持续监控与分析：黑客攻防的以不变应万变

在这个数字化的时代，随着云计算、大数据等新型互联网技术的兴起，几乎所有企业都开始将自己众多业务转移到云上，利用云计算、大数据的力量来提升企业效益。然而任何事物都有两面性，在促进业务快速发展的同时，随之而来的黑客入侵也是越来越频繁。

相信很多安全从业人员内心都有过这样疑问：为什么安全做了这么多年，面对黑客时还是如此不堪一击？为什么部署了那么多安全防护设备，直到防护阵地完全失陷仍然对攻击一无所知？

用有限对抗无限，安全注定永远落后一步

所有安全从业人员都希望自己能开启上帝视角，能看清黑客攻击，能应对0Day漏洞，能阻止APT攻击等，但更多时候我们对黑客攻击一无所知。

一直以来对威胁的检测和拦截，都是基于对黑客行为的认知。过去，大家通过了解黑客的攻击方法，去跟踪他的入侵行为。这是典型的以有限对抗无限，用有限的认知，有限的时间，有限的资源，对抗无限的对手和无限的可能。这样的安全防护，注定永远落后一步。

在这里，笔者以三件安全IDS产品为例说明传统安全“以有限对抗无限”先天性不足。

IDS，它是基于规则策略做安全防护，对收集来的报文，IDS系统提取相应的流量统计特征值，并利用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。根据预设的阀值，匹配耦合度较高的报文流量将被认为是进攻，入侵检测系统将根据相应的配置进行报警或进行有限度的反击。这是典型用有限规则去对抗无限攻击、无限对手、无限可能，这也就不难理解IDS这样入侵检测产品，从一开始就注定落后一步。

设想一下，面对传统IDS这样安全防护，一旦外网防火墙被打穿，黑客只要攻破一点，那所有防御策略就形同虚设，黑客可以轻松达到自己的攻击目的。即便你了解了攻击者的所有攻击模式，如果忽略了对自身环境和系统的研究了解，会对自己保护的目标不明确，难以检测自己是否遭受攻击，因此事倍功半。

以不变应万变，才是安全防护应有姿态

世界任何事情，在哲学层面都是相通的，安全亦是如此。

“认识你自己”是铭刻在古希腊阿波罗神殿石柱上的著名箴言之一。据记载，有人问苏格拉底：”世上何事最难？”答曰：认识你自己。他要求首先研究自身，通过审视自身来了解自然、认识自然、解释自然。

正是基于这样认知，笔者认为，认知黑客不如认知自己。每一个安全从业者都应该认真审视自己企业网络资产，才能做到认知自己，由内而外的提升安全能力。

如果我们能从业务的运转中，抽取生成内在的监控指标，并对指标进行持续地观测和分析，那无论遇到什么攻击，都会引起指标变化而被察觉。

该技术目前已经在部分国内安全厂商中得到很好验证，其中不乏公司等某一领域安全独角兽。公司云安全将Agent安装在服务器上，根据客户业务运行状况设立数万个监测指标，对文件进程、主机访问、业务关系等建立多维度、多层次的纵深检测体系，可以无间断对入侵行为进行监控，实现实时的入侵检测和快速响应，一旦发现异常情况，进行毫秒级报警。

应对未知威胁和高级威胁是安全防护最高境界

未知威胁永远存在，网络要么已经被攻陷，要么正在被攻陷的路上。要赢得这场魔道之争，安全一定不能落后一步。在这里笔者以公司新一代主机入侵检测系统的一个真实案例来阐述如何应对未知威胁和高级威胁。

整个安全事件处理过程如下：

① 某天快到下班点，公司的安全驻场人员突然接到产品告警，发现反弹shell和webshell，于是迅速展开排查，确定失陷主机为公司一台文档服务器。

这里补充说明下，公司新一代主机入侵检测系统的“反弹shell”功能，可以通过对用户进程行为进行实时监控，结合异常行为识别，可及时发现进程中非法Shell连接操作产生的反弹Shell行为，能有效感知“0Day”漏洞等利用的行为痕迹，并提供反弹 Shell 的详细进程树。

② 凭借上述产品功能，公司主机入侵检测系统在该服务器被上传webshell之后，发现反弹shell操作如下：

③ 安全人员使用安全日志、操作审计，检查黑客操作的每一条命令，发现历史记录被黑客清空了，幸好有审计功能，默默的记录下了黑客的每一条操作。

安全人员发现黑客先利用系统漏洞进行了提权后，安装修改了一些文件，怀疑是安装rootkit系统后门，之后安全人员使用公司入侵检测产品“系统后门”功能进行检查，发现了多个系统后门和被篡改的关键位置文件。

④ 通过分析，发现黑客的入侵路径来源为struts2漏洞入口，黑客上传webshell后进行提权以及安装后门操作。安全人员通过操作审计以及黑客的webshell特征，还原了黑客对主机进行的操作。

⑤ 最后，安全人员协助客户开启了端口蜜罐的功能，针对目前流行的MS17010漏洞开启了445等端口的蜜罐，并将安全人员常用的扫描器的地址加入了白名单，通过大量的部署微蜜罐，来增大内网诱捕黑客的几率。

通过上述分析，我们还原整个安全事件，发现此次事件属于典型的APT入侵攻击事件。首先黑客通过Windows后门进入内网潜伏下来，并在内网漫游找到有Web站点或有漏洞的主机并上传webshell，继而进一步通过webshell实现反弹连接，获取目标主机的shell控制权为下一步攻击做好准备。

上述整个攻击过程可以说做得滴水不漏，环环相扣。面对这种高级别攻击，传统基于规则策略的安全检测产品就形同虚设，黑客可以很轻松绕过。但是公司新一代主机入侵检测系统可以提供多锚点的检测能力，能够实时、准确地感知入侵事件，发现失陷主机，并提供对入侵事件的响应手段，为系统添加强大的实时监控和响应能力，帮助企业有效预测风险，精准感知威胁，提升响应效率，保障企业安全的最后一公里。

写在最后：

入侵的攻击手段千变万化，但是攻击成功后要做的事情却是归一化的。因此，安全防护需要将视角从了解黑客的攻击方式，转化成对内在指标的持续监控和分析，因为无论多么高级的黑客其攻击行为都会触发内部的指标异常变化，从而被迅速发现并处理。