腾讯云上攻防战事(一)| 云上听风,不战而屈人之兵
对于一场战争而言,情报战早在双方短兵相接之前就已经打响,谁能掌握更多、更精准的情报,往往就掌控了战场的主动权,有更大的把握赢得胜利,甚至能取得以弱胜强、以少胜多的战果。在作家麦家的小说《暗算》中,拥有独特天赋能够从纷繁复杂的信号中辨别出敌方电台、截获秘密情报的工作者,被称为“听风者”。
(电影《听风者》剧照)
在腾讯,也有这样一群“云上听风者”。他们通过自主研发的情报监测系统和高效的安全运营体系,为腾讯云的安全源源不断地提供全面、专业的漏洞情报,与黑客抢夺关键的时间窗口,让安全运维部门有时间做好充分准备以应对随时可能到来的攻击。
聪者听于无声,明者见于无形
2017年5月12日,利用永恒之蓝漏洞传播的WannaCry蠕虫勒索病毒爆发,短短几天之内,全球100多个国家和地区,数十万台电脑遭到了攻击,但是腾讯云上的几十万用户却鲜有受到感染,疫情在最短时间内得到全面控制。取得这样的战果,与腾讯“云上听风者”的努力密不可分。
云鼎实验室情报团队便是腾讯“云上听风者”之一。
当WannaCry蠕虫勒索病毒还未出现大规模扩散时,他们便在第一时间监测到了这个病毒的疫情,并针对这一疫情进行快速深入分析,发现该病毒有全网传播扩散趋势后,立即启动情报驱动应急预案,针对腾讯云上用户发布疫情告警,并同步开启联动封堵防护机制,阻断来自外部的蠕虫利用请求,避免了该病毒在腾讯云上传播扩散。这支团队人数不多,战斗力却极强,他们每天需要处理上千条漏洞情报,每一条都需要准确地辨别出这些情报里是否隐含危险信息,因为一旦漏掉任何一条,都有可能对腾讯云和云上的用户造成无法挽回的损失。“大部分情报机器会先过滤一遍”团队负责人phon解释说。phon说的机器,是他们开发的一套监测分析系统,目前已经覆盖了超过300多个情报源,每天会源源不断地将来自开源社区、官方通告、社交平台等渠道的漏洞信息加工后输送到情报中心,经过算法筛选后,会根据分级按顺序留下需要人工分析的目标情报。经过人工分析后,他们会根据漏洞的威胁程度输出报告,第一时间对腾讯云业务团队和腾讯云用户进行预警,并且给出合理的解决方案,通知运维团队和用户赶在黑客攻击之前修复漏洞。
火线预警,守护云上安全
今年5月份的一个清晨,微软发布了远程桌面服务(RDS)远程代码执行漏洞CVE-2019-0708。黑客可利用该漏洞远程获取计算机的控制权限,存在着极大的安全隐患。
云鼎实验室的情报团队第一时间就收到了情报监测系统推送的漏洞预警,当时正在吃早饭的团队成员chad,立刻在工作群里拉响了警报,启动了应急预案,将情报迅速知会给相关团队。“RDP端口是一个常用端口,这个漏洞利用不需要用户交互,如果有黑客利用RDP漏洞植入恶意代码发起攻击,可能再次引发类似2017年WannaCry勒索蠕虫事件,危害甚至更大。”chad看到警情的第一时间脑海中就给出了初步的判断。想到腾讯云上数十万云主机将有可能遭受威胁,chad顾不得吃早餐,迅速赶回实验室对漏洞进行分析,编写预警文案。10点10分,漏洞预警在腾讯云官网发布,为了进一步通知所有腾讯云用户,chad他们又通过短信、邮件、站内信等方式轮番通知,务必要让腾讯云用户提高警惕。20分钟之后,腾讯云安全运营中心对外发布了详细的漏洞分析报告,并为用户提供完善的防御方案和建议。与此同时,腾讯云业务团队正在根据情报紧锣密鼓地对腾讯云自身的服务器和产品进行修复和验证,不到24小时的时间,已经确保了腾讯云上所有用户新创建机器不受漏洞影响。
(腾讯云官网预警)
在此期间,漏洞情报团队始终保持着高度关注,但由于腾讯云上的用户量太大,很难保证所有用户都看到预警并及时修复。phon和chad预估很快互联网上将出现恶意漏洞利用工具。几天之后,不出所料,情报监测系统在GitHub上监测到了一名匿名漏洞研究者的发言,他声称将于下周五发布能造成系统崩溃的漏洞利用工具。
(GitHub上的留言截图)
监测到这一情报,漏洞情报团队立即发布风险升级预警,二次提醒用户开展修复工作,同时联合云镜团队和电脑管家团队快速开发一键漏洞检测和一键漏洞修复工具,以帮助用户快速进行查漏补缺。通过这一连串的应急响应与联动,大大降低了腾讯云平台和云上用户所面临的安全风险。
情报战中的尔虞我诈
像这样大规模的高危漏洞警情,不是云鼎实验室第一次碰上,也不会是最后一次。但正是他们完善的监测、及时的预警才为腾讯云和云上用户防御黑客的攻击抢到了宝贵的时间窗口。
在phon看来,云上安全攻防就是一场没有硝烟的战争,漏洞情报收集仿佛战争的前奏,情报越精准、越快速,就越能在攻防中掌握主动权,赢得最终的胜利。而在漏洞情报运营中,腾讯云最大的优势就是经验丰富的安全专家团队,“漏洞监测系统搭建起来并不难,但是最关键的是收集到情报后,要有专业安全团队去分析和研判,从中提炼出真正有价值的情报。”phon解释说。因为漏洞监测系统收录的情报当中经常会有一些以假乱真的“陷阱情报”,一些看似安全的PoC工具和修复补丁,可能暗藏危险。这些情报有如敌方特工释放的干扰信号,如何在其中锁定 “敌方电台”,鉴别出真实可靠的情报,还需要人工验证分析。
(某假PoC工具运行后的恶作剧动图)
这是安全社区上常见的恶作剧,当一些缺乏经验的工程师看到有人发布工具时,往往会不经分析直接使用,就会中招。但是,恶作剧往往是善意的提醒,如果遇上一些别有用心的黑客,没有分析出资源中暗藏的危险,就很可能遭遇恶意的攻击。而对于云鼎实验室来说,早就在多年的实践中积累了丰富的经验,练就了该如何应对“情报战”中的尔虞我诈。云鼎实验室情报团队作为腾讯的“云上听风者”之一,他们提供的情报,多次帮助腾讯云安全团队在重大危机来袭之前就成功化险为夷,未来他们也将持续战斗在云上攻防第一线,为腾讯云的安全贡献“听风者”的能量。
腾讯云上攻防战事(一)| 云上听风,不战而屈人之兵相关推荐
- 腾讯云上攻防战事(二)丨漏洞收敛,使敌不知其所攻
善攻者,敌不知其所守:善守者,敌不知其所攻--<孙子兵法> 网络安全圈流传着这样一句话:世界上只有两种企业,一种是知道已经被黑客入侵的企业,另一种则是被入侵却浑然不知的企业. 尽管这样的说 ...
- 腾讯云上攻防战事(三)丨千里追凶,云上黑产虽远必诛
互联网飞速发展为人们的生活带来了便利,但同时也给一群利欲熏心的不法分子创造了活动的空间. 在虚拟的网络世界中利用技术进行犯罪,明目张胆地进行CDN劫持.招摇过市的DDoS攻击,带来的却是真金白银的收益 ...
- 浅谈云上攻防——云服务器攻防矩阵
前言 云服务器(Cloud Virtual Machine,CVM)是一种较为常见的云服务,为用户提供安全可靠以及高效的计算服务.用户可以灵活的扩展以及缩减计算资源,以适应变化的业务需求.使用云服务器 ...
- 腾讯安全发布新一代云防火墙,筑牢企业上云第一道安全防线
12月22日,腾讯安全举行了2021腾讯新一代云防火墙线上发布会,正式对外公布了云防火墙产品新功能. 腾讯新一代云防火墙在实现SaaS部署.即开即用的基础上,集成了云原生应用程序的灵活性.扩展性.弹性 ...
- 向腾讯云windows服务器传输文件,如何上传本地文件到腾讯云Windows服务器上?
在做运维的过程中经常遇见客户问,如何上传本地数据到Windows云服务器上. 相对Linux云服务器,针对新人朋友Windows云服务器是可视化的更加容易理解.云服务器就是我们租用了腾讯云机房的一台服 ...
- 重磅!腾讯云首次披露自研业务上云历程
导语:传统行业转型的过程中,腾讯向来扮演的是数字化助手的角色,腾讯云作为帮助企业数字化转型的入口,也已经成为腾讯的"独角兽"业务.然而伴随着云业务的增长,腾讯内部业务如何上云,对于 ...
- linux的常用操作——基于ftp的windows10和腾讯云centos操作系统之间的文件上传和下载
\qquad在腾讯云服务器的centos操作系统上,安装vsftpd并进行配置,然后基于ftp实现windows10操作系统和腾讯云centos系统之间的文件上传和下载. 文章目录 1.基于腾讯云服务 ...
- 腾讯 QQ 产品已经实现全量上云;中科院计算所发明新编程语言“木兰”;Electron 7.1.9 发布 | 极客头条...
整理 | 屠敏 快来收听极客头条音频版吧,智能播报由标贝科技提供技术支持. 「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「极客头条」来啦,快来看今天都有哪些值得我们技术人关注 ...
- 腾讯技术专家解读《FinOps,从上云到上好云》
3月30日,由优维联合FinOps产业推进方阵.云原生社区举办的第2期UGeek大咖说如期开播,本期主题为"FinOps,从上云到上好云",邀请了腾讯技术产品经理王孝威做客直播间, ...
- 云之讯刘泽阳:互联网线上流量越来越贵,倒逼营销归于传统渠道|企服三会系列报道...
"一方面,目前通讯市场处于拐点期,传统通讯竞争更为激烈,而云通讯行业也面临产品差异化和创新程度不高,资源或者产品同质化严重导致价格大战.另一方面,客户的需求也发生了更大的变化,体现在客户业务 ...
最新文章
- 各层作用_土工布有什么作用呢?
- 55. Jump Game
- POJ_3262 Protecting the Flowers 【贪心】
- Hive的连接(join)方案
- 某学校新买了一批计算机,2020年度初中信息技术考试选择题.doc
- 阶段3 2.Spring_04.Spring的常用注解_5 自动按照类型注入
- Hyper-v 2.0
- Indigo Untyped Channel
- SVM多分类算法-一对一
- 阿里云服务器安全组配置
- linux基本命令总结
- ajax网页没有办法采集,Ajax网页采集方法(最新) - 八爪鱼采集器
- uniapp 默认首页 进入登录页闪烁问题
- 无线网卡SP-WL450U的驱动问题
- 利用机器学习算法挖掘群控网络黑产设备
- Linux-脚本安装、快照、重置虚拟机
- 什么是Python中的套接字编程?
- Python全栈(五)Web安全攻防之2.信息收集和sqlmap介绍
- 做程序员累了想要转行?我想给大家分享一下看法
- java的网络协议学习_协议简史:如何学习网络协议?