辦公室里擠了好幾個(gè)人，每個(gè)人都緊盯電腦屏幕，排查各種日志數(shù)據(jù)，想要發(fā)現(xiàn)攻擊者留下的蛛絲馬跡。

“怎么進(jìn)來(lái)的知道了嗎?”

“攻擊者清理了部分痕跡，信息不全，還不清楚。”

這是凌晨2點(diǎn)鐘，某大型能源集團(tuán)的安全部門(mén)。

“下午我們發(fā)現(xiàn)了一起攻擊，它穿越了我們的邊界防護(hù)，進(jìn)入了文件服務(wù)器。傳統(tǒng)的那些檢測(cè)方案沒(méi)有任何告警提示，以至于攻擊發(fā)生后五六個(gè)小時(shí)才被發(fā)現(xiàn)。安全團(tuán)隊(duì)好幾個(gè)人，一直忙到現(xiàn)在，才梳理清楚攻擊路徑和影響范圍。”該集團(tuán)的安全運(yùn)營(yíng)團(tuán)隊(duì)負(fù)責(zé)人說(shuō)道。

王工，是某大型能源集團(tuán)的安全負(fù)責(zé)人，是一位擁有十五年安全經(jīng)驗(yàn)的老兵。他在2006年進(jìn)入安全行業(yè)，一開(kāi)始在國(guó)內(nèi)一家科技公司干了十年。目前在某能源集團(tuán)擔(dān)任安全負(fù)責(zé)人。與剛開(kāi)始看見(jiàn)王工處理攻擊事件雷厲風(fēng)行的狀態(tài)不同，他談及企業(yè)的安全工作時(shí)有很多無(wú)奈，因?yàn)橛性S多棘手的安全問(wèn)題讓他頭疼得睡不著覺(jué)。

2016年，王工進(jìn)入能源行業(yè)從事安全運(yùn)營(yíng)工作，這是他經(jīng)過(guò)非常慎重的思考才做出的決定，因?yàn)檫@是一份非常有挑戰(zhàn)的工作。首先該能源集團(tuán)本身業(yè)務(wù)范圍廣，集團(tuán)總部下屬100余家分公司，需要保護(hù)的資產(chǎn)體量非常大，而且集團(tuán)所處的能源行業(yè)，作為關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分，是最常被攻擊的行業(yè)之一，網(wǎng)絡(luò)攻擊事件頻發(fā)。

在這樣的行業(yè)做安全工作，難度可想而知，但是王工覺(jué)得雖然應(yīng)對(duì)高級(jí)復(fù)雜威脅很難，但如果找到合適的解決方案，效果可能事半功倍。

他舉了一個(gè)例子，為了應(yīng)對(duì)高級(jí)威脅，集團(tuán)使用了青藤安服服務(wù)，該服務(wù)提供了一個(gè)安全專家團(tuán)隊(duì)，對(duì)系統(tǒng)環(huán)境中的威脅活動(dòng)進(jìn)行積極的獵殺、調(diào)查和建議。有一次青藤的專家團(tuán)隊(duì)發(fā)現(xiàn)了一個(gè)試圖獲取服務(wù)器訪問(wèn)權(quán)的攻擊活動(dòng)，這可能是一個(gè)非常嚴(yán)重的漏洞。他說(shuō)：“青藤的專家團(tuán)隊(duì)與我聯(lián)系，告訴我他們發(fā)現(xiàn)了一個(gè)與已知的服務(wù)器劫持威脅組織有關(guān)的活動(dòng)，并結(jié)合威脅情報(bào)信息，直接定位到進(jìn)程。”

當(dāng)時(shí)我特別震驚，先不說(shuō)通過(guò)以往的防御策略能不能發(fā)現(xiàn)和確認(rèn)這個(gè)攻擊行為，即使能夠發(fā)現(xiàn)并準(zhǔn)確告警了，后期溯源分析整個(gè)入侵活動(dòng)的來(lái)龍去脈仍然非常困難，要找很多人，排查很多設(shè)備日志，最后大概率還是沒(méi)搞清楚只好算了。青藤專家團(tuán)隊(duì)竟然能快速發(fā)現(xiàn)入侵，通過(guò)溯源分析整體攻擊路徑，快速緩解了服務(wù)器遭受的攻擊。

王工坦承，在剛進(jìn)入能源行業(yè)做安全工作的時(shí)候，沒(méi)想到能這樣輕松地應(yīng)對(duì)高級(jí)安全威脅。要解決一些棘手的安全難題，可能需要嘗試新的不同路徑。這樣的領(lǐng)悟來(lái)源于王工對(duì)青藤安全產(chǎn)品的切身使用感受。

前年整個(gè)集團(tuán)公司開(kāi)始數(shù)字化轉(zhuǎn)型，業(yè)務(wù)數(shù)字化程度越來(lái)越高，網(wǎng)絡(luò)邊緣泛化。再加上本身業(yè)務(wù)體量大，集團(tuán)化網(wǎng)站和服務(wù)器需要統(tǒng)一管控，這對(duì)安全工作又提出了新的挑戰(zhàn)，安全部門(mén)需要建立全面的資產(chǎn)可見(jiàn)性，從而快速發(fā)現(xiàn)入侵、及時(shí)響應(yīng)風(fēng)險(xiǎn)。

通過(guò)上一次事件，青藤安全能力給了我深刻的印象，并讓我可以放心地使用他們的產(chǎn)品，所以我們選擇青藤作為安全合作伙伴。在集團(tuán)的近10,000臺(tái)服務(wù)器上全部部署了青藤萬(wàn)相Agent。當(dāng)時(shí)考慮為了提高效率想要分幾天分批部署，結(jié)果這種考慮完全是多余的，因?yàn)榍嗵偃f(wàn)相Agent通過(guò)運(yùn)維自動(dòng)化工具被部署到100臺(tái)服務(wù)器上，只用了2分鐘，全部部署完成也只用了大約5個(gè)小時(shí)，而且對(duì)業(yè)務(wù)系統(tǒng)沒(méi)有產(chǎn)生任何影響。部署青藤產(chǎn)品之后，安全部門(mén)對(duì)集團(tuán)總部和各分公司的資產(chǎn)信息有了最全面準(zhǔn)確的了解。

王工說(shuō)：“以前，我們要花幾個(gè)小時(shí)才能檢測(cè)到一個(gè)事件，而一旦檢測(cè)到，就必須進(jìn)行研究才能找到它，全靠人工排查。青藤萬(wàn)相強(qiáng)大的實(shí)時(shí)監(jiān)控和響應(yīng)能力很好地解決了這個(gè)難題。這一點(diǎn)我對(duì)青藤萬(wàn)相的管理方式印象特別深刻。有一次，突然接到青藤萬(wàn)相的產(chǎn)品告警，發(fā)現(xiàn)反彈shell和webshell，安全人員通過(guò)反彈shell的告警郵件，迅速確定失陷主機(jī)為公司一臺(tái)文檔服務(wù)器。然后通過(guò)日志的審計(jì)插件訪問(wèn)日志詳細(xì)信息，進(jìn)而還原出攻擊的整個(gè)路徑。”

最后王工說(shuō)到，在能源集團(tuán)公司做了這么久的安全工作，面對(duì)安全威脅我變得越來(lái)越從容。我希望能有更多像青藤萬(wàn)相這樣易于部署、維護(hù)和管理的安全產(chǎn)品，幫助我們解決新業(yè)務(wù)帶來(lái)的新安全問(wèn)題。