在這個數(shù)字化的時代，隨著云計算、大數(shù)據(jù)等新型互聯(lián)網(wǎng)技術的興起，幾乎所有企業(yè)都開始將自己眾多業(yè)務轉(zhuǎn)移到云上，利用云計算、大數(shù)據(jù)的力量來提升企業(yè)效益。然而任何事物都有兩面性，在促進業(yè)務快速發(fā)展的同時，隨之而來的黑客入侵也是越來越頻繁。

相信很多安全從業(yè)人員內(nèi)心都有過這樣疑問：為什么安全做了這么多年，面對黑客時還是如此不堪一擊？為什么部署了那么多安全防護設備，直到防護陣地完全失陷仍然對攻擊一無所知？

用有限對抗無限，安全注定永遠落后一步

所有安全從業(yè)人員都希望自己能開啟上帝視角，能看清黑客攻擊，能應對0Day漏洞，能阻止APT攻擊等，但更多時候我們對黑客攻擊一無所知。

一直以來對威脅的檢測和攔截，都是基于對黑客行為的認知。過去，大家通過了解黑客的攻擊方法，去跟蹤他的入侵行為。這是典型的以有限對抗無限，用有限的認知，有限的時間，有限的資源，對抗無限的對手和無限的可能。這樣的安全防護，注定永遠落后一步。

在這里，筆者以三件安全IDS產(chǎn)品為例說明傳統(tǒng)安全“以有限對抗無限”先天性不足。

IDS，它是基于規(guī)則策略做安全防護，對收集來的報文，IDS系統(tǒng)提取相應的流量統(tǒng)計特征值，并利用內(nèi)置的入侵知識庫，與這些流量特征進行智能分析比較匹配。根據(jù)預設的閥值，匹配耦合度較高的報文流量將被認為是進攻，入侵檢測系統(tǒng)將根據(jù)相應的配置進行報警或進行有限度的反擊。這是典型用有限規(guī)則去對抗無限攻擊、無限對手、無限可能，這也就不難理解IDS這樣入侵檢測產(chǎn)品，從一開始就注定落后一步。

設想一下，面對傳統(tǒng)IDS這樣安全防護，一旦外網(wǎng)防火墻被打穿，黑客只要攻破一點，那所有防御策略就形同虛設，黑客可以輕松達到自己的攻擊目的。即便你了解了攻擊者的所有攻擊模式，如果忽略了對自身環(huán)境和系統(tǒng)的研究了解，會對自己保護的目標不明確，難以檢測自己是否遭受攻擊，因此事倍功半。

以不變應萬變，才是安全防護應有姿態(tài)

世界任何事情，在哲學層面都是相通的，安全亦是如此。

“認識你自己”是銘刻在古希臘阿波羅神殿石柱上的著名箴言之一。據(jù)記載，有人問蘇格拉底："世上何事最難？"答曰：認識你自己。他要求首先研究自身，通過審視自身來了解自然、認識自然、解釋自然。

正是基于這樣認知，筆者認為，認知黑客不如認知自己。每一個安全從業(yè)者都應該認真審視自己企業(yè)網(wǎng)絡資產(chǎn)，才能做到認知自己，由內(nèi)而外的提升安全能力。

如果我們能從業(yè)務的運轉(zhuǎn)中，抽取生成內(nèi)在的監(jiān)控指標，并對指標進行持續(xù)地觀測和分析，那無論遇到什么攻擊，都會引起指標變化而被察覺。

該技術目前已經(jīng)在部分國內(nèi)安全廠商中得到很好驗證，其中不乏青藤等某一領域安全獨角獸。青藤云安全將Agent安裝在服務器上，根據(jù)客戶業(yè)務運行狀況設立數(shù)萬個監(jiān)測指標，對文件進程、主機訪問、業(yè)務關系等建立多維度、多層次的縱深檢測體系，可以無間斷對入侵行為進行監(jiān)控，實現(xiàn)實時的入侵檢測和快速響應，一旦發(fā)現(xiàn)異常情況，進行毫秒級報警。

應對未知威脅和高級威脅是安全防護最高境界

未知威脅永遠存在，網(wǎng)絡要么已經(jīng)被攻陷，要么正在被攻陷的路上。要贏得這場魔道之爭，安全一定不能落后一步。在這里筆者以青藤新一代主機入侵檢測系統(tǒng)的一個真實案例來闡述青藤如何應對未知威脅和高級威脅。

整個安全事件處理過程如下：

① 某天快到下班點，青藤的安全駐場人員突然接到產(chǎn)品告警，發(fā)現(xiàn)反彈shell和webshell，于是迅速展開排查，確定失陷主機為公司一臺文檔服務器。

這里補充說明下，青藤新一代主機入侵檢測系統(tǒng)的“反彈shell”功能，可以通過對用戶進程行為進行實時監(jiān)控，結合異常行為識別，可及時發(fā)現(xiàn)進程中非法 Shell 連接操作產(chǎn)生的反彈 Shell行為，能有效感知“0Day”漏洞等利用的行為痕跡，并提供反彈 Shell 的詳細進程樹。

② 憑借上述產(chǎn)品功能，青藤主機入侵檢測系統(tǒng)在該服務器被上傳webshell之后，發(fā)現(xiàn)反彈shell操作如下：

③ 安全人員使用安全日志、操作審計，檢查黑客操作的每一條命令，發(fā)現(xiàn)歷史記錄被黑客清空了，幸好有審計功能，默默的記錄下了黑客的每一條操作。

安全人員發(fā)現(xiàn)黑客先利用系統(tǒng)漏洞進行了提權后，安裝修改了一些文件，懷疑是安裝rootkit系統(tǒng)后門，之后安全人員使用青藤入侵檢測產(chǎn)品“系統(tǒng)后門”功能進行檢查，發(fā)現(xiàn)了多個系統(tǒng)后門和被篡改的關鍵位置文件。

④ 通過分析，發(fā)現(xiàn)黑客的入侵路徑來源為struts2漏洞入口，黑客上傳webshell后進行提權以及安裝后門操作。安全人員通過操作審計以及黑客的webshell特征，還原了黑客對主機進行的操作。

⑤ 最后，安全人員協(xié)助客戶開啟了端口蜜罐的功能，針對目前流行的MS17010漏洞開啟了445等端口的蜜罐，并將安全人員常用的掃描器的地址加入了白名單，通過大量的部署微蜜罐，來增大內(nèi)網(wǎng)誘捕黑客的幾率。

通過上述分析，我們還原整個安全事件，發(fā)現(xiàn)此次事件屬于典型的APT入侵攻擊事件。首先黑客通過Windows后門進入內(nèi)網(wǎng)潛伏下來，并在內(nèi)網(wǎng)漫游找到有Web站點或有漏洞的主機并上傳webshell，繼而進一步通過webshell實現(xiàn)反彈連接，獲取目標主機的shell控制權為下一步攻擊做好準備。

上述整個攻擊過程可以說做得滴水不漏，環(huán)環(huán)相扣。面對這種高級別攻擊，傳統(tǒng)基于規(guī)則策略的安全檢測產(chǎn)品就形同虛設，黑客可以很輕松繞過。但是青藤新一代主機入侵檢測系統(tǒng)可以提供多錨點的檢測能力，能夠?qū)崟r、準確地感知入侵事件，發(fā)現(xiàn)失陷主機，并提供對入侵事件的響應手段，為系統(tǒng)添加強大的實時監(jiān)控和響應能力，幫助企業(yè)有效預測風險，精準感知威脅，提升響應效率，保障企業(yè)安全的最后一公里。

寫在最后：

入侵的攻擊手段千變?nèi)f化，但是攻擊成功后要做的事情卻是歸一化的。因此，安全防護需要將視角從了解黑客的攻擊方式，轉(zhuǎn)化成對內(nèi)在指標的持續(xù)監(jiān)控和分析，因為無論多么高級的黑客其攻擊行為都會觸發(fā)內(nèi)部的指標異常變化，從而被迅速發(fā)現(xiàn)并處理。