安全部门就仨人,攻防演习零失分?| 案例分享

阅读量3729

发布时间 : 2022-11-16 10:45:34

编者按:本故事源自微步在线2022年7月的一次真实客户案例,出于客户保密需求,文中人字均为化名。

中大奖

2022年7月2日深夜,安全负责人王炬(化名),望着天花板,失眠了。

当天下午,他从老板口中得知一个“惊天好消息”:接有关部门通知,咱们公司很幸运地抽中参加2022年专项网络安全攻防演习,光荣地成为了“靶标”之一。

王炬听后当场倒吸一口冷气:“这……可真是好消息啊,我真的拴Q,演习什么时候开始?!”

“据说就在本月底,具体哪一天,随时等上面通知。”老板拍拍王炬的肩膀:“时间确实有点紧哈,但我相信你的能力。”王炬感到腰膝酸软,四肢无力,掏出纸巾擦了擦额头的汗。

作为一个从业多年的网安老兵,他知道,所谓“成为网络攻防演习的靶标”,意味着在演习期间的那一周时间里,由各大网络安全公司的网络攻防精英们组成的一支支“攻击队”,会对他们发起网络渗透攻击,就像猎豹一般毫无征兆却一招锁喉。

一旦被攻击队攻下,就会被判定“丢分”,丢分太多,演习结束时公司就会因为“网络安全工作贯彻落实不到位”被批评,并付出一些“代价”,到时王炬作为安全负责人难辞其咎。

如果换作平常,打好一场攻防演习对于实战多年的王炬也不是什么难事,只要提前根据地形(公司业务架构)部署好防御工事(网络安全设备)并且派重兵把守(安排几个靠谱的安全工程师值班,及时响应),问题就不大。

可这一次,王炬入职不过三个月,还在熟悉内部业务阶段。正所谓“知己知彼,百战不殆”,将军才刚刚任命不久,战况都还没完全熟悉,那边就传来消息:敌方大军随时可能兵临城下!换了谁都得慌得一批。

“公司有16000多台业务主机,分布在三个IDC机房和四个云平台,有四个办公职场,分布在全国各地。”我们知道,需要被保护的目标越多越分散,网络架构越复杂,想要保护好的难度就越大,因为攻击面太大,敌人可能从任何一个方向发起攻击。

和公司庞大的业务形成鲜明对比的是,全公司现在只有三名专职的网络安全工程师(之前很多安全工作是IT部门兼做的),还包括王炬自己在内。另外两位是王炬上个月刚招进来的。尽管公司以前也做过一些安全建设,但比较粗放,还有不少课需要补。

王炬压力不小。可是老板一脸严肃地叮嘱他:你知道的,今年十月份将有一场极其重要的活动,我们作为国内领先的媒体平台,绝不能在网络安全上出问题,这场考验,甚至有可能关系到我们公司的相关资质牌照……

王炬咽了咽唾沫,点点头,话已至此,没有退路可言。

他感觉自己和另外两名安全工程师就像三个牧羊人,16000头需要保护“羊”还没有完全回到羊圈,夜幕已经快要降临,远处传来狼嚎……

一个倒计时悬在王炬的头顶。

搬救兵

摆在王炬面前有两个选择:

买设备——既然人少,装备必须精良,这样才有可能以一当百。

买服务——既然自己人少,就找一个靠谱的安全公司,买他们的MDR(安全检测与响应)、MSS(安全托管服务)之类的服务。

小孩子才做选择,大人全都要!要顶住这场宏大的攻防演习,设备和服务恐怕缺一不可,王炬根本没得选。

让他庆幸的是,公司老板和首席信息官(CIO)对网络安全都比较重视,刚入职那会儿王炬就提了上百万的设备采购预算,CIO二话没说就批了下来。

王炬的安全建设思路也非常清晰:

用“X企业版”来提前排查风险,发现暴露在外网的安全隐患(比如账号密码等等),完成攻击面的收敛。

威胁感知平台TDP是基于网络流量的防护设备,部署在网络出口,监控着整个网络里的所有进出流量,准确捕捉其中的任何异常。

OneEDR是终端安全产品,安装代理软件(Agent)在每一台主机上,随时监控着每一台的每一个进程,随时发现异常行为。

WAF(网络应用防火墙)用来拦截常见的Web攻击。

在此基础上,再部署一些HFish蜜罐,伪装成正常的办公设备和业务主机,正常情况下不会有人碰,一旦有人访问,就意味着“攻击队进来”了,蜜罐会自动告警并捕获访问者的信息。

整个网络拓扑图大概长这样:

决定采购后,商务对接又磨蹭了几天,眼看着攻防演习越来越近,这边商务刚谈好价格,还在签约,那边技术部门已经开始部署设备,左右开弓,快马加鞭。

“都不先测试一下吗?”

“这都这个时候了,还有时间测试?我之前在的公司也用过微步的产品,靠谱的。”

来不及解释了,先上车再说!

抢滩登陆

这下轮到陈杰睡不着觉了。

陈杰是OneEDR的负责人,他面对的是16000多台机器,要在每一台机器上都装上一个代理软件,采集安全数据,要赶在攻防演习之前全部安装、调试完毕,留给他的时间不多,这无疑是一场和时间的赛跑。

客户拍了拍陈杰的肩膀:“我相信你们”,陈杰感到腰膝酸软,压力山大,不过话都说到这儿了,没有退路可言。

一万六千多台设备,假如有一个软件平台统一管控着这些机器,就非常好办,直接几个脚本下去,一天就能安装测试完。可实际情况是,这些机器分布在几个不同的平台、机房,各自承担几种不同的工作任务,软件环境、运行状态不完全一样。

假如不加以区分,粗暴地用同样的方式对待,很容易出问题,导致业务中断影响客户业务。

部署速度诚可贵,业务稳定价更高。

“决不能拖慢客户机器的性能导致影响业务,不能影响客户机房的网络造成压力。”陈杰告诉我,OneEDR并不会在终端上进行大量计算,终端上的代理软件只负责采集主机日志里的行为数据,传回一台特定的服务器,由服务器进行统一分析,判断是否有异常,因此可以尽可能降低对终端性能的影响。

而且经过测算,每台机器每天传回几十兆数据,折合下来0.5kb/s的带宽,客户的各个机房都有专线,完全没有反馈任何网络压力。

唯一让陈杰担忧的,是安全规则。

就像路上交警查酒驾,查得太严,容易会导致堵车,可是查得太松,又可能会漏掉一些。怎么让OneEDR在检出率和性能影响之间达成一个平衡,需要一点一点去实际摸索。

第一天部署400台机器,因为安全策略定得太高,导致一个大数据节点的离线任务运行失败。还好没有实际影响业务,第二天赶紧调整安全策略。

后来OneEDR团队想出一个办法:把策略制定得更精细,并且按照主机的场景分类,主机上业务很忙时,就自动关闭部分功能,主机业务不那么忙时就自动打开这些功能。

这样一来就能保障性能的前提下,尽可能提高安全防护等级。

有了最初400台的实际部署经验,10天之内,OneEDR团队紧锣密鼓完成16000台服务器的部署。TDP、OneDNS、HFish蜜罐、X企业版等产品也早早地部署完毕。

所有业务运行稳定,仿佛从没有部署过什么安全防护软件,实际已经形成了一整套“云+网+端”的纵深防护,犹如天罗地网。

OneEDR也很快就发挥作用。

“演习都还没开始,OneEDR就发现了木马!”

发现威胁

“发现威胁,主机疑似存在Rootkit木马。”

在之后持续一周的产品巡检中,OneEDR发现有30多台主机被入侵,微步在线的应急响应团队紧急赶往现场,开始应急排查。

顺藤摸瓜,安服人员还原出黑客入侵的时间轴,找到最早被入侵的主机,发现机器上有三个木马,其中最早的那个木马的创建时间是2019年6月25日,也就是说,这个木马后门程序已经潜伏在内网超过三年!

除此之外,TDP和X企业版也发现4000多组弱口令,包括SSH弱口令和数据库弱口令。

王炬惊出一身冷汗,这简直是不幸中的万幸,幸好这些是在攻防演习之前发现 ,如果在攻防演习中被利用,后果不堪设想。

大考

8月初,网络攻防演习正式打响。

事情有点复杂,我说简单点,王炬经历了有惊无险的15天攻防演练,最终他们公司一分也没有丢。

演习结束那天,王炬在X情报社区观看演习结束仪式,有一段话让他备受感触。

“明天过后,你我各归岗位,人来人往,岁月静好,一切如常,这十五天的一切,仿佛从来没有发生过。但无论如何,世界已经因为这场不见硝烟的演习而永久性改变。

最初,王炬从老板口中听到被抽中打演习的“好消息”时,他曾在某个瞬间暗骂:我怎么这么倒霉,刚入职不久就抽中了演习当靶标?

“结果发现我还挺幸运,部门就三个人,楞是一分也没丢。现在回过头再看,能参加攻防演习对公司而言也不失为一种幸运。”

王炬说,真实的网络空间可能比演习更凶险,从更长的时间跨度来看,演习的紧张形势推动着人们在极短的时间里筑就坚固的防御工事,等演习结束以后,这些工事会继续发挥作用,保护他们的业务和数据,在犹如黑暗森林的网络世界运行无虞。

无论怎么看,这都是好事。因为网络安全永远应该防患于未然。

编者再按一次:本故事源自微步在线2022年7月的一次真实客户案例,出于客户保密需求,文中人字均为化名。

本文由微步在线原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/282333

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
微步在线
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66