本文是 WOT2016互联网运维与开发者大会 的现场干货,新一届主题为 WOT2016企业安全技术峰会 将在2016年6月24日-25日于北京珠三角JW万豪酒店隆重召开!
在今年4月份举行的WOT2016互联网运维与开发者大会的运维安全专场中,来自知道创宇的锅涛为大家带来了题为《云安全助力轻安全运维》的演讲。他对传统的安全运维进行了深入的剖析,阐述了安全运维工作的挑战与困惑,分析了黑客攻击的那些入口以及存在的安全隐患,并在最后介绍了知道创宇如何利用云安全助力轻安全运维。
安全运维工作的对象有很多,比如网络承载IPS、防火墙、AV、网关等。当运维人员开始运维诸多的安全产品的时候,第一要保证安全产品的正常运行,第二,针对发生的安全事件进行深入分析,需要面对海量的日志。陈旧的架构使得我们获取所需数据需要花费大量事件,迫使运维者在效率和数据之间进行选择,这就是比较常见的安全运维困惑之一。而且安全事件本身并不能提供足够多的上下文信息以识别现在愈来愈高级的威胁,复杂的产品部署方式及管理方式使得安全运维成本飞涨。
面对很多的网络设备和安全设备,当安全事件发生,黑客从企业边界进入到最终的核心数据中心,需要通过很多防火墙、邮件网关的过滤,而这每一层过滤都会产生一些日志。当运维人员进行安全定位时,一定要做关联性的分析,产生海量的日志。
现在安全的运维现状依旧是停留在分析日志,当发生安全事件后,运维人员还要去做事后的追溯。当发生问题的时候,需要搜索事件,统计一下事件发生的频率。然而可能通过日志分析,还是无法去快速的定位问题,因为日志量太多了,工作效率就会降低,而领导会一天或者每时每分都会问你事件处理的进度,但是我们还在分析日志。为什么要分析海量日志呢?分析日志其实就是要分析一下这次黑客入侵,黑客是否拿走了敏感数据,或者这次入侵事件是不是通过分析日志可以发现一些安全隐患。总结一下,主要包含以下几个问题的处理:
我有没有与低信誉的机器进行通信?
哪些通信没有被阻止?
有哪些具体的服务器、客户端、设备被入侵?
有哪些用户账号被泄露?
这些被泄露的账号都被用来做了什么?
我该如何反应?
其实在做安全运维的时候,我们先要了解黑客攻击的入口。如果你不了解黑客攻击的入口,那你就没法去很快速的进行黑客攻击行为的阻拦。大家可以看一下,当我们了解了黑客攻击的入口,整个防护就很简单。
首先,安全运维辅助于企业的业务发展,而业务发展可能会存在很多的入口。比如:通过应用前端对业务进行访问时,做表单提交,商品采购,这时应用的入口是否安全呢?再有,如果为了业务的快速发展,企业推出了APP的访问,每个APP访问的时候,都会有一个API的访问接口,这个接口是不是做了防护呢?再比如,为了快速推广,企业注册运行了官方的微信公众号,那公众号对应的防护工作你有没有做,或者说是做安全监测你有没有做?等等很多入口都可能带来安全风险。
总之,如果企业在第三方授权登陆的地方,没有做好一个安全的管控,黑客就可以实施入侵。比如说他可以通过授权登陆的时候,直接劫持企业授权登陆的用户名和密码。还有,因为业务前端一些中间件包括其他的数据库,一些测试开发环境,也有可能在跟正常业务系统进行数据交互,企业是不是也做了安全防护?这是正常的用户入口,其实也是黑客的入口。
基于黑客的入口,我们可以发现哪些安全隐患,你是不是做过梳理?
对此,知道创宇做了一个比较详细的一个安全隐患的梳理,如下图:
第一种是DDoS攻击。我们知道,黑客也分级别,一般初级黑客常发起的攻击就是图中第一部分DDoS攻击。因为现在DDOS攻击的成本越来越低,一个G的DDOS,50块钱就可以买一个小时。
第二种是应用层的代码级漏洞。大家知道应用层的代码级漏洞,可能是开发者本身他遗漏的安全隐患。但是这个隐患发生之后,背锅的可能是我们的安全运维工程师。这个时候,你要是不知道安全,就是应用层级代码漏洞的话,你怎么去做防护,包括如果说因为开发者造成的隐患,你没有做防护的话,是不是可能自己的信息就丢掉?另外,注入类攻击也是最严重的,因为注入真的让我们防不胜防,而且注入攻击一直在衍生,不但有cookle注入,还有OS注入。注入类攻击其实有很多,而不局限于cookle注入。同时还有XSS漏洞,包括需要的身份认证和会话管理,这些你是不是都了解他漏洞利用的原理。包括我们怎么去防护,你是不是都够了解。
第三种是第三方应用程序漏洞。因为开发者在开发程序时,业务搭建时,可能会使用第三方开源的工具。这些第三方应用程序发生漏洞的时候,怎么去做防护?例如:struts2漏洞,可能大家如果说作为安全运维的话,应该都知道这个漏洞当时在安全之间的影响也非常大。在13年的时候,这个漏洞波及的网站数量也非常多,因为当时我们用的开发代码,PHP还是比较多的。同时这个漏洞可能本身问题不大,但是基于它黑客就可以上传攻击脚本,就可以对你的网站进行所有权的控制。
第四种是微信第三方的API接口。攻击者可以利用第三方的API接口,对已授权登陆用户进行一个劫持。劫持之后,攻击者可以对所有的账户里对应的资产进行清洗,比如说支付通道类的。然后,攻击者就可以拿到一些虚拟资产。还有就是APP端的应用程序漏洞。
第五种是业务逻辑安全性。其实业务逻辑安全性一直是围绕着业务展开的一个漏洞利用。最常见的就是任意的用户密码重置、修改,包括查询,修改等问题。你是不是做了一些安全防护?
第六种是还有网站业务安全问题以及运维或者开发者造成的安全问题。就是基于网站业务的安全性。可能大家最近听说过最多的就是薅羊毛。薅羊毛的时候,会把所有公司运营所使用的一些新用户注册的体验金、红包、反利金,包括邀请的一些额外奖励,都全部被羊毛党刷走。包括大家危言耸听的一些事件,就是零元订票、一元买手机,这些都是业务安全性。
最后一种就是我们的运维和开发者造成的一些安全隐患。例如:为了快速去做一些满足开发人员的一些测试,我直接会去配置一些信息,而配置的时候,没有去考虑安全性,就会造成配置不当。
了解了黑客的入口,黑客利用入口存在的安全隐患,那么黑客利用安全隐患是如何发动攻击的呢?
大家可以看上面这张图,其实这张图也是非常有典型性的。当黑客真的想对你的网站发动攻击的时候,他可能对你的网站前期进行了信息采集,包括他肯定不是一个人能够搞定的。如果说他想真的拿下一个安全性比较高网站的时候,他绝对不是一个人搞,肯定是有很多人。那么在攻的时候,不是持续一天,可能是持续两到一周,非常的长。大家可以看,黑客攻击的时候,先对你的网站进行信息采集,去看一下你的网站开放哪些端口,包括你的子域名是不是都放在公网上面,同时去看一下源代码是不是泄漏了。那么收集完信息之后,做定向的攻击,就是做扫描。那么扫描的时候,刚才说了注入类攻击也是非常频繁的,包括XS漏洞,他们会快速的去扫描网站,之后进行大规模的cookle注入,包括XS漏洞利用。同时如果说发现了利用传统漏洞,无法攻向你的网站,攻击者会使用DDOS,DDOS可能来自于PC端,也可能来自于移动端。
当你的网站遭受了黑客攻击,你还在做什么呢?可能就是在分析日志,安全工程师认为最快速的去定位问题的时候,就是分析日志。而日志都是我们事后拘束的一个参考的文本。日志又非常的多,但是老板一直在催,你这个事件什么时候帮我去处理,包括解决方案是什么,你都可能在分析日志的阶段,包括报告什么的还没有形成,这就是我们传统运维面临的一个弊端。
锅涛表示:“面对传统的安全运维存在的一些弊端,我们真正要做的事先防御而不是事后分析。”并介绍说,知道创宇通过集结八年的技术经验,依托于知道创宇三百多为位白帽技术黑客,建立了一个云的防护体系。这个云的防护体系,不是简单的做一个数据的堆积,而是通过大数据和云计算,对数据进行分析。目前分析的样本有多少呢?现在,知道创宇整个防护的网站数量达到了86万+,包括大家所熟知的中国人民央行,兼程央行,包括像91金融。86万个网站,每时产生的日记攻击量就达到上亿级别,而每个小时知道创宇拦截的攻击日志量达到千万次真实的攻击。
传统的安全运维中,在分析安全设备时分析的都是行为,会有一个滞后性。那么针对与这种情况,知道创宇依托与三百多位技术白帽黑客,已经收集了33样黑客指纹信息,而指纹信息里面不仅仅是有黑客攻击常用的IP地址,还对黑客做了一个评级。评级的时候要去看一下黑客经常使用的攻击手法,包括他经常攻击的网站的类型,针对这些要做统计。当知道黑客攻击行为之后,是不是就可以在事先把黑客入侵的动作直接干掉?就是新的安全运维的一种思考模式,一定要产生。就是说,黑客他是不是用了什么操作系统,包括他使用了什么扫描工具?对我们的网站进行漏洞发现?
同时,我们通过云的方式,让安全运维人员分析的不再是设备,而是分析的一个黑客的攻击行为。就是说,我们做安全事件分析的时候,先去了解整个防火墙,IPS,或者说终端杀毒软件本身的特性,这样的话还是存在一些了解设备的阶段。而知道创宇新的SAS云安全方式,不是仅仅了解安全端的设备,要去了解一下黑客,只要你知道黑客怎么去攻击,你才能知道怎么更好的防护。那么依托于知道创宇态势感知系统——创宇新图。创宇新图会把86万个网站里面每天拦截的上亿次的攻击日志,做综合性的分析,分析之后会看到防御类的状态,同时还会看到黑客的攻击的一个态势。那我们再细分一下,包括攻击者他的一个地域的分布,他使用IP的一个数量。同时,对攻击者,进行更细化的分析。分析黑客使用了多少次攻击,同一个黑客他某时、某分、某秒在对某个网站发动哪种攻击,这都可以进行定位,这就是云安全的一个最大的前瞻性的技术领先性的地方。
另外,因为你了解到的只是一个虚拟黑客,他的一个行为,我们还要去分析一下。可以去关联一下黑客在真实的生活中,他使用的一些个人经常上网使用的,使用谷歌的浏览器,还是脸谱去做一些社交。这样的话,当这个黑客想发动攻击,而攻击对象又是知道创宇云保护的客户的时候,那他肯定会被拦截掉,因为对他已经非常的了解。
因为黑客在你的网络里面进行漏洞扫描、漏洞发现,如果说你先于黑客发现漏洞的时候,那你是不是可以提早做好安全防护?怎么先于漏洞发现呢?知道创宇可以依托于钟馗之眼。里面是采集了全球40亿IPTop100的端口,并将所有的将近20亿域名的Top的外部组件进行了所有采集。通过钟馗之眼我们就可以看到对应的应用程序,开放的服务,包括他使用的一些后台端口,都可以进行扫描到。同时,通过大数据云计算,就不用再添加每条策略的时候,我要做各种的验证,包括各种的搭建测试环境,而我们的云安全防护的时候,就可以把所有的攻击数据快速的形成防御策略。
【嘉宾简介】
知道创宇高级安全顾问锅涛
锅涛,现任职知道创宇高级安全顾问,从事信息安全行业多年,有丰富的国际安全产品经验,包括:IMPERVA 、Paloalto 、McAfee、IBM国际一线安全产品,荣获Ploalto ACE高级工程师证书以及IBM SVP 证书,IMPERVA 应用场景撰写大赛最佳文档奖等殊荣。