如果你是一名負(fù)責(zé)企業(yè)內(nèi)網(wǎng)安全的人，下面這兩段話可能會(huì)讓你心中一緊~

對(duì)于一個(gè)職業(yè)黑客，在高級(jí)木馬激活的狀態(tài)下，他只要拿到一臺(tái)PC，就完全有能力在 30 分鐘內(nèi)搞到這臺(tái) PC 服務(wù)器的賬號(hào)和密碼，還有PC上所存儲(chǔ)的 IP 段和應(yīng)用系統(tǒng)，接下來(lái)，他還可以基于 IPC 去做掃描和滲透排測(cè)，從而發(fā)現(xiàn)企業(yè)中的很多問題。

那如果再給黑客 60 分鐘的時(shí)間呢？

他可以繼續(xù)拿掉企業(yè)中更多帶有漏洞的服務(wù)器，比如那些使用同一賬號(hào)密碼的服務(wù)器，當(dāng)多臺(tái)服務(wù)器都被他掌控于手掌中時(shí)，他就可以把更多的惡意樣本傳到這些服務(wù)器上，進(jìn)行大規(guī)模攻擊。

上面這兩段話出自騰訊企業(yè) IT 部安全運(yùn)營(yíng)中心的總監(jiān)蔡晨之口。

▲蔡晨

作為騰訊企業(yè)內(nèi)網(wǎng)安全的“大管家”，蔡晨每天一睜眼就要面臨 10 萬(wàn)臺(tái) PC 和 18 萬(wàn)臺(tái)移動(dòng)端的“安保”任務(wù)，只要一臺(tái) PC 出問題，整個(gè)龐大的內(nèi)網(wǎng)可能都會(huì)因此面臨嚴(yán)峻的安全挑戰(zhàn)。

近日，在第10屆中國(guó)云計(jì)算大會(huì)的“云計(jì)算與大數(shù)據(jù)安全專題論壇”中，蔡晨分享了騰訊企業(yè)內(nèi)網(wǎng)所面臨的安全威脅和多年來(lái)他們所總結(jié)出的應(yīng)對(duì)策略。

換句話說，這是一位擁有 13 年駕照的的老司機(jī)所傳授的“爬坑指南”，他“如數(shù)家珍”地把平常會(huì)面臨的以及踩過的坑展示出來(lái)，然后還分享了如何從坑中爬出的戰(zhàn)斗經(jīng)驗(yàn)。

經(jīng)久不衰的釣魚郵件

堡壘最容易從內(nèi)部被攻破，蔡晨把針對(duì)企業(yè)內(nèi)部員工的釣魚郵件視為第一大威脅。

與廣告郵件和垃圾郵件不同，釣魚郵件往往是針對(duì)HR、財(cái)務(wù)、高管等高價(jià)值人員，這種經(jīng)典的攻擊手法之所以多年來(lái)經(jīng)久不衰，原因有兩點(diǎn)：

1. 黑客很容易搞到目標(biāo)對(duì)象的郵箱，比如 HR 的郵箱即使對(duì)于普通人而言也很容易搜到；
   

2. 這種郵件可以依照目標(biāo)對(duì)象的身份進(jìn)行精準(zhǔn)的投遞，比如把帶有木馬的簡(jiǎn)歷附件直接發(fā)到 HR 的郵箱中，把名為報(bào)銷票據(jù)的附件發(fā)到財(cái)務(wù)人員的郵箱中，讓對(duì)方更容易中招。

近年來(lái)，勒索病毒是釣魚郵件的常見套路之一，據(jù)蔡晨介紹，早在 Wannacry 和 Petya 爆發(fā)之前的一年，一個(gè)名為 locky 的勒索病毒就曾嘗試攻擊過騰訊的內(nèi)網(wǎng)。

黑客向受害者郵箱發(fā)送帶有惡意 word 文檔的郵件，word 文檔中包含有黑客精心構(gòu)造的惡意宏代碼，受害者打開 word 文檔并運(yùn)行宏代碼后，主機(jī)會(huì)主動(dòng)連接指定的 web 服務(wù)器，下載 locky 惡意軟件到本地 Temp 目錄下，并強(qiáng)制執(zhí)行。locky 惡意代碼被加載執(zhí)行后，主動(dòng)連接黑客 C&C 服務(wù)器，執(zhí)行上傳本機(jī)信息，下載加密公鑰。

那時(shí)，由于勒索病毒并不普及，出現(xiàn)第一波的時(shí)候，各家企業(yè)還沒有做好防御的措施，導(dǎo)致不少企業(yè)中招。

當(dāng)時(shí)在某寶上竟然還出現(xiàn)了公開出售 locky 解密密鑰的商店，可想而知中招的企業(yè)其實(shí)并不在少數(shù)。

此外，黑客還可以通過釣魚郵件植入比較高級(jí)的后門，一個(gè)名為“Adwind”的高級(jí)木馬家族就曾持續(xù)對(duì)騰訊進(jìn)行定點(diǎn)的釣魚攻擊，而且針對(duì)的都是高管、財(cái)務(wù)等重要崗位，它會(huì)根據(jù)目標(biāo)對(duì)象的身份而發(fā)送不同的郵件，誘使相關(guān)人員進(jìn)行點(diǎn)擊。

雷鋒網(wǎng)發(fā)現(xiàn)，Adwind 以其很強(qiáng)的跨平臺(tái)適應(yīng)性而聞名，而且具有多種攻擊功能，包括收集用戶鍵盤輸入內(nèi)容、竊取緩存的密碼、從網(wǎng)頁(yè)表單中抓取數(shù)據(jù)、截屏、通過網(wǎng)絡(luò)攝像頭拍照和錄制視頻、通過麥克風(fēng)錄音、傳輸文件、收集系統(tǒng)和用戶信息、竊取加密貨幣錢包密匙、管理手機(jī)短息以及竊取 VPN 證書。

據(jù)蔡晨介紹，這兩種釣魚方式其實(shí)并不只針對(duì)騰訊，但是作為國(guó)內(nèi)體量最大的互聯(lián)網(wǎng)公司之一，他們經(jīng)常是最早一波受到攻擊的企業(yè)之一，如果做不好防御措施，后果可想而知。

軍工木馬平民化

除釣魚郵件的攻擊外，近年來(lái)越來(lái)越盛行的軍工類高級(jí)木馬也成為重要威脅之一，而且近兩年正在走向平民化，這就猶如越來(lái)越多的平民手中也有了能造成巨大殺傷力的核武器。

相比于平常所見到的挖礦、勒索、蠕蟲類的廣譜木馬，軍工級(jí)木馬完美詮釋了什么叫“人狠話不多”，不僅隱蔽性強(qiáng)，而且殺傷力巨大。

蔡晨介紹，近兩年一些高價(jià)值的漏洞，甚至是一些從來(lái)沒有被公開的漏洞正在互聯(lián)網(wǎng)上進(jìn)行開放，通過騰訊內(nèi)網(wǎng)安全團(tuán)隊(duì)與騰訊電腦管家團(tuán)隊(duì)、以及安全平臺(tái)部合作進(jìn)行的研究，他們發(fā)現(xiàn)很多對(duì)企業(yè)邊界穿透力非常強(qiáng)的DNS隧道木馬。

比如，去年對(duì)整個(gè)行業(yè)影響比很大的 Xshell 供應(yīng)鏈?zhǔn)侥抉R。

2017年8月，NetSarang 系列軟件的關(guān)鍵網(wǎng)絡(luò)通信組件 nssock2.dll 被植入了惡意代碼，廠商在發(fā)布軟件時(shí)并未發(fā)現(xiàn)惡意代碼，并給感染組件打上了合法的數(shù)字簽名隨新版軟件包一起發(fā)布。

用戶機(jī)器一旦啟動(dòng)軟件，將會(huì)加載組件中的惡意代碼，將主機(jī)的用戶信息通過特定 DGA （域名生成算法）產(chǎn)生的 DNS 域名傳送至黑客的遠(yuǎn)程命令控制服務(wù)器，同時(shí)黑客的服務(wù)器會(huì)動(dòng)態(tài)下發(fā)任意的惡意代碼至用戶機(jī)器執(zhí)行。

這造成的后果是，一些開發(fā)人員以為他們只是從互聯(lián)網(wǎng)上下載了一個(gè)普通的運(yùn)維工具進(jìn)行軟件的開發(fā)，但一開始這個(gè)工具就是被植入過后門的，這個(gè)后門在通過 DNS 隧道進(jìn)行啟發(fā)激活后，能進(jìn)行遠(yuǎn)端操控，這兩年，這種植入方式是越來(lái)越普遍。

由于該系列軟件在國(guó)內(nèi)的程序員和運(yùn)維開發(fā)人員中被廣泛使用，多用于管理企事業(yè)單位的重要服務(wù)器資產(chǎn)，所以黑客極有可能進(jìn)一步竊取用戶所管理的服務(wù)器身份驗(yàn)證信息，秘密入侵相關(guān)機(jī)構(gòu)竊取數(shù)據(jù)。

與普通的木馬相比，軍工級(jí)木馬的啟動(dòng)方式、隱藏方式、抗檢測(cè)能力都非常出眾，而且功能很全，不僅可以繞過市面上絕大多數(shù)的殺軟檢測(cè)，而且對(duì)于內(nèi)網(wǎng)的穿透力非常強(qiáng)。

發(fā)現(xiàn)、處置、溯源

對(duì)于攻擊能力強(qiáng)，隱藏能力更強(qiáng)的黑客攻擊來(lái)說，擺在安全研究人員面前的第一要事是先發(fā)現(xiàn)它。

蔡晨告訴雷鋒網(wǎng)，如果跟黑客對(duì)抗，你都看不到它，那你相當(dāng)于跟它不在一個(gè)維度上，它一定會(huì)打敗你，所以安全數(shù)據(jù)的“高可見”一直是他們近年來(lái)努力的方向和目標(biāo)。

安全數(shù)據(jù)的高可見有兩個(gè)維度，一是數(shù)據(jù)夠不夠廣，我們會(huì)把終端、內(nèi)網(wǎng)的所有數(shù)據(jù)，包括所有的應(yīng)用系統(tǒng)，還有帳號(hào)類的數(shù)據(jù)全部歸結(jié)在一起，騰訊一天內(nèi)網(wǎng)有400億規(guī)模的數(shù)據(jù)，數(shù)據(jù)類型大概200多類，你只有把這些數(shù)據(jù)放到自己的眼皮底下，才會(huì)發(fā)現(xiàn)黑客到底動(dòng)沒動(dòng)它。

還有一個(gè)維度就是數(shù)據(jù)的深度，比如，Adwind 木馬家族所開發(fā)的木馬是沒有文件的，它會(huì)直接感染到內(nèi)存中，如果防御監(jiān)控還停留在文件級(jí)是看不到它的，這時(shí)候需要把終端的監(jiān)控下沉到進(jìn)程 API 的級(jí)別，看木馬注入到哪個(gè)層面進(jìn)行了 API 調(diào)用。

蔡晨介紹，這張圖是騰訊企業(yè)內(nèi)部安全人員第一時(shí)間能夠看到的，包括終端、服務(wù)器、各類應(yīng)用和出口的情況，這能告訴他們企業(yè)的網(wǎng)絡(luò)中到底發(fā)生了怎樣的安全事件。當(dāng)然，這些都依賴于強(qiáng)大的后臺(tái)去支撐大量的數(shù)據(jù)運(yùn)算和機(jī)器學(xué)習(xí)，是由大量的規(guī)則檢測(cè)模型得出的結(jié)果。

第二是遇到緊急的情況，或者是安全危機(jī)的情況下，一定要有極速處置的能力，第一時(shí)間把風(fēng)險(xiǎn)隔離掉。

當(dāng)收集了大量的數(shù)據(jù)后，就要解決如何對(duì)企業(yè)安全人員形成可見效應(yīng)的問題。這就像對(duì)一個(gè)廚師而言，精選的原料都備好之后，要進(jìn)行加工才能實(shí)現(xiàn)食材的價(jià)值。

對(duì)于安全人員而言，要想第一時(shí)間發(fā)現(xiàn)安全事件，還要依賴于強(qiáng)大的后臺(tái)去支撐大量的數(shù)據(jù)運(yùn)算和機(jī)器學(xué)習(xí)，即對(duì)于海量的數(shù)據(jù)進(jìn)行行為分析，通過大量的規(guī)則檢測(cè)模型得出的結(jié)果。

根據(jù)分析的結(jié)果，他們會(huì)把安全事件分為高中低三個(gè)風(fēng)險(xiǎn)級(jí)別，安全人員可以有序地對(duì)這些事件進(jìn)行風(fēng)險(xiǎn)的處置、隔離，或者是進(jìn)一步排查，如果有必要，還要進(jìn)行溯源工作。

安全如果設(shè)置了太多的門檻，會(huì)影響具體的業(yè)務(wù)進(jìn)行嗎？

對(duì)于這問題，蔡晨和團(tuán)隊(duì)采取了“云管云控”的戰(zhàn)略。

所有互聯(lián)網(wǎng)的員工都希望有一個(gè)輕量的客戶端在終端保護(hù)。他們?cè)隍v訊員工終端部署的安全系統(tǒng)上做了兩件事：一是數(shù)據(jù)的匯報(bào)，二是是云端接收和策略下發(fā)。

我們?cè)谠贫朔殖蓛啥湓?，一朵云是用?lái)處理基本的策略管理和加固類策略、軟件管理策略。這些都是數(shù)據(jù)量比較輕的輕DATA，存放在公有云。

一朵云我們會(huì)把客戶端匯報(bào)的數(shù)據(jù)進(jìn)行深度的分析，大數(shù)據(jù)的分析，或者平臺(tái)的一些時(shí)間窗的數(shù)據(jù)，這些數(shù)據(jù)量比較大，運(yùn)算量比較大，這種胖DATA會(huì)放在私有云。

客戶端是非常瘦的形態(tài)，云是非常胖的形態(tài)，用這種方式在云端保證用戶的體驗(yàn)和安全分析決策的精準(zhǔn)性。 

蔡晨告訴雷鋒網(wǎng)，經(jīng)過十幾年的構(gòu)建，他們已經(jīng)做到了從5分鐘的時(shí)間可以把所需要的數(shù)據(jù)采集到云端，在15分鐘的時(shí)間內(nèi)，云端就可以通過各種安全規(guī)則的分析，數(shù)據(jù)的挖掘和串聯(lián)，把風(fēng)險(xiǎn)識(shí)別出來(lái)。安全人員在30分鐘內(nèi)就可以對(duì)這些風(fēng)險(xiǎn)進(jìn)行處置或隔離清理。

前期的快速處置，也為他們?cè)诮酉聛?lái)的一兩天內(nèi)留出時(shí)間來(lái)追查黑客、病毒木馬到底是怎么進(jìn)來(lái)的，或者是信息是怎么泄露出去，以此再進(jìn)行溯源工作，揪出幕后的黑手。 

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。