一點資訊是國內(nèi)知名的內(nèi)容聚合平臺,擁有超過5億用戶,月活躍用戶數(shù)高達2億,其中僅沸點視頻(一點資訊旗下短視頻品牌)就擁有數(shù)千萬粉絲,原創(chuàng)視頻總播放量超過500億次,單條閱讀量最高達13億次。
一點資訊的成功離不開原創(chuàng)、優(yōu)質(zhì)的內(nèi)容,更離不開分布在三大公有云與三個自建數(shù)據(jù)中心包括服務(wù)器、云主機與容器主機的16000余臺主機,這些主機支撐了包括沸點視頻在內(nèi)的各業(yè)務(wù)系統(tǒng)7x24小時穩(wěn)定運行。
沒有主機安全就沒有業(yè)務(wù)安全,今年3月,一點資訊開始組建新的網(wǎng)絡(luò)安全團隊,7月新團隊剛組建完成就接到通知,將參加市局在8月組織的網(wǎng)絡(luò)安全攻防演練。這意味著,新團隊必須要在1個月內(nèi)構(gòu)建一個擁有較高水準的網(wǎng)絡(luò)安全防護體系。
幸福一點 “煩惱”的陳喬
陳喬是微步的一名網(wǎng)絡(luò)安全工程師,歷經(jīng)各種“疑難雜癥”項目,但一點資訊的方案顯然將再次刷新了陳喬的履歷。根據(jù)一點資訊的現(xiàn)實需求,陳喬的方案應(yīng)具備下面兩種能力:
·在攻防演練方面,攻防對抗已經(jīng)異常激烈,0day/Nday、內(nèi)存馬、網(wǎng)絡(luò)釣魚……成為最“流行”的攻擊方式,這意味著傳統(tǒng)“被動防御”方式近乎失效。這套方案必須能有效應(yīng)對新型威脅,在各個攻擊敞口上做到實時發(fā)現(xiàn)、檢測與響應(yīng);
·這套新網(wǎng)絡(luò)安全防護體系必須快速上線,爭取10天內(nèi)部署完畢。
經(jīng)與一點資訊安全團隊深入溝通后,陳喬規(guī)劃出滿足一點資訊需求的網(wǎng)絡(luò)安全防護體系:基于微步主機威脅發(fā)現(xiàn)與響應(yīng)平臺OneEDR、威脅感知平臺TDP、辦公網(wǎng)安全服務(wù)OneDNS、HFish蜜罐產(chǎn)品構(gòu)建一套覆蓋“云端+網(wǎng)絡(luò)流量+主機”的一體化網(wǎng)絡(luò)安全縱深防御體系。
一點資訊 “云網(wǎng)端”三位一體縱深防御架構(gòu),針對辦公網(wǎng)、私有云數(shù)據(jù)中心及公有云不同特點而采用具有不同安全能力的微步產(chǎn)品形成組合解決方案
構(gòu)成這套網(wǎng)絡(luò)安全縱深防御體系的不同產(chǎn)品具備不同緯度的安全能力,且能聯(lián)動響應(yīng),并提供覆蓋事前預(yù)防、事中響應(yīng)處置、事后溯源全流程的安全閉環(huán)能力。
有效覆蓋不同攻擊方式。網(wǎng)絡(luò)釣魚與0day漏洞利用是最常用,成功率也最高的攻擊方式。網(wǎng)絡(luò)釣魚主要發(fā)生在辦公網(wǎng)場景,OneDNS以SaaS化方式提供互聯(lián)網(wǎng)安全接入服務(wù),可以有效防范網(wǎng)絡(luò)釣魚、挖礦、勒索及APT攻擊;對于0day,TDP與OneEDR另辟蹊徑,利用情報、流量、文件與攻擊行為特征檢測相結(jié)合,可有效檢出利用0day發(fā)起的攻擊。
聯(lián)動實現(xiàn)一站式響應(yīng)。在這一縱深防御體系中,TDP可與OneDNS、HFish蜜罐與OneEDR聯(lián)動響應(yīng),尤其是TDP與OneEDR的聯(lián)動,實現(xiàn)了流量行為、主機行為檢測的整合,利用OneEDR中的事件聚合與威脅圖等專利技術(shù),不僅能更加精準地發(fā)現(xiàn)攻擊行為,還能還原整個攻擊鏈路,讓定位處置更加簡單便捷。
Webshell是企業(yè)最為“頭疼”的攻擊方式之一,通過TDP檢出的流量行為與OneEDR的主機行為相互印證,告警更精準,并還原整個攻擊鏈路
安全閉環(huán)能力。TDP與OneEDR都具備安全閉環(huán)能力,作為主機的最后一道屏障,OneEDR集成了尤為強大的功能。不僅能在事前快速發(fā)現(xiàn)開放端口、弱密碼及不當配置等容易被黑客利用的風(fēng)險點;在事中,內(nèi)部集成12款自研引擎從不同緯度檢測,再結(jié)合事件聚合綜合評判來精準告警;并將日志、告警信息與威脅圖技術(shù)相結(jié)合,完整展現(xiàn)全部攻擊鏈路,自動溯源,幫助安全團隊快速定位風(fēng)險點,避免被重復(fù)攻擊。
輕量快速部署能力。這一體系中的產(chǎn)品均具備快速部署能力,比如辦公網(wǎng)安全防護,只需將本地DNS指向OneDNS即可;TDP針對網(wǎng)絡(luò)流量進行檢測,通過旁路部署在網(wǎng)絡(luò)出口,無需更改網(wǎng)絡(luò)架構(gòu);HFish對資源要求極低,可按需部署在數(shù)據(jù)中心任意位置,以進一步提升威脅感知能力;OneEDR用于安裝在主機上的Agent也非常輕量,可以批量部署。
但不管Agent有多輕量,上萬臺部署規(guī)模,都是不小的挑戰(zhàn)。時間緊,部署規(guī)模大,還必須優(yōu)先保證一點資訊業(yè)務(wù)平穩(wěn)運行,而這是陳喬在準備實施階段面對的最大“煩惱”。
進擊的陳喬,一點沒“煩惱”
一點資訊的業(yè)務(wù)特點決定了業(yè)務(wù)對主機性能的需求極難預(yù)測:也許下一個視頻或文章就會成為“爆款”,爆款所需的性能可能是平常業(yè)務(wù)的數(shù)十倍。除此之外,還有核心數(shù)據(jù)庫系統(tǒng)、離線分析業(yè)務(wù)、推薦系統(tǒng)……林林總總近百個系統(tǒng),均由各類型的服務(wù)器、虛機、云主機及容器主機支撐,總計超過16000余臺,主機類型多樣、架構(gòu)復(fù)雜,也進一步增加了Agent部署難度。
在一點資訊CEO親自“掛帥”下,新安全團隊加班加點摸排互聯(lián)網(wǎng)資產(chǎn),并將16000余臺主機按重要程度、應(yīng)用特點以及被攻擊風(fēng)險等因素分為了四個不同優(yōu)先級,得益于OneEDR Agent模塊化設(shè)計理念,在OneEDR管理控制臺中可根據(jù)不同優(yōu)先級主機選擇啟用/關(guān)閉一個或多個功能模塊。
陳喬決定率先對優(yōu)先級最高的數(shù)百臺主機“動手”。這些主機特點非常鮮明:承載核心業(yè)務(wù)/數(shù)據(jù)庫應(yīng)用,大多屬于高并發(fā)應(yīng)用,對響應(yīng)時間極其敏感。根據(jù)這些特點,陳喬選擇關(guān)閉了Agent上的資產(chǎn)清點、系統(tǒng)完整性校驗以及文件檢測等功能模塊,并修改MD5校驗方式,這樣可進一步降低資源占用,但利用攻擊行為特征等檢測方式,主機安全等級依然保持在較高水平。
在OneEDR管理控制臺中可按業(yè)務(wù)場景為Agent設(shè)置靈活的檢測策略,通過關(guān)閉部分資源占用較多的功能來避免對業(yè)務(wù)造成影響
安裝Agent后經(jīng)24小時的持續(xù)監(jiān)控,主機應(yīng)用運行正常,除預(yù)先關(guān)閉的功能模塊之外,其他功能模塊正常運行,Agent資源占用極低,都維持在1%以下。最硬的“骨頭”啃掉了,陳喬深深地舒了一口氣。隨后,1000臺主機批量部署、2000臺、3000臺……整個部署過程有如神助,在8天內(nèi)就完成了16000余臺主機部署,比規(guī)定的時間還提前了兩天。
只要幸福,不要煩惱
除了針對數(shù)據(jù)、規(guī)則運營的優(yōu)化之外,一點資訊還利用OneEDR的資產(chǎn)清點來對自身互聯(lián)網(wǎng)資產(chǎn)進行梳理,以便在遭遇攻擊時能快速定位并責(zé)任落實到人,同時利用風(fēng)險發(fā)現(xiàn)功能來找出潛在可能被網(wǎng)絡(luò)攻擊者利用的弱密碼、開放端口及不當配置等風(fēng)險點。在這一過程中,僅弱密碼這一項,OneEDR就在SSH與數(shù)據(jù)庫等服務(wù)上發(fā)現(xiàn)了4000多組弱密碼,且OneEDR還能持續(xù)監(jiān)測弱密碼整改情況。經(jīng)整改后,有效降低了被攻擊者利用的幾率。
除此之外,在持續(xù)一周的攻防演練準備階段,還發(fā)生了一段小插曲:在日常監(jiān)測中,OneEDR突然發(fā)出失陷主機告警,微步安服人員在確認告警后,立即使用OneEDR溯源功能來定位具體的目錄文件。隨后,OneEDR陸續(xù)發(fā)現(xiàn)了30多臺失陷主機,其中某臺失陷主機在2019年就已被植入偽裝成正常應(yīng)用的木馬后門程序,三年間還經(jīng)過多次更新,試圖偽裝成不同應(yīng)用繼續(xù)潛伏,但最終未能逃過OneEDR的“火眼金睛”。
在攻防演練準備階段,OneEDR在某臺業(yè)務(wù)主機上檢測到木馬后面程序,并定位到具體目錄、文件
經(jīng)過演練前準備階段的攻擊面梳理和收斂。在攻防演練期間,在面對各種網(wǎng)絡(luò)攻擊時,這套“云網(wǎng)端“三位一體縱深防御體系與微步提供的情報相結(jié)合,經(jīng)受了各種網(wǎng)絡(luò)攻擊手段的考驗,均能快速發(fā)現(xiàn)威脅并及時阻斷。在歷時半月的攻防演練期間,一點資訊真正做到了0失分,讓靶標穩(wěn)如泰山,且業(yè)務(wù)平穩(wěn)有序運行。
