如果有人在網絡攻擊你？

未知威脅永遠存在，網絡要么已經被攻陷，要么正在被攻陷的路上。所有安全從業人員都希望自己能開啟上帝視角，能看清黑客攻擊，能應對0Day漏洞，能阻止APT攻擊…….但事與愿違，更多時候我們對黑客攻擊一無所知。

更可怕的是，我們既不知道黑客是怎么進來的，也不知道黑客拿走了什么，更不知道黑客留下了什么。面對黑客攻擊時，企業受到了多大損失，這是所有企業CEO最關注的問題。比如，數據庫是否被竊取、敏感數據是否泄露、業務代碼是否泄露等問題。

Question 1

企業受到了多大損失？

99%企業都無法確定黑客到底“拿走”了什么，這比入侵本身更可怕。試想一下，如果小偷進家里了，但是你卻不知道自己丟失了什么，這意味著“警察叔叔”也愛莫能助。作為一個CEO、CIO或CTO，他們也許不直接負責IT安全，甚至只有少部分人對此能有較為深刻的理解。但如果“天花板”墜地時，他們一定是首要責任人。例如之前索尼影視、韓國金融公司KB Financial、AOL美國在線等一大批不同行業機構高管都因為黑客攻擊帶來的巨大損失而不得不引咎辭職。

在面臨不同等級的入侵事件時，企業的應對策略是完全不同的。因此，如何評估黑客入侵對企業造成的損失事關重大。通過準確的入侵損失評估，既能夠有效降低應對攻擊成本，也有利于企業品牌制定合理的公關應對策略。但這也并非易事，如果僅僅依靠IPS、IDS等傳統檢測手段，很容易被黑客繞過，會出現大量誤報、漏報。

此外，因為流量加密等手段廣泛應用，想要通過網絡端的流量分析來確認黑客異常行為已經不可能，只能將目光聚焦到主機內部。雖然黑客攻擊手段多種多樣，但其攻擊行為通常都會在服務器上產生對應的操作痕跡。因此，黑客的攻擊行為通常都是有跡可循，只需記錄這些異常操作行為，并通過大數據分析，就可確定其攻擊行為和帶來的危害。例如，黑客在竊取敏感數據時，將會執行特定的數據庫操作，通過分析該行為就能判斷黑客拿走了哪些數據。

Question 2

黑客是怎么進來的？

企業負責人最關注的是黑客拿走了什么，而安全人員往往最關注的是黑客是怎么進來的。不知攻，焉知防？安全人員需要結合資產狀況、入侵的攻擊路徑等信息來確定受攻擊影響的資產狀況。根據黑客殘留痕跡的位置，并向上或向下回溯其它服務器，確定被黑客攻擊的“缺口”。

例如，通過分析系統的登陸日志來查找異常登陸情況，以及檢查網絡訪問日志查找失陷主機。基于多日志的綜合分析，分析黑客入侵期間的所有操作，就可以還原完整攻擊過程，確定入侵攻擊的入口。

Question 3

黑客還留下了什么？

黑客就像幽靈一樣，在入侵服務器后，往往會留下多個后門，為下次入侵提供便利性。舉個簡單例子，黑客在攻入某臺服務器后，將分階段埋入多個入侵點，并在某次攻擊時啟用其中一個后門，典型“狡兔三窟”。例如，寫入計劃任務以重新啟動后門。植入一些程序代碼以備后續再次入侵站點。

因此，入侵事件之后，安全人員需要通過排查關鍵位置，來確定殘留問題，比如是否存在殘留計劃任務，是否存在一些尚未啟動的后門程序，是否在業務服務中植入一些特定代碼等。

Solution

三大問題，一個對策

黑客是怎么進來的，又拿走了什么，以及留下了什么？如何解決這三大難題是擺在所有企業安全人員面前的一大難題。系統本身并不能詳細記錄進程啟動、主機操作等日志，而基于Agent重新采集主機數據，將為安全事件分析提供豐富的數據支撐。

三大問題，一個對策。青藤星池·大數據分析平臺，使用大數據技術存儲主機日志，從安全角度引導客戶對日志進行查詢與分析，發現黑客入侵的蛛絲馬跡，還原攻擊現場。產品基于ES系統，可在5s內獲得查詢結果，同時對TB級數據進行統計分析，并保證數據至少保留180天，并可導入其他系統使用。

青藤能夠提供獨有的關鍵事件數據，包括操作審計日志、進程啟動日志、網絡連接日志、DNS解析日志等。每一個進程啟動過程都會被記錄下來，并且可以與網絡連接日志、DNS解析日志進行關聯。這將助力安全人員快速精準定位問題，徹底解決通過傳統日志進行溯源時只能定位到哪臺機器被黑，但是無法定位到具體進程的問題。

此外，青藤大數據分析平臺，提供自研QSL語法，采用”字段名+連接符+查詢關鍵字“的檢索方式，具有極強的擴展性與靈活性，可跨日志查詢數據，發現數據特點與安全線索。允許用戶使用SQL式的語法查詢，如下圖所示：

select * from net_connect where dst_port=3306 or src_port=3306

Process

實踐過程：一個APT后門排查過程

在日常繁瑣的運維工作中，對服務器進行安全檢查是一個非常重要的環節。在黑客攻擊之后，如何深入調查失陷成因與影響范圍尤為重要。下文將基于青藤大數據分析平臺，深入分析一個APT后門排查過程。