青藤云安全访谈录:让十五年安全老兵难忘的一夜

办公室里挤了好几个人,每个人都紧盯电脑屏幕,排查各种日志数据,想要发现攻击者留下的蛛丝马迹。

“怎么进来的知道了吗?”

“攻击者清理了部分痕迹,信息不全,还不清楚。”

这是凌晨2点钟,某大型能源集团的安全部门。

“下午我们发现了一起攻击,它穿越了我们的边界防护,进入了文件服务器。传统的那些检测方案没有任何告警提示,以至于攻击发生后五六个小时才被发现。安全团队好几个人,一直忙到现在,才梳理清楚攻击路径和影响范围。”该集团的安全运营团队负责人说道。

王工,是某大型能源集团的安全负责人,是一位拥有十五年安全经验的老兵。他在2006年进入安全行业,一开始在国内一家科技公司干了十年。目前在某能源集团担任安全负责人。与刚开始看见王工处理攻击事件雷厉风行的状态不同,他谈及企业的安全工作时有很多无奈,因为有许多棘手的安全问题让他头疼得睡不着觉。

2016年,王工进入能源行业从事安全运营工作,这是他经过非常慎重的思考才做出的决定,因为这是一份非常有挑战的工作。首先该能源集团本身业务范围广,集团总部下属100余家分公司,需要保护的资产体量非常大,而且集团所处的能源行业,作为关键信息基础设施的重要组成部分,是最常被攻击的行业之一,网络攻击事件频发。

在这样的行业做安全工作,难度可想而知,但是王工觉得虽然应对高级复杂威胁很难,但如果找到合适的解决方案,效果可能事半功倍。

他举了一个例子,为了应对高级威胁,集团使用了青藤安服服务,该服务提供了一个安全专家团队,对系统环境中的威胁活动进行积极的猎杀、调查和建议。有一次青藤的专家团队发现了一个试图获取服务器访问权的攻击活动,这可能是一个非常严重的漏洞。他说:“青藤的专家团队与我联系,告诉我他们发现了一个与已知的服务器劫持威胁组织有关的活动,并结合威胁情报信息,直接定位到进程。”

当时我特别震惊,先不说通过以往的防御策略能不能发现和确认这个攻击行为,即使能够发现并准确告警了,后期溯源分析整个入侵活动的来龙去脉仍然非常困难,要找很多人,排查很多设备日志,最后大概率还是没搞清楚只好算了。青藤专家团队竟然能快速发现入侵,通过溯源分析整体攻击路径,快速缓解了服务器遭受的攻击。

王工坦承,在刚进入能源行业做安全工作的时候,没想到能这样轻松地应对高级安全威胁。要解决一些棘手的安全难题,可能需要尝试新的不同路径。这样的领悟来源于王工对青藤安全产品的切身使用感受。

前年整个集团公司开始数字化转型,业务数字化程度越来越高,网络边缘泛化。再加上本身业务体量大,集团化网站和服务器需要统一管控,这对安全工作又提出了新的挑战,安全部门需要建立全面的资产可见性,从而快速发现入侵、及时响应风险。

通过上一次事件,青藤安全能力给了我深刻的印象,并让我可以放心地使用他们的产品,所以我们选择青藤作为安全合作伙伴。在集团的近10,000台服务器上全部部署了青藤万相Agent。当时考虑为了提高效率想要分几天分批部署,结果这种考虑完全是多余的,因为青藤万相Agent通过运维自动化工具被部署到100台服务器上,只用了2分钟,全部部署完成也只用了大约5个小时,而且对业务系统没有产生任何影响。部署青藤产品之后,安全部门对集团总部和各分公司的资产信息有了最全面准确的了解。

王工说:“以前,我们要花几个小时才能检测到一个事件,而一旦检测到,就必须进行研究才能找到它,全靠人工排查。青藤万相强大的实时监控和响应能力很好地解决了这个难题。这一点我对青藤万相的管理方式印象特别深刻。有一次,突然接到青藤万相的产品告警,发现反弹shell和webshell,安全人员通过反弹shell的告警邮件,迅速确定失陷主机为公司一台文档服务器。然后通过日志的审计插件访问日志详细信息,进而还原出攻击的整个路径。”

最后王工说到,在能源集团公司做了这么久的安全工作,面对安全威胁我变得越来越从容。我希望能有更多像青藤万相这样易于部署、维护和管理的安全产品,帮助我们解决新业务带来的新安全问题。