笔者大学刚毕业时候就进入了一家从事网络安全产品研发的公司做前线技术支持。多年过去了,一直奔波于各色各样的客户现场,既去过又小又乱中小企业机房,也去过现代化程度非常高的大企业专业机房。听过各种奇葩客户需求,处理过形形色色各种网络问题。不过,这一次以公司专家身份去某省公安厅抓“失陷主机”经历却让我难忘。
事情起因,还要追溯到2015年中旬,接到公司一线销售人员求助电话,通过电话简单沟通了解到,原来是某省公安厅相关IT人员发现内网有主机发出访问互联网域名的“非法请求”,但是他们无法准确定位发出访问请求的主机。
失陷主机惹的祸
在认真分析客户问题之后,我们发现不仅仅是企业,其实很多像公安这样机构单位也都被失陷主机这个问题困扰不已。由于失陷主机受控或发起恶意行为往往难寻规律、隐蔽性极强,绝大部分已存在失陷主机的组织根本无法感知,只能被动的等待问题发生后进行补救。因此,经常会发生内部主机被感染后,由于其隐蔽性极高,管理者无从知晓,直到内部服务器信息被篡改发生时,才被动响应,查找定位相关问题。
公安作为正义代表,也是信息化建设最先进的机构之一。但是仍然有很多黑客冒着犯法入狱的风险,在极端的心理驱使之下,铤而走险去触摸老虎胡须。在这样的背景下,公安网络成为众多“黑客”的试金石。公安网和数据中心经常受到大量外部攻击,同时也会受到内部渗透攻击。而失陷主机成为了黑客攻击目标过程中的一个个跳板,但是在众多机器中寻找出失陷主机,却是一件极其棘手复杂事情。面对寻找公安网中“失陷主机”这样一个极具挑战的问题,我们争取到了一次去客户现场解说“云管端”立体解决方案的机会,而这个方案思路也与该省公安厅信息中心领导的思路不谋而合,这为下面一个个精彩片段打了一个很好伏笔。
探针NGFW小试牛刀
通过分析,我们得出解决这个问题的核心思路就是要对公安内网进行深度检测,先发现问题,再解决问题。通过对网络行为、安全日志、流量日志进行空间和时间维度的关联分析,发现内网中潜在的失陷主机,然后基于大数据溯源技术,帮助客户找到问题发生的根本原因。
在此期间,我们跟客户做了多次交流,了解到客户内部多年以来一直存在一种蠕虫病毒无法查杀,之前客户使用的某杀毒软件无法查杀,能查杀的某主动防御软件误杀率又太高一直不敢用。通过部署NGFW探针,采集到客户内网中病毒样本及其各种行为日志、安全日志、流量日志之后,并将这些日志实时发送到慧眼云上进行分析。探针上线当天10分钟不到就抓到1000多条攻击,之后提交给客户才发现原来是客户故意做的模拟攻击来测试我们产品。
NGFW探针上线之后,跟其他同类产品相比优势越发明显,先后两次获得客户的认可:其中一次是有几台机器中了病毒,NGFW立马发出告警,客户到现场查杀后,确认是中毒了,没有误报。第二次是:暴力破解告警,客户现场确认,发现是因为管理员改了系统密码,操作人员不知道频繁操作输入密码才引起报警。
“云管端”立体解决方案终极考验
如果说之前那些考验对于NGFW是小试牛刀,那么接下来的可以算是一个终极考验。在今年年初,公安部通报了该省公安厅被IPZ病毒感染的主机达到五六十台,但是截至目前该省公安厅只查到三十多台,客户迫切希望我们NGFW探针可以发现剩余的失陷主机并且能够追踪溯源发现攻击源以及能看到具体攻击命令符。在交流过程中,看得出来客户非常看重NGFW和大数据平台(云)以及终端之间联动,最大程度发挥NGFW防护效果。在这一点上,公司NGFW已经能够跟大数据分析平台“慧眼云”和“360终端天擎”进行联动。NGFW抓取的网络数据,天擎抓取的终端数据,都会实时发送到慧眼云上进行统一分析处理。慧眼云通过云和大数据技术构建了威胁情报系统,同时利用异常行为识别、机器学习等技术,主动、快速、持续的发现网络中存在的问题主机,也就是失陷主机。找到了这些失陷主机,再通过大数据技术进行攻击溯源,还原失陷全过程,就可以在没有明显行为特征、没有检测规则的情况下准确锁定网络中的风险点或风险链条,从而将安全隐患消灭在萌芽状态。也正是凭借“云管端”立体解决方案,NGFW失陷主机检测能力让我们在该省公安厅擂台上脱颖而出,产品得到了客户极大认可,从省级到市、县级都部署了公司NGFW产品。
作为一个技术人员,有幸能够亲眼见证公安厅抓“失陷主机”过程,让人激动而又喜悦,同时也让人感到惶恐。或许,现在要找到一块网络净土已经比当年哥伦比亚发现新大陆还艰难。因为有很多网络攻击者已经敢把触角伸向执法者的领地,这是一种赤裸裸地挑衅和肆无忌惮地侵略。作为一个网络安全从业者,我深感肩上的重任,我有一个梦想,那就是大众人民能够在网络净土上“安居乐业”,那里,没有病毒,没有木马,没有蠕虫…..