(xiàn)很多對企業(yè)邊界穿透力非常強的DNS隧道木馬。

比如，去年對整個行業(yè)影響比很大的 Xshell 供應(yīng)鏈?zhǔn)侥抉R。

2017年8月，NetSarang 系列軟件的關(guān)鍵網(wǎng)絡(luò)通信組件 nssock2.dll 被植入了惡意代碼，廠商在發(fā)布軟件時并未發(fā)現(xiàn)惡意代碼，并給感染組件打上了合法的數(shù)字簽名隨新版軟件包一起發(fā)布。

用戶機器一旦啟動軟件，將會加載組件中的惡意代碼，將主機的用戶信息通過特定 DGA （域名生成算法）產(chǎn)生的 DNS 域名傳送至黑客的遠程命令控制服務(wù)器，同時黑客的服務(wù)器會動態(tài)下發(fā)任意的惡意代碼至用戶機器執(zhí)行。

這造成的后果是，一些開發(fā)人員以為他們只是從互聯(lián)網(wǎng)上下載了一個普通的運維工具進行軟件的開發(fā)，但一開始這個工具就是被植入過后門的，這個后門在通過 DNS 隧道進行啟發(fā)激活后，能進行遠端操控，這兩年，這種植入方式是越來越普遍。

由于該系列軟件在國內(nèi)的程序員和運維開發(fā)人員中被廣泛使用，多用于管理企事業(yè)單位的重要服務(wù)器資產(chǎn)，所以黑客極有可能進一步竊取用戶所管理的服務(wù)器身份驗證信息，秘密入侵相關(guān)機構(gòu)竊取數(shù)據(jù)。

與普通的木馬相比，軍工級木馬的啟動方式、隱藏方式、抗檢測能力都非常出眾，而且功能很全，不僅可以繞過市面上絕大多數(shù)的殺軟檢測，而且對于內(nèi)網(wǎng)的穿透力非常強。

發(fā)現(xiàn)、處置、溯源

對于攻擊能力強，隱藏能力更強的黑客攻擊來說，擺在安全研究人員面前的第一要事是先發(fā)現(xiàn)它。

蔡晨告訴雷鋒網(wǎng)，如果跟黑客對抗，你都看不到它，那你相當(dāng)于跟它不在一個維度上，它一定會打敗你，所以安全數(shù)據(jù)的“高可見”一直是他們近年來努力的方向和目標(biāo)。

安全數(shù)據(jù)的高可見有兩個維度，一是數(shù)據(jù)夠不夠廣，我們會把終端、內(nèi)網(wǎng)的所有數(shù)據(jù)，包括所有的應(yīng)用系統(tǒng)，還有帳號類的數(shù)據(jù)全部歸結(jié)在一起，騰訊一天內(nèi)網(wǎng)有400億規(guī)模的數(shù)據(jù)，數(shù)據(jù)類型大概200多類，你只有把這些數(shù)據(jù)放到自己的眼皮底下，才會發(fā)現(xiàn)黑客到底動沒動它。

還有一個維度就是數(shù)據(jù)的深度，比如，Adwind 木馬家族所開發(fā)的木馬是沒有文件的，它會直接感染到內(nèi)存中，如果防御監(jiān)控還停留在文件級是看不到它的，這時候需要把終端的監(jiān)控下沉到進程 API 的級別，看木馬注入到哪個層面進行了 API 調(diào)用。

蔡晨介紹，這張圖是騰訊企業(yè)內(nèi)部安全人員第一時間能夠看到的，包括終端、服務(wù)器、各類應(yīng)用和出口的情況，這能告訴他們企業(yè)的網(wǎng)絡(luò)中到底發(fā)生了怎樣的安全事件。當(dāng)然，這些都依賴于強大的后臺去支撐大量的數(shù)據(jù)運算和機器學(xué)習(xí)，是由大量的規(guī)則檢測模型得出的結(jié)果。

第二是遇到緊急的情況，或者是安全危機的情況下，一定要有極速處置的能力，第一時間把風(fēng)險隔離掉。

當(dāng)收集了大量的數(shù)據(jù)后，就要解決如何對企業(yè)安全人員形成可見效應(yīng)的問題。這就像對一個廚師而言，精選的原料都備好之后，要進行加工才能實現(xiàn)食材的價值。

對于安全人員而言，要想第一時間發(fā)現(xiàn)安全事件，還要依賴于強大的后臺去支撐大量的數(shù)據(jù)運算和機器學(xué)習(xí)，即對于海量的數(shù)據(jù)進行行為分析，通過大量的規(guī)則檢測模型得出的結(jié)果。

根據(jù)分析的結(jié)果，他們會把安全事件分為高中低三個風(fēng)險級別，安全人員可以有序地對這些事件進行風(fēng)險的處置、隔離，或者是進一步排查，如果有必要，還要進行溯源工作。

安全如果設(shè)置了太多的門檻，會影響具體的業(yè)務(wù)進行嗎？

對于這問題，蔡晨和團隊采取了“云管云控”的戰(zhàn)略。

所有互聯(lián)網(wǎng)的員工都希望有一個輕量的客戶端在終端保護。他們在騰訊員工終端部署的安全系統(tǒng)上做了兩件事：一是數(shù)據(jù)的匯報，二是是云端接收和策略下發(fā)。

我們在云端分成兩朵云，一朵云是用來處理基本的策略管理和加固類策略、軟件管理策略。這些都是數(shù)據(jù)量比較輕的輕DATA，存放在公有云。

一朵云我們會把客戶端匯報的數(shù)據(jù)進行深度的分析，大數(shù)據(jù)的分析，或者平臺的一些時間窗的數(shù)據(jù)，這些數(shù)據(jù)量比較大，運算量比較大，這種胖DATA會放在私有云。

客戶端是非常瘦的形態(tài)，云是非常胖的形態(tài)，用這種方式在云端保證用戶的體驗和安全分析決策的精準(zhǔn)性。 

蔡晨告訴雷鋒網(wǎng)，經(jīng)過十幾年的構(gòu)建，他們已經(jīng)做到了從5分鐘的時間可以把所需要的數(shù)據(jù)采集到云端，在15分鐘的時間內(nèi)，云端就可以通過各種安全規(guī)則的分析，數(shù)據(jù)的挖掘和串聯(lián)，把風(fēng)險識別出來。安全人員在30分鐘內(nèi)就可以對這些風(fēng)險進行處置或隔離清理。

前期的快速處置，也為他們在接下來的一兩天內(nèi)留出時間來追查黑客、病毒木馬到底是怎么進來的，或者是信息是怎么泄露出去，以此再進行溯源工作，揪出幕后的黑手。 

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。