• 你好,欢迎来到焦点新闻网 设为首页 收藏本站 网站地图 联系投稿
  • 您现在的位置: 焦点新闻网 > 科技 > 列表

    我是如何帮客户查找"未知的未知威胁"?

    责任编辑:admin  来源:中国网  发布时间:2019-06-11 17:32  浏览次数:

    笔者是一名网络安全从业者,毕业至今已经在这个行当里混迹了5年之久,虽然还远远谈不上资深,但这几年来也见过了不少安全事件,自己作为技术支持,也处理了其中一些。就在我慢慢觉得这一行已经没有了当初的新鲜感的时候,公司派我去一家网络新闻媒体协助解决他们最近遇到的安全问题。未曾想到,这一次“难忘”的工作经历让我对网络安全又有了新的认识。

    事情发生在一个夜晚,即将入眠的我突然接到了公司一线销售人员的求助电话,电话中说到这家网络新闻媒体的数据遭到了丢失、篡改,运维人员却无法找到此次攻击的根源所在。

    “有点意思……”挂断电话的我,从床上慢慢坐了起来,思忖着。

    “未知”的“未知”

    既然被攻击的原因与所有已知的漏洞与威胁都不匹配,我经过分析之后,觉得客户应该是被一种新的攻击手段入侵了,用网络安全界的行话,这叫做“未知威胁”。未知威胁又分为两种,一种是能预测到可能会发生的,可以一定程度上进行防范的,称为“已知的未知威胁”,而另一种则是无法预测,因此让人觉得无从防范的,则称为“未知的未知威胁”。

    客户作为一家网络新闻媒体,铁肩担道义,妙笔著文章,为社会传递了大量的正能量,有着极大的社会影响。但是,仍有不法分子为了牟取自身利益,利用“未知的未知威胁”对这家客户进行网络攻击,居心不可谓不叵测。愤慨之余,我深感责无旁贷,一定要帮助客户扫除威胁,还客户一片网络净土。

    “摸着石头过河” 

    越来越多的未知攻击是如今安全攻防的一个最大的特点,客户所面临的攻击工具可能是之前从来没有使用过的,甚至是身边的监控视野从来没有看到过的。如何有效地应对未知威胁的确是一个令人头大的问题,传统入侵检测方法基于的是特征码或规则,要求软件必须提前“知道”入侵的“定义”,才可以识别对应的入侵。但是,面对全新品种的恶意软件,其特定入侵指标(IOC)自然就不为人知,传统入侵检测方法又如何能检测出未知攻击呢?

    既然传统的方式行不通,我决定改变思路。虽然所谓“未知的未知攻击”在之前并没有出现过,但是既然攻击了客户的系统,就总会留下一些异常的痕迹,正如业内一位德高望重的前辈告诉我的那样,异常不一定是威胁,但一般来说威胁一定有异常。需要将“未知的未知威胁”转为“已知的未知威胁”来控制问题,如果能够从业务的运转中,抽取生成内在的监控指标,并对指标进行持续地观测和分析,那么无论遇到什么攻击,都会引起指标变化而被察觉。

    与客户沟通了我的这些想法之后,我们在客户的服务器集群上部署了青藤万相·主机自适应安全平台,根据客户的业务运行状况设立数万个监测指标,对文件进程、主机访问、业务关系等建立多维度、多层次的纵深检测体系,可以无间断对入侵行为进行监控,实现实时的入侵检测和快速响应,一旦发现异常情况,就会进行毫秒级报警。

    凭借着青藤万相·主机自适应安全平台强大的持续监控能力,终于找到了客户系统被攻击的根本原因,原来是攻击者制作了一个新的更轻量级、功能更全的Webshell。找到原因,剩下的工作就简单多了。于是,我们顺利地协助客户守护了他们的数据安全。

    这次的工作经历给我的网络安全职业生涯上了重要的一课,要守护网络安全,不仅要在技术上强过攻击者,更要在意识上领先于攻击者,对“未知的未知”给予足够的重视,未雨绸缪,只有这样,才能做到固若金汤,不给黑客任何可乘之机。

    焦点新闻网免责声明:

    凡本网注明 “来源:XXX(未知)等(非焦点新闻网)” 的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。

    如因作品内容、版权和其它问题需要同本网联系的,请在30日内与以下联系方式进行沟通:联系电话:15922557075(加微信请注明具体事宜)QQ:1579130097 邮箱:1579130097 @qq.com

    如未与焦点新闻网本部进行有效沟通的事宜,本网将视同为未曾提前联系,并不能给予答复、解决。

    热点新闻News
  • 上一篇:云从科技获批建立院士工作站 研发中心即将落户上海
  • 下一篇:心怡科技成贝店供应链联盟最佳伙伴,助力社交电商物流
  • 关于我们 投稿联系 投稿说明 免责申明 联系我们 广告服务 招聘信息 网站地图
  • Copyright@2016-2021 Eastyule Corporation, All Rights Reserved 焦点新闻网 版权所有