本文是WOT2016互聯網運維與開發者大會的現場干貨，新一屆主題為WOT2016企業安全技術峰會將在2016年6月24日-25日于北京珠三角JW萬豪酒店隆重召開！

在今年4月份舉行的WOT2016互聯網運維與開發者大會的運維安全專場中，來自知道創宇的鍋濤為大家帶來了題為《云安全助力輕安全運維》的演講。他對傳統的安全運維進行了深入的剖析，闡述了安全運維工作的挑戰與困惑，分析了黑客攻擊的那些入口以及存在的安全隱患，并在最后介紹了知道創宇如何利用云安全助力輕安全運維。

安全運維之困惑

安全運維工作的對象有很多，比如網絡承載IPS、防火墻、AV、網關等。當運維人員開始運維諸多的安全產品的時候，第一要保證安全產品的正常運行，第二，針對發生的安全事件進行深入分析，需要面對海量的日志。陳舊的架構使得我們獲取所需數據需要花費大量事件，迫使運維者在效率和數據之間進行選擇，這就是比較常見的安全運維困惑之一。而且安全事件本身并不能提供足夠多的上下文信息以識別現在愈來愈高級的威脅，復雜的產品部署方式及管理方式使得安全運維成本飛漲。

安全運維的挑戰

面對很多的網絡設備和安全設備，當安全事件發生，黑客從企業邊界進入到最終的核心數據中心，需要通過很多防火墻、郵件網關的過濾，而這每一層過濾都會產生一些日志。當運維人員進行安全定位時，一定要做關聯性的分析，產生海量的日志。

現在安全的運維現狀依舊是停留在分析日志，當發生安全事件后，運維人員還要去做事后的追溯。當發生問題的時候，需要搜索事件，統計一下事件發生的頻率。然而可能通過日志分析，還是無法去快速的定位問題，因為日志量太多了，工作效率就會降低，而領導會一天或者每時每分都會問你事件處理的進度，但是我們還在分析日志。為什么要分析海量日志呢?分析日志其實就是要分析一下這次黑客入侵，黑客是否拿走了敏感數據，或者這次入侵事件是不是通過分析日志可以發現一些安全隱患。總結一下，主要包含以下幾個問題的處理：

我有沒有與低信譽的機器進行通信?
哪些通信沒有被阻止?
有哪些具體的服務器、客戶端、設備被入侵?
有哪些用戶賬號被泄露?
這些被泄露的賬號都被用來做了什么?
我該如何反應?

發現問題立即下發策略，你敢立即阻攔?

其實在做安全運維的時候，我們先要了解黑客攻擊的入口。如果你不了解黑客攻擊的入口，那你就沒法去很快速的進行黑客攻擊行為的阻攔。大家可以看一下，當我們了解了黑客攻擊的入口，整個防護就很簡單。

首先，安全運維輔助于企業的業務發展，而業務發展可能會存在很多的入口。比如：通過應用前端對業務進行訪問時，做表單提交，商品采購，這時應用的入口是否安全呢?再有，如果為了業務的快速發展，企業推出了APP的訪問，每個APP訪問的時候，都會有一個API的訪問接口，這個接口是不是做了防護呢?再比如，為了快速推廣，企業注冊運行了官方的微信公眾號，那公眾號對應的防護工作你有沒有做，或者說是做安全監測你有沒有做?等等很多入口都可能帶來安全風險。

總之，如果企業在第三方授權登陸的地方，沒有做好一個安全的管控，黑客就可以實施入侵。比如說他可以通過授權登陸的時候，直接劫持企業授權登陸的用戶名和密碼。還有，因為業務前端一些中間件包括其他的數據庫，一些測試開發環境，也有可能在跟正常業務系統進行數據交互，企業是不是也做了安全防護?這是正常的用戶入口，其實也是黑客的入口。

黑客攻擊入口存在的安全隱患

基于黑客的入口，我們可以發現哪些安全隱患，你是不是做過梳理?

對此，知道創宇做了一個比較詳細的一個安全隱患的梳理，如下圖：

第一種是DDoS攻擊。我們知道，黑客也分級別，一般初級黑客常發起的攻擊就是圖中第一部分DDoS攻擊。因為現在DDOS攻擊的成本越來越低，一個G的DDOS，50塊錢就可以買一個小時。

第二種是應用層的代碼級漏洞。大家知道應用層的代碼級漏洞，可能是開發者本身他遺漏的安全隱患。但是這個隱患發生之后，背鍋的可能是我們的安全運維工程師。這個時候，你要是不知道安全，就是應用層級代碼漏洞的話，你怎么去做防護，包括如果說因為開發者造成的隱患，你沒有做防護的話，是不是可能自己的信息就丟掉?另外，注入類攻擊也是最嚴重的，因為注入真的讓我們防不勝防，而且注入攻擊一直在衍生，不但有cookle注入，還有OS注入。注入類攻擊其實有很多，而不局限于cookle注入。同時還有XSS漏洞，包括需要的身份認證和會話管理，這些你是不是都了解他漏洞利用的原理。包括我們怎么去防護，你是不是都夠了解。

第三種是第三方應用程序漏洞。因為開發者在開發程序時，業務搭建時，可能會使用第三方開源的工具。這些第三方應用程序發生漏洞的時候，怎么去做防護?例如：struts2漏洞，可能大家如果說作為安全運維的話，應該都知道這個漏洞當時在安全之間的影響也非常大。在13年的時候，這個漏洞波及的網站數量也非常多，因為當時我們用的開發代碼，PHP還是比較多的。同時這個漏洞可能本身問題不大，但是基于它黑客就可以上傳攻擊腳本，就可以對你的網站進行所有權的控制。

第四種是微信第三方的API接口。攻擊者可以利用第三方的API接口，對已授權登陸用戶進行一個劫持。劫持之后，攻擊者可以對所有的賬戶里對應的資產進行清洗，比如說支付通道類的。然后，攻擊者就可以拿到一些虛擬資產。還有就是APP端的應用程序漏洞。

第五種是業務邏輯安全性。其實業務邏輯安全性一直是圍繞著業務展開的一個漏洞利用。最常見的就是任意的用戶密碼重置、修改，包括查詢，修改等問題。你是不是做了一些安全防護?

第六種是還有網站業務安全問題以及運維或者開發者造成的安全問題。就是基于網站業務的安全性。可能大家最近聽說過最多的就是薅羊毛。薅羊毛的時候，會把所有公司運營所使用的一些新用戶注冊的體驗金、紅包、反利金，包括邀請的一些額外獎勵，都全部被羊毛黨刷走。包括大家危言聳聽的一些事件，就是零元訂票、一元買手機，這些都是業務安全性。

最后一種就是我們的運維和開發者造成的一些安全隱患。例如：為了快速去做一些滿足開發人員的一些測試，我直接會去配置一些信息，而配置的時候，沒有去考慮安全性，就會造成配置不當。

黑客利用安全隱患是如何發動攻擊的?

了解了黑客的入口，黑客利用入口存在的安全隱患，那么黑客利用安全隱患是如何發動攻擊的呢?

大家可以看上面這張圖，其實這張圖也是非常有典型性的。當黑客真的想對你的網站發動攻擊的時候，他可能對你的網站前期進行了信息采集，包括他肯定不是一個人能夠搞定的。如果說他想真的拿下一個安全性比較高網站的時候，他絕對不是一個人搞，肯定是有很多人。那么在攻的時候，不是持續一天，可能是持續兩到一周，非常的長。大家可以看，黑客攻擊的時候，先對你的網站進行信息采集，去看一下你的網站開放哪些端口，包括你的子域名是不是都放在公網上面，同時去看一下源代碼是不是泄漏了。那么收集完信息之后，做定向的攻擊，就是做掃描。那么掃描的時候，剛才說了注入類攻擊也是非常頻繁的，包括XS漏洞，他們會快速的去掃描網站，之后進行大規模的cookle注入，包括XS漏洞利用。同時如果說發現了利用傳統漏洞，無法攻向你的網站，攻擊者會使用DDOS，DDOS可能來自于PC端，也可能來自于移動端。

云安全“大數據分析”讓你不再事后看日志

當你的網站遭受了黑客攻擊，你還在做什么呢?可能就是在分析日志，安全工程師認為最快速的去定位問題的時候，就是分析日志。而日志都是我們事后拘束的一個參考的文本。日志又非常的多，但是老板一直在催，你這個事件什么時候幫我去處理，包括解決方案是什么，你都可能在分析日志的階段，包括報告什么的還沒有形成，這就是我們傳統運維面臨的一個弊端。

鍋濤表示：“面對傳統的安全運維存在的一些弊端，我們真正要做的事先防御而不是事后分析。”并介紹說，知道創宇通過集結八年的技術經驗，依托于知道創宇三百多為位白帽技術黑客，建立了一個云的防護體系。這個云的防護體系，不是簡單的做一個數據的堆積，而是通過大數據和云計算，對數據進行分析。目前分析的樣本有多少呢?現在，知道創宇整個防護的網站數量達到了86萬+，包括大家所熟知的中國人民央行，兼程央行，包括像91金融。86萬個網站，每時產生的日記攻擊量就達到上億級別，而每個小時知道創宇攔截的攻擊日志量達到千萬次真實的攻擊。

傳統的安全運維中，在分析安全設備時分析的都是行為，會有一個滯后性。那么針對與這種情況，知道創宇依托與三百多位技術白帽黑客，已經收集了33樣黑客指紋信息，而指紋信息里面不僅僅是有黑客攻擊常用的IP地址，還對黑客做了一個評級。評級的時候要去看一下黑客經常使用的攻擊手法，包括他經常攻擊的網站的類型，針對這些要做統計。當知道黑客攻擊行為之后，是不是就可以在事先把黑客入侵的動作直接干掉?就是新的安全運維的一種思考模式，一定要產生。就是說，黑客他是不是用了什么操作系統，包括他使用了什么掃描工具?對我們的網站進行漏洞發現?

同時，我們通過云的方式，讓安全運維人員分析的不再是設備，而是分析的一個黑客的攻擊行為。就是說，我們做安全事件分析的時候，先去了解整個防火墻，IPS，或者說終端殺毒軟件本身的特性，這樣的話還是存在一些了解設備的階段。而知道創宇新的SAS云安全方式，不是僅僅了解安全端的設備，要去了解一下黑客，只要你知道黑客怎么去攻擊，你才能知道怎么更好的防護。那么依托于知道創宇態勢感知系統——創宇新圖。創宇新圖會把86萬個網站里面每天攔截的上億次的攻擊日志，做綜合性的分析，分析之后會看到防御類的狀態，同時還會看到黑客的攻擊的一個態勢。那我們再細分一下，包括攻擊者他的一個地域的分布，他使用IP的一個數量。同時，對攻擊者，進行更細化的分析。分析黑客使用了多少次攻擊，同一個黑客他某時、某分、某秒在對某個網站發動哪種攻擊，這都可以進行定位，這就是云安全的一個最大的前瞻性的技術領先性的地方。

另外，因為你了解到的只是一個虛擬黑客，他的一個行為，我們還要去分析一下。可以去關聯一下黑客在真實的生活中，他使用的一些個人經常上網使用的，使用谷歌的瀏覽器，還是臉譜去做一些社交。這樣的話，當這個黑客想發動攻擊，而攻擊對象又是知道創宇云保護的客戶的時候，那他肯定會被攔截掉，因為對他已經非常的了解。

因為黑客在你的網絡里面進行漏洞掃描、漏洞發現，如果說你先于黑客發現漏洞的時候，那你是不是可以提早做好安全防護?怎么先于漏洞發現呢?知道創宇可以依托于鐘馗之眼。里面是采集了全球40億IPTop100的端口，并將所有的將近20億域名的Top的外部組件進行了所有采集。通過鐘馗之眼我們就可以看到對應的應用程序，開放的服務，包括他使用的一些后臺端口，都可以進行掃描到。同時，通過大數據云計算，就不用再添加每條策略的時候，我要做各種的驗證，包括各種的搭建測試環境，而我們的云安全防護的時候，就可以把所有的攻擊數據快速的形成防御策略。

【嘉賓簡介】

[[167715]]

知道創宇高級安全顧問鍋濤

鍋濤，現任職知道創宇高級安全顧問，從事信息安全行業多年，有豐富的國際安全產品經驗，包括：IMPERVA 、Paloalto 、McAfee、IBM國際一線安全產品，榮獲Ploalto ACE高級工程師證書以及IBM SVP 證書，IMPERVA 應用場景撰寫大賽最佳文檔獎等殊榮。