善攻者,敌不知其所守;善守者,敌不知其所攻——《孙子兵法》

网络安全圈流传着这样一句话:世界上只有两种企业,一种是知道已经被黑客入侵的企业,另一种则是被入侵却浑然不知的企业。

尽管这样的说法可能言过其实,但不可否认的是,潜藏在暗中的黑客无时不刻都在伺机发动攻击,窃取企业数据资产、破坏生产系统;而看不见的交易,在暗网上每分每秒都在进行。

2014年2月,在世界上最早的比特币交易平台——日本的Mt. Gox网站,85万个比特币被盗,价值约4.5亿美元,交易所因此破产清算。

2014年夏天,美国摩根大通银行7600 万家庭用户和 700 万小型企业的信息被泄露,涉及人数超过美国人口的四分之一。

2019年5月,黑客入侵并控制了美国马里兰州巴尔的摩市大约10,000台政府电脑,并索要13个比特币(价值10万美元)。

这些被曝光出来的网络安全事件,仅仅是网络安全攻击的冰山一角。在我们看不见的战场,安全攻防团队与黑客的战争从未停歇。

枕戈待旦,时刻紧绷战备神经

作为国内最大的互联网公司之一,腾讯服务了超过十亿的个人用户,庞大的用户数据犹如一笔巨大的宝藏,让各路不法黑客团伙垂涎欲滴、跃跃欲试。

而随着腾讯云的快速发展,越来越多的用户入驻腾讯云,不少黑客将攻击的目标转移到了腾讯云上。

“腾讯云每天都在遭遇大量攻击,只不过绝大部分都被我们和公司各安全团队共同制定的策略和防御系统拦截了。”腾讯云鼎实验室云安全攻防团队的负责人youzu这样描述腾讯的安全态势,但即使这样,他们也不敢掉以轻心。

(腾讯御见安全中心实时监控到的安全威胁)

需要提防的,是那些有能力突破自动防御系统的攻击。为了应对黑客随时可能发起的进攻,云鼎实验室的攻防团队枕戈待旦,时刻留意着系统的警报,一旦警报拉响,就将进入紧急战备状态,与黑客展开正面对抗。

仅2019年上半年,云鼎实验室与突破腾讯云第一层防护的黑客就短兵相接了数次。

简单来讲,腾讯的防御体系分为三层,第一层是产品自身安全与防护,第二层是业务服务器安全加固防御与入侵检测,第三层则是腾讯内网隔离、访问控制与风险感知。而每一层都有极其严密的防御措施和复杂的安全规则。

(腾讯防御体系示意图)

“如果黑客突破了我们的第一层防御,进入到产品服务器,他可能会留下后门方便以后进出,也可能利用我们的服务器从事非法挖矿等活动”youzu说,“但是如果不及时发现处理,他可能会找机会继续往里突破,那就很危险了。”

真正的威胁还不是这些正面战场上的对抗,而是那些不知道潜伏在何处的危险。为了避免有黑客通过漏洞偷偷潜伏,攻防团队的成员enlighten的主要工作之一就是和小伙伴一起对腾讯云上的200多款产品进行扫描,及时发现并封堵漏洞,将威胁消灭在萌芽状态。

除了要对已经上线的产品进行漏洞收敛,把好新产品上线的最后一道关,也是他们工作的重要任务。安全不过关产品不上线,这是云鼎实验室定下的军规。哪怕耽误了产品上线的重要时间节点也在所不惜。

“为这个事儿其实和很多产品开发团队闹过不愉快”enlighten苦笑着说,“但是没办法,为了整个腾讯云的安全,这个恶人我们必须要当。”

意想不到的“突袭”

即使云鼎实验室平时对腾讯云上的所有产品和即将上线的新产品进行严格把控、收敛漏洞,将被攻击的风险降到最低,但随着黑客攻击手法和方式的不断变化和更新,也很难保证腾讯云不会遭到攻击。

“在我们看来,任何系统没有100%的安全,只有还没发现的漏洞。”对云安全攻防组的安全观,youzu这样评价。

2019年上半年的一天,enlighten刚刚结束给一个开发团队的培训,突然收到了防御系统的警报,有黑客已经侵入到了腾讯云的支撑环境。他顾不上震惊,迅速响应,联同腾讯安全平台部洋葱团队对攻击进行阻拦,与黑客展开了对抗。

enlighten回忆说:“当时其实既惊讶又兴奋,因为这么多年来,基本没有哪一次攻击能够突破第二层防御到达支撑环境。觉得这一次遇上对手了。”

如果一个黑客能悄无声息地突破产品自身安全防护和业务服务器安全加固防御到了支撑环境,足以说明他的实力强劲,并且已经可以造成一些实质性的危害了。

接到警报后,enlighten和小伙伴一起迅速控制住攻击的势头,并对攻击进行溯源,找到入侵的源头,对漏洞进行封堵。原来该攻击是利用了腾讯云上某一款产品可以上传脚本的漏洞(该漏洞已被及时修复),入侵后一步步突破,最终到达了支撑环境。

当enlighten终于忙完,长舒一口气的时候,却发现youzu和另外两名同事看着自己露出了贼兮兮的微笑,才意识到事情不对劲。

原来,这是一次云鼎实验室联合腾讯内部玄武实验室、朱雀实验室、企业IT 、TSRC等众多安全团队一起组织的一次对抗演习,目的就是为了模拟真实情况下的攻防对抗,来检验腾讯云的安全防护水平。

善守者,敌不知其所攻

在对抗中被检查出漏洞意味着不安全吗?其实不是。

“这次我们集结了公司内部这么多安全大牛在一起,在大家对腾讯的安全体系都非常了解的情况下,仅仅是为了找到一个可以入侵的产品漏洞就花了整整两周”youzu解释说,“后面为了绕过防御体系,悄无声息突破第二层防御,又想了无数的办法,如果一个外部黑客对腾讯的安全防御体系完全不了解,他在第一次尝试的时候就会被发现。”

内部的安全攻防对抗演练,不在乎输赢,目的在于找出平时用常规手段没有发现的漏洞并及时收敛,让真正的黑客在攻击时无计可施,进一步保证腾讯云和云上用户的安全。

正是这样不定期的展开实战对抗,加强了腾讯内部各安全团队的默契、积累了深厚的实战经验。

除了对抗演习之外,包含湛泸实验室、腾讯安全平台部等团队,也在腾讯云漏洞挖掘、攻击防护、入侵检测等方面组成了腾讯云安全的坚实之盾。”正是有了这一群来自腾讯内部顶尖的友军的鼎力支持,才让我们在与黑客的攻防对抗中始终得心应手。”youzu如是说。

在去年,堪称国内难度最高的贵州云安全实战攻防赛上,腾讯安全团队凭借靶标攻击挑战总成绩第一、腾讯云100%完美防御夺下“攻”与“防”双料冠军,捍卫了腾讯云业界领先的安全实力。

而在今年刚刚过去不久的一场为期21天的网络安全红蓝对抗上,承担某平台“守方”角色的腾讯安全团队最终“以一敌百”——抵御住100支国内顶尖队伍的全天候、多方位攻击,共阻断TCP攻击近20亿次,阻断Web攻击近300万次,封禁IP6.8万,最终取得了0事件通报、0失分的优异成绩。

孙子兵法有云“善攻者,敌不知其所守;善守者,敌不知其所攻。”让黑客无计可施、不知从何入手,这不仅仅是云鼎实验室的追求,更是腾讯安全的愿望。未来,腾讯安全将面向产业互联网持续输出自己的安全能力,为产业互联网的发展保驾护航。

腾讯云上攻防战事(二)丨漏洞收敛,使敌不知其所攻相关推荐

  1. 腾讯云上攻防战事(三)丨千里追凶,云上黑产虽远必诛

    互联网飞速发展为人们的生活带来了便利,但同时也给一群利欲熏心的不法分子创造了活动的空间. 在虚拟的网络世界中利用技术进行犯罪,明目张胆地进行CDN劫持.招摇过市的DDoS攻击,带来的却是真金白银的收益 ...

  2. 如何用Baas快速在腾讯云上开发小程序-系列3 :实现腾讯云COS API调用

    版权声明:本文由贺嘉  原创文章,转载请注明出处:  文章原文链接:https://www.qcloud.com/community/article/640268001487425627 来源:腾云阁 ...

  3. 一文透析腾讯云云上攻防体系

    近年来,网络安全问题变得愈发严峻,企业被黑客攻陷事件层出不穷,企业攻防犹如一道隔绝外界侵扰的屏障,一旦屏障被攻破,信息数据安全便失去保障.随着云计算浪潮到来,越来越多企业开始在云上探索新航线,期望解决 ...

  4. K3S系列文章-使用AutoK3s在腾讯云上安装高可用K3S集群

    开篇 <K3s 系列文章> <Rancher 系列文章> 方案 在腾讯云上安装 K3S 后续会在这套 K3S 集群上安装 Rancher 方案目标 高可用 3 台master ...

  5. 一键搭建微信小程序开发环境 及demo运行(腾讯云上一键搭建node.js服务器环境,PHP,Java,.NET服务类似)

    一.首先准备下本地环境(本地就需要一个微信开发工具) 1.首先得有一个微信小程序账号,登陆微信小程序首页:mp.weixin.qq.com,点击右上角立即注册. 注册登陆后,首页填写一些小程序基本信息 ...

  6. 在腾讯云上创建您的SQL Cluster(3)

    2019独角兽企业重金招聘Python工程师标准>>> 版权声明:本文由李斯达原创文章,转载请注明出处:  文章原文链接:https://www.qcloud.com/communi ...

  7. java连接腾讯云上的redis

    目录 腾讯云上的配置 redis连接单机和集群 依赖 pom.xml redis参数的配置文件 遗留问题 腾讯云上的配置 在安全组上打开相关的端口即可 "来源" 就是你的目标服务器 ...

  8. 如何在腾讯云上安装Cloud Foundry

    Cloud Foundry是VMware推出的业界第一个开源PaaS云平台,它支持多种框架.语言.运行时环境.云平台及应用服务,使开发人员能够在几秒钟内进行应用程序的部署和扩展,无需担心任何基础架构的 ...

  9. 腾讯云对象存储的完整教程,java将文件上传到腾讯云上后返回可以访问的连接

    先前使用的是七牛云,是挺好用的,但是七牛对于测试域名有一个月的时间限制.测试域名失效后上传的图片等文件就不能访问了.但是腾讯云每个注册的账户有50G的对象存储的空间.而且没有时间限制.所以就采用腾讯的 ...

最新文章

  1. 理解基本权限以及特殊权限:Suid 、Sgid、Sticky以及acl
  2. 设备树的具体使用方法
  3. Java 11 已发布,String 还能这样玩!
  4. R星服务器修改声望,从《荒野大镖客2》Online更新,我们可以看出R星的新思路
  5. java 协议处理器_协议处理器urlstreamhandler及contenthandler
  6. java instanceof 继承_Java中的instanceof关键字
  7. 希尔排序(分而治之)
  8. 将CSV和SQL数据加载到Pandas中
  9. IO流,字节流文件拷贝示例 [FileInputStream FileOutputStream]
  10. 23种设计模式(十六)接口隔离之中介者
  11. 计算机网络之万维网WWW
  12. php mysql 组件_Ubuntu20.04安装apache、mysql、php、phpmyadmin、wordpress(一)
  13. 七年切图仔如何面试大厂web前端?(沟通软技能总结) | 掘金技术征文
  14. 阿拉伯数字金额转汉字大写
  15. 用JavaScript获取一年的天数
  16. 用Python+小程序实现诗词大会的飞花令 !
  17. 勒索病毒2019年常见的后缀有ITLOCK/AOL/VC/phobos/ETH/x3m/qwex/H
  18. JavaWeb--使用Websocket实现在线聊天功能
  19. 用友U8打开系统管理报错481
  20. ESP8266占空比测试

热门文章

  1. 注册数据源时,ODBC数据源管理器中找不到Access驱动程序
  2. tp5之 在nginx环境 下出现 file not found
  3. 20221230英语学习
  4. 2023爱分析·商业智能应用解决方案市场厂商评估报告:数聚股份
  5. 网上银行安全证书工作原理
  6. Android代码混淆后查看日志
  7. Hive-窗口函数/开窗函数(重点理解~~~)
  8. 肖 sir_就业课__004项目流程(H模型)
  9. 以LAN8720A为例的以太网硬件设计方案
  10. yubikey复制_如何在Windows上使用YubiKey NEO和GPG和Keybase设置Signed Git提交