生死之战:我不是黑客,我的对手却比黑客还厉害 – 作者:青藤云安全

  

  我,是一个在甲方企业做了十多年安全工作的老炮。早年看着那些神秘、技术高超、无所不能的黑客,他们随心所欲地在互联网上进行迫害,激发了我内心正义的信念,于是就加入了安全守护者队伍。从刚毕业时的青涩菜鸟,到现如今成为人们口中的安全老司机,虽然我对各方面的安全技术都有所了解,但是与“黑客”还不在一个层级世界。因为敌强我弱,所以每天都过得如履薄冰,不敢懈怠。

  因为,我知道作为安全的守护者,需要100%确保不出错,而攻击者只要抓住任何一次机会都能置我于死地。因此需要我时刻紧绷神经,准备处理各种突发事件。

  怀着敬畏之心上战场

  很多时候,安全人员所建立起来的“城墙防御”,在黑客眼中就犹如积木堆的城堡,伸出小手轻轻一碰顷刻间就崩塌了。作为一个安全老兵,我深刻明白用有限的资源去对抗无限攻击,天然的处于劣势。安全人员都害怕自己苦心经营的防线会被黑客以摧枯拉朽之势毁灭。

  其实这种害怕来源于攻防不对等,来源于对未知事情恐惧。防守者永远不知道下次攻击会在何时发起,又会从何处入手。这种感觉就像你不知道黎明什么时候会到来,漫漫黑夜会给你带去无尽的恐惧,甚至是吞噬你的灵魂。

  很多时候,受限于人才、技术、资金等各种方面因素,安全从业者常常感到力不从心。例如,当你想用堡垒机解决Linux服务器弱密码时,却被黑客轻松绕过;当你要求所有应用关键步骤加token,同事却问你token是什么;当你解决了CSRF 反射XSS的时候,却被通报“任意密码重置”…….还有各种层出不穷的漏洞风险,更是让你防不胜防。在这样的处境之下,即便我们天生要强,但是内心也害怕。

  可能有血气方刚的人会认为我这是长他人志气,作为正义代表怎能承认自己害怕作为反面角色的黑客呢?但是我并不这么认为,恐惧和害怕让自己常怀敬畏之心,继而方得始终。

timg (3).jpg

  从事安全工作十多年,处理过大大小小的安全事件不计其数。但要说印象最深刻一次行动,当属今年6月的X行动。我相信每个安全从业者都对它有着刻骨铭心的记忆。那短短十几天时间,仿佛自己过了好几个月。这期间感觉就像住在茅草屋中,外面野兽成群,自己却手无寸铁。当听到狼嚎的时候,明知道凶狠的獠牙离你不远了,却不知道该怎么办。更可怕是,不知道它什么时候会冲进来,撕碎所有一切。

  面对十几支攻方团队,要说不害怕是不可能的。但既然选择了这条道路,只能选择坚持,加强自身安全防护能力。因此,从前期队伍建设、攻防演练、复盘总结到行动期间对抗、全天候监控等,我不敢有丝毫懈怠。

  在行动前,我们召开了项目启动会,明确本次行动保护目标系统、团队整体工作流程、组织架构等信息。也许是因为谨慎和敬畏之心拯救了自己,在本次行动中我们公司也取得了不错的成绩。

  凡事预则立,不预则废

  在行动前期我们举办了一场为期一周且贴近实战的攻防演练,邀请了安全圈实力最强的公司扮演攻方角色,而守方阵营也几乎囊括市场上所有主流安全厂商。

  虽说是演练,但也投入了十足的准备。在演练前期,我们进行了详细的资产梳理工作。同时对于资产存在的一些通用性风险,比如弱口令、漏洞、补丁等风险项进行逐一排查,其中光补丁修复就高达几十万个。

timg (4).jpg

  有人可能会认为我们日常补丁修复工作做的太差了。针对打补丁,作为甲方安全人员,也有我们自己的痛。比如国内某安全厂商“漏扫”产品被称为中国最好的漏扫工具。但是,我们却不敢用,因为误报率高得让你怀疑人生。举个简单例子,通过传统的漏扫产品检测OpenSSL,只能检测到大版本号,却不能检测得到小版本号。通常情况下,报出50个OpenSSL补丁,可能只有一个是真实存在的,其它都属于误报。高误报会消耗我们大量的精力而导致忽略了那些真正的威胁。因此,我们基本上每季度才会用该产品扫描一次。除了误报率高,传统的漏扫产品检测效率也非常低下,而且每次检测都需要重新登录,面对大量主机设备这并非易事。高误报、低效率导致一般甲方用户都不爱用这类漏扫产品,因此后期漏洞的修复进度也就基本上无法跟进。后期,我们选择了青藤的主机漏洞扫描功能。通过在服务器内装Agent,不仅扫描速度快,而且误报率低,也比较精准发现了脏牛、Struts2等漏洞。

  原以为有序完成主机资产梳理、补丁修复、漏洞扫描等工作后,足以应对一般攻防演练。让我没想到,千里之堤,溃于蚁穴。演练期间居然因为一个弱口令,就让前期苦心经营的所有防线瞬间垮台。直到后来,在攻防演练结束后的复盘总结会上,针对这次攻击,攻方人员详细讲解所用的攻击手段和攻陷目标,才明白攻击方是如何通过一个弱密码打穿整条防线。

  原来,在演练期间攻方团队发现公司VPN存在名为test测试账号,并且是弱密码。更可怕是,其中有一个测试账号能直接连接到生产网。攻击方正是通过VPN弱口令,进入总部业务生产区拿到了公司核心邮件服务器的权限,也获得了部分服务器管理员的账号密码。

  在这件事之后,一向淡定的上级领导终于也坐不住了,下命令要求各处室所有服务器运维人员,针对青藤上报的所有风险进行无条件修复,包括安全补丁、漏洞检测、账号风险、系统风险、应用分析、弱口令等等。

  练兵三月,用兵一时

  众所周知,所有演习基本都有预定方案,结果也比较容易掌控。但是进入真刀真枪实战之后,结果往往就很难预测了。为了应对更多不可控因素,行动开始后,我们安排了更强大的守方团队。

timg (5).jpg

  公司建立了立体防御战线。一线人员基本是公司自己人,二线则是各大厂商技术支持人员。与此同时,一线人员采取24小时无间断值班制度。所有安全设备都有专门值守人员进行实时监控。不论一线还是二线人员,一旦发现异常情况,第一时间相互同步信息,并上报服务器管理员进行确认。整个响应流程前期也经过多次训练,不同人员相互配合也非常默契。

  从行动开始,补丁修复变得异常重要,庆幸前期已经完成了大部分补丁修复。即便如此,按上级指示,每天尽可能修复补丁并同步修复进度,同时,放开所有服务器权限申请,可以在任何时间进行修复。所有一线人员每天在早上9点,进行复盘总结补丁的修复情况。

  但是即便准备如此充分,在行动第一天就被打脸了。公司某业务系统被上传了多个WebShell。庆幸的是,该后门被上传后,第一时间就被我们盟友青藤云安全发现,并上报安全人员及时删除。后期经过分析,发现该服务器上居然有上百个WebShell,其中很大一部分是历史遗留下来的。

  整个行动期间24小时绷紧神经,到最后一周的时候,大家的脑力和体力都已经达到了极限。但是这个时候,也是攻方最好下手的时候。甚至,攻方不停传出消息,XX单位已经被攻陷。那个时候的我几乎处于崩溃边缘,害怕自己前功尽弃,明天醒来就已经“阵亡”。也许是上天总是眷顾努力和勤奋的人,最后几天我们没有成为攻方照顾对象。

  生死之战已结束,未来对抗才开始

  今年行动计划虽已结束,但未来对抗却才刚开始。我们不能祈祷黑客手下留情,唯一能做就是增强自身实力。而通过真刀真枪的对抗,远比纸上谈兵来得有效,比如通过红队评估、渗透测试等来增强自身安全能力。

  红队评估模拟了一个恶意攻击者,在攻击过程中会尽可能避开检测工具。红队将会以任何可能的方式,悄无声息地进入组织机构并获取敏感信息。红队的评估通常也比渗透测试的持续时间长。渗透测试通常在1-2周内进行,而红队的评估可能在3-4周或更长时间内进行,并且由多人团队组成。

  在红队评估中使用的方法包括社会工程(物理和电子)、无线、外部入侵等各种方法。当然,红队评估比较适合那些具有完整、成熟安全团队的企业,这些企业组织经常进行渗透测试,修补了大多数漏洞。通过红队评估,能较好检测企业机构的检测和响应能力,可以进一步提升企业应对黑客攻击的能力。

  最后青藤云安全想说:安全永无止境,只能谨慎前行!

来源:freebuf.com 2019-08-14 12:05:26 by: 青藤云安全

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论