“快來看今天的日志,這里攻擊量高出很多倍!”小王循聲走進辦公室,就這樣開始了一天的工作。
小王是知道創宇404積極防御實驗室的一名安全研究員,也就是傳說中云防御平臺“背后的男人”。
每天,知道創宇云防御安全大數據分析平臺對海量日志進行多維度的智能分析和挖掘,形成豐富的安全報告。這其中,就藏著與網絡攻擊、安全態勢相關的蛛絲馬跡。
剛出來的安全報告顯示,某一IP的攻擊量成倍增長,呈現明顯異常。
結合日志與ZoomEye的數據分析,小王發現該IP一直在掃描一網站后門,且路徑相似的IP不止一個,其背后都是路由器。通過Seebug漏洞社區進行關聯分析,發現該款型號的路由器最近爆出了一個通用性高危漏洞。情況表明,他們都被黑客劫持為肉雞。
基于創宇盾與Seebug、ZoomEye的聯動機制,404積極防御實驗室提早就做了防御措施,在其防護下,該網站并未受到攻擊影響。
“我們的工作都是圍繞著客戶的網站業務安全,不間斷的為云防御平臺提供安全能力輸出。”
像小王這樣專門負責數據挖掘與分析工作的專業安全人才在知道創宇云安全團隊還有近百名,他們在日常安全運營中,從每一天的日志中捕捉信息與問題,比如某個IP流量異常,那就要去分析這個IP的行為路徑、攻擊了什么目標、是不是肉雞等等,綜合各方信息,試圖去解釋攻擊的原因,并給出臨時解決方案、徹底解決方案。
小王進一步解釋道:“我們還有一些小伙伴負責產品的規則與策略優化,尤其是出現通用漏洞的時候,考慮到客戶的安全,無論什么時候我們都要第一時間進行響應,研究如何攔截攻擊、升級策略,不能讓客戶暴露于危險之中。”
安全防御的日常
這個外人看起來很高大上的安全防御工作,既需要專業技術的支撐,還需要積極防御的心態。“在有限的時間內去預測可能發生的威脅,去緊急處理漏洞,這些其實都是很艱苦也很考驗技術的。”小王感嘆道。
拿重保期間來說,404積極防御實驗室的日常就升級為重點網站網絡安全保障和全網應急響應。一場國家級大型會議,保障往往會提前很久就開始布局,首先是保障人員的安排,以確保7*24小時不間斷值守。
其次是逐一分析防護網站,根據其業務特點和安全要求提供針對性的安全建議。
“比如有些網站主要提供在線業務辦理,白天要保障業務穩健運行,晚上卻基本沒人使用,我們就會就建議客戶開啟創宇盾的‘夜間模式’;還有一些網站是針對大陸公民的,那么我們就建議客戶屏蔽境外IP訪問等等。”
最后是加強日志的審查,網絡上的潛在目標、未知威脅都要一一排查清理。
據了解,在十九大前夕,有匿名攻擊者通過國外社交網絡發出風聲要發動網絡攻擊,其中某國家重點網站位列其中。得到這個消息后,小王及保障組人員第一時間做出應急,避免了境外惡意攻擊事件的發生。
除了關注整體安全態勢,還需要持續關注客戶網站的可用性,比如網站是否被植入了博彩頁面、是否有后門、是否存在訪問過慢甚至無法打開等情況,這背后或許是一場DDoS攻擊,或許是入侵篡改,或許是網站存在安全漏洞,這都需要404積極防御實驗室的安全專家們去發現并解決。
當會議活動結束后,安全保障也并不會馬上撤離,依然需要保持較高的警惕性繼續去延續日常的防御,并將經驗和數據逐步優化到的知道創宇云防御安全產品當中。
安全防御產品并不只是接入就完事了,其背后更多的是安全專家們動態的服務。
據小王介紹,“我們很多服務對于客戶來說是無感知的,這個恰恰也是知道創宇云防御的優勢,在客戶的整個生命周期中,安全保障都需要我們負責,以前出了問題再去找廠商解決的路子已經行不通了,我們是要在風險來臨之前截斷攻擊的可能性。”
知道創宇云防御平臺從成立至今,不管是日常運維還是重保時期,所有客戶網站均以零被黑、零事故的佳績持續進行著安全防護。
一方面,不斷累積充實的黑客大數據持續優化著云防御平臺各安全產品的規則和策略;另一方面,平臺背后的安全專家們通過積極防御的策略最及時地發現未知攻擊,最有效地進行應急響應,最全面地解決網站安全問題。
產品+服務雙管齊下的動態性安全防護,正是如此,使得云防御平臺整體網絡安全能力不斷強化,并轉化為客戶提供更好的網絡安全保障。這也使得知道創宇云防御越加受到客戶的信賴,更是知道創宇云防御取得市場占有率第一的最大訣竅所在。
(新聞稿 2018-04-09)