騰訊安全近期將復(fù)盤2022年典型的攻擊事件，幫助企業(yè)深入了解攻擊手法和應(yīng)對(duì)措施，完善自身安全防御體系。

本篇是第三期，用一個(gè)實(shí)際案例講述了企業(yè)在面臨攻擊時(shí)，如何才能及時(shí)準(zhǔn)確找到攻擊源頭，知曉“我被誰用什么漏洞攻擊了”，及時(shí)封堵漏洞，避免重大安全事故的發(fā)生。

“沒有，但是他們發(fā)來了一個(gè)采購訂單?！敝芄?。

這是一個(gè)發(fā)生在今年4月初的安全應(yīng)急響應(yīng)故事。

時(shí)間一分一秒過去，入侵源遲遲沒有封堵住，攻擊者已經(jīng)在進(jìn)行內(nèi)網(wǎng)橫移嘗試。安全負(fù)責(zé)人劉總工意識(shí)到了問題的嚴(yán)重性，如果不能及時(shí)溯源找到攻擊入口并及時(shí)收斂漏洞，最終的結(jié)果無外乎三種：被“脫褲”，被加密勒索，或者更可怕——潛伏起來什么也不做，等待重要的業(yè)務(wù)節(jié)點(diǎn)再發(fā)出致命一擊。

劉總工立即組織了安全運(yùn)營(yíng)團(tuán)隊(duì)進(jìn)行緊急排查，但仍沒有找到攻擊源頭，攻擊還在繼續(xù)，并且影響范圍是未知的“黑盒”，眼前一抹黑的情況更加劇了事態(tài)嚴(yán)重性。4小時(shí)后，主機(jī)安全服務(wù)的廠商（客戶使用的某老牌主機(jī)安全產(chǎn)品）負(fù)責(zé)應(yīng)急響應(yīng)的2位工程師也到了現(xiàn)場(chǎng)，他們和駐場(chǎng)的專家一起，加入了排查的隊(duì)伍。

在一個(gè)空曠的被辟為“臨時(shí)作戰(zhàn)室”的會(huì)議室里，2位工程師打開電腦登陸了主機(jī)安全運(yùn)營(yíng)后臺(tái)，根據(jù)攻擊者留下的蛛絲馬跡，順藤摸瓜排查可疑的機(jī)器。他們?cè)趯懩_本，十幾個(gè)客戶IT和業(yè)務(wù)部門的人時(shí)不時(shí)地踱到他們身后看看。

“所有機(jī)器一臺(tái)臺(tái)上去看，從哪臺(tái)打過來的，然后順著這個(gè)IP走到另外一臺(tái)機(jī)器，然后繼續(xù)看、繼續(xù)分析，看他從哪進(jìn)來的，留下什么日志、做了些什么行為。但是有時(shí)候那些機(jī)器上面并沒有那么完善的日志、記錄，只能憑少數(shù)一些異常登錄或者行為來定位它是怎么進(jìn)來的，整個(gè)過程就會(huì)很復(fù)雜?！币晃唤?jīng)驗(yàn)豐富的安全專家分析道。

（常見APT入侵路徑，由于入侵者會(huì)刪除日志，隱藏攻擊路徑，造成安全溯源往往會(huì)費(fèi)時(shí)費(fèi)力)

他詢問了幾個(gè)基礎(chǔ)問題，心中有了大概，立馬電話搖人，找到兩位熟諳此類問題解決之道的專家周工和吳工進(jìn)群。時(shí)間緊急，也沒有寒暄，直接發(fā)了一個(gè)線上會(huì)議鏈接。20分鐘后，他們已經(jīng)了解了客戶目前的IT環(huán)境和受攻擊情況。

吳工和周工沒有開口講述之前，小編的腦海里出現(xiàn)的畫面是一隊(duì)人火急火燎趕高鐵、飛機(jī)奔赴客戶現(xiàn)場(chǎng)，一頭扎進(jìn)機(jī)房，甚至晚上在機(jī)房外面扎個(gè)行軍床。今年疫情反復(fù)，到處都是異地來訪隔離5+3天，他們能順利趕到一線嗎？

“客戶是在哪個(gè)城市？是在北京嗎？”小編。

“也許？不知道?！敝芄ぁ?/p>

“你們都沒有去客戶現(xiàn)場(chǎng)嗎？”小編。

“不需要啊，我們是云原生的漏洞分析引擎，只需要客戶把基礎(chǔ)信息提供給我們，我們就能分析出來?！敝芄?。

預(yù)想中的這一切兵荒馬亂都沒有發(fā)生，從接到需求到找到攻擊源，周工他們總共花費(fèi)了不到1小時(shí)。這得益于一個(gè)叫WeDetect的自動(dòng)化漏洞分析引擎，它一方面掌握了云上幾乎所有公開已知的漏洞，客戶如果存在這些已知漏洞，能很快被找出來；而對(duì)于那些未披露的0day漏洞，WeDetect則從其攻擊行為上能判斷出異常，并發(fā)出預(yù)警。

“一個(gè)算力遠(yuǎn)勝于人腦、7*24小時(shí)不眠不休的機(jī)器，查找起漏洞自然快很多。”吳工說。

數(shù)據(jù)排查完畢后，吳工把排查結(jié)果以及WeDetect如何發(fā)現(xiàn)這個(gè)攻擊源的數(shù)據(jù)反饋給了客戶，客戶眼前一亮，當(dāng)即下了一個(gè)對(duì)于SaaS服務(wù)來說數(shù)額很可觀的訂單。而對(duì)于該企業(yè)來說，這也許是他們采購流程里最快的項(xiàng)目之一，但肯定也是說服力最毋庸置疑的項(xiàng)目之一。

另外一次是某個(gè)關(guān)基企業(yè)被勒索，他們被叫到現(xiàn)場(chǎng)時(shí)，很多老牌安全廠商的專家團(tuán)隊(duì)都已經(jīng)在待命了，場(chǎng)面堪稱中國網(wǎng)絡(luò)安全的“夢(mèng)之隊(duì)”。夢(mèng)之隊(duì)花費(fèi)了數(shù)個(gè)小時(shí)終于還原了攻擊路徑，但對(duì)于已經(jīng)加密的數(shù)據(jù)是無計(jì)可施的，所幸他們從一臺(tái)機(jī)器上找到一個(gè)多月前的備份數(shù)據(jù)進(jìn)行了手動(dòng)恢復(fù)。

從Solarwinds事件以來，這兩年密集地涌現(xiàn)了Log4j、Springboots、node-ipc包供應(yīng)鏈投毒等各種現(xiàn)象級(jí)的安全事件，在官方發(fā)布漏洞公告到國內(nèi)外安全廠商推出響應(yīng)措施之前，中間有一段“真空時(shí)間”是黑產(chǎn)作案的黃金時(shí)期，但卻是企業(yè)的噩夢(mèng)期，很多客戶不知道機(jī)器為什么被攻陷、攻擊者打到了哪里，騰訊安全的專家服務(wù)團(tuán)隊(duì)一次又一次次接到客戶的應(yīng)急訴求。

在這樣的事情重復(fù)發(fā)生多次，以及2020年以來疫情防控導(dǎo)致出差的不便利之后，周工、吳工團(tuán)隊(duì)開始琢磨：如何才能擺脫被動(dòng)應(yīng)急的局面，提升威脅的主動(dòng)發(fā)現(xiàn)能力？

要解決這個(gè)問題，騰訊安全有幾個(gè)天然的便利：依托騰訊云和豐富的云原生產(chǎn)品，聯(lián)合云上各安全產(chǎn)品日志、主機(jī)異常行為數(shù)據(jù)、攻擊流量數(shù)據(jù)，騰訊能更全面地掌握云上的最新攻擊態(tài)勢(shì)；其次，騰訊擁有豐富的實(shí)戰(zhàn)攻防經(jīng)驗(yàn)，無論是內(nèi)部例行的攻防演練，還是各類重保項(xiàng)目中歷練出來的藍(lán)軍攻擊手法，能夠?qū)崿F(xiàn)知己知彼?！白约壕褪枪絷?duì)，我平時(shí)攻擊會(huì)怎么打，就把這些經(jīng)驗(yàn)轉(zhuǎn)換成對(duì)應(yīng)的模型落地到引擎里面去?！?/p>

前后歷時(shí)半年，WeDetect 逐漸成形。騰訊 WeDetect 云上威脅狩獵引擎，是騰訊安全基于云原生的自動(dòng)化漏洞攻擊事件檢測(cè)、關(guān)聯(lián)、響應(yīng)引擎。結(jié)合入侵事件中產(chǎn)生的多維度數(shù)據(jù)，實(shí)時(shí)自動(dòng)化對(duì)攻擊事件的關(guān)聯(lián)、分析、定性。目前 WeDetect 已捕獲到造成云上機(jī)器失陷的數(shù)百個(gè)已公開漏洞，以及數(shù)十個(gè)未公開漏洞的利用。wedetect能力已經(jīng)賦能到云鏡攻擊檢測(cè)模塊，在實(shí)錘漏洞入侵的同時(shí)，也展示給客戶嘗試入侵的攻擊，彌補(bǔ)了東西向流量入侵檢測(cè)的能力。

“這個(gè)感知是很強(qiáng)烈的，就好像經(jīng)歷過高考的每個(gè)人都知道670分是什么價(jià)值，夠上個(gè)985還是211?？蛻舳鄶?shù)對(duì)于漏洞排查有切身經(jīng)驗(yàn)，在經(jīng)歷了那么長(zhǎng)時(shí)間手工時(shí)代，他們看到我們不用去現(xiàn)場(chǎng)也能很快地通過自動(dòng)化地分析出問題所在，對(duì)他們的觸動(dòng)是很大的。這也直接促成了我們一些商機(jī)轉(zhuǎn)化?！眳枪ふf道。

就在我們發(fā)稿時(shí)，WeDetect這個(gè)不眠不休的千里眼和順風(fēng)耳，也正在持續(xù)偵查著云上的漏洞利用情況“風(fēng)聲”。