辦公室里擠了好幾個人�,每個人都緊盯電腦屏幕,排查各種日志數(shù)據(jù),想要發(fā)現(xiàn)攻擊者留下的蛛絲馬跡。
“怎么進來的知道了嗎?”
“攻擊者清理了部分痕跡�,信息不全��,還不清楚。”
這是凌晨2點鐘,某大型能源集團的安全部門。
“下午我們發(fā)現(xiàn)了一起攻擊���,它穿越了我們的邊界防護,進入了文件服務(wù)器。傳統(tǒng)的那些檢測方案沒有任何告警提示���,以至于攻擊發(fā)生后五六個小時才被發(fā)現(xiàn)。安全團隊好幾個人,一直忙到現(xiàn)在�����,才梳理清楚攻擊路徑和影響范圍���。”該集團的安全運營團隊負責人說道���。
王工�,是某大型能源集團的安全負責人,是一位擁有十五年安全經(jīng)驗的老兵�。他在2006年進入安全行業(yè)���,一開始在國內(nèi)一家科技公司干了十年。目前在某能源集團擔任安全負責人��。與剛開始看見王工處理攻擊事件雷厲風行的狀態(tài)不同����,他談及企業(yè)的安全工作時有很多無奈,因為有許多棘手的安全問題讓他頭疼得睡不著覺���。
2016年,王工進入能源行業(yè)從事安全運營工作����,這是他經(jīng)過非常慎重的思考才做出的決定����,因為這是一份非常有挑戰(zhàn)的工作���。首先該能源集團本身業(yè)務(wù)范圍廣����,集團總部下屬100余家分公司,需要保護的資產(chǎn)體量非常大,而且集團所處的能源行業(yè),作為關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分,是最常被攻擊的行業(yè)之一�,網(wǎng)絡(luò)攻擊事件頻發(fā)����。
在這樣的行業(yè)做安全工作,難度可想而知,但是王工覺得雖然應(yīng)對高級復(fù)雜威脅很難,但如果找到合適的解決方案,效果可能事半功倍。
他舉了一個例子�����,為了應(yīng)對高級威脅���,集團使用了青藤安服服務(wù)���,該服務(wù)提供了一個安全專家團隊���,對系統(tǒng)環(huán)境中的威脅活動進行積極的獵殺�、調(diào)查和建議�。有一次青藤的專家團隊發(fā)現(xiàn)了一個試圖獲取服務(wù)器訪問權(quán)的攻擊活動,這可能是一個非常嚴重的漏洞�����。他說:“青藤的專家團隊與我聯(lián)系�����,告訴我他們發(fā)現(xiàn)了一個與已知的服務(wù)器劫持威脅組織有關(guān)的活動����,并結(jié)合威脅情報信息�,直接定位到進程。”
當時我特別震驚����,先不說通過以往的防御策略能不能發(fā)現(xiàn)和確認這個攻擊行為��,即使能夠發(fā)現(xiàn)并準確告警了,后期溯源分析整個入侵活動的來龍去脈仍然非常困難�,要找很多人�����,排查很多設(shè)備日志,最后大概率還是沒搞清楚只好算了���。青藤專家團隊竟然能快速發(fā)現(xiàn)入侵,通過溯源分析整體攻擊路徑���,快速緩解了服務(wù)器遭受的攻擊。
王工坦承�,在剛進入能源行業(yè)做安全工作的時候,沒想到能這樣輕松地應(yīng)對高級安全威脅����。要解決一些棘手的安全難題�����,可能需要嘗試新的不同路徑。這樣的領(lǐng)悟來源于王工對青藤安全產(chǎn)品的切身使用感受。
前年整個集團公司開始數(shù)字化轉(zhuǎn)型����,業(yè)務(wù)數(shù)字化程度越來越高���,網(wǎng)絡(luò)邊緣泛化����。再加上本身業(yè)務(wù)體量大����,集團化網(wǎng)站和服務(wù)器需要統(tǒng)一管控,這對安全工作又提出了新的挑戰(zhàn)����,安全部門需要建立全面的資產(chǎn)可見性����,從而快速發(fā)現(xiàn)入侵����、及時響應(yīng)風險�����。
通過上一次事件�����,青藤安全能力給了我深刻的印象����,并讓我可以放心地使用他們的產(chǎn)品����,所以我們選擇青藤作為安全合作伙伴。在集團的近10,000臺服務(wù)器上全部部署了青藤萬相Agent���。當時考慮為了提高效率想要分幾天分批部署,結(jié)果這種考慮完全是多余的����,因為青藤萬相Agent通過運維自動化工具被部署到100臺服務(wù)器上�����,只用了2分鐘,全部部署完成也只用了大約5個小時,而且對業(yè)務(wù)系統(tǒng)沒有產(chǎn)生任何影響���。部署青藤產(chǎn)品之后,安全部門對集團總部和各分公司的資產(chǎn)信息有了最全面準確的了解。
王工說:“以前�����,我們要花幾個小時才能檢測到一個事件�����,而一旦檢測到,就必須進行研究才能找到它����,全靠人工排查����。青藤萬相強大的實時監(jiān)控和響應(yīng)能力很好地解決了這個難題���。這一點我對青藤萬相的管理方式印象特別深刻���。有一次�����,突然接到青藤萬相的產(chǎn)品告警�����,發(fā)現(xiàn)反彈shell和webshell,安全人員通過反彈shell的告警郵件���,迅速確定失陷主機為公司一臺文檔服務(wù)器。然后通過日志的審計插件訪問日志詳細信息����,進而還原出攻擊的整個路徑��。”
最后王工說到,在能源集團公司做了這么久的安全工作���,面對安全威脅我變得越來越從容。我希望能有更多像青藤萬相這樣易于部署��、維護和管理的安全產(chǎn)品�,幫助我們解決新業(yè)務(wù)帶來的新安全問題��。
政策與經(jīng)濟
京公網(wǎng)安備 11010802020613號
