IT经理的年终总结:记2017印象最深的一次“被套路”

“叮咚~叮咚~叮咚,您有新邮件来了”屏幕右下角粗暴而急促的跳出几个提醒,似乎是在抗议刚才我因网络变更失败而对回车键气急败坏的重击。

“设计合理、验证充分,为什么变更会失败?”,边喃喃自语,边用茶水犒劳早已口感舌燥的自己,打算先跳出找不到“Root Cause”的困局,看看邮件,平复一下强烈的挫败感。

“邮件主题:紧急!!云主机XX疑似遭到木马控制请协助排查”

“邮件主题:紧急!!请立即断开云主机XX的互联网连接”.....

Oh My God 一波未平、一波又起!!!客户发来邮件,要求协助排查、处置中招的主机,对于我们这样面向中高端用户的云服务商,安全无小事,于是立即打开监控平台定位、分析,一阵手忙脚乱之后终于尘埃落定。

“Mission Accomplished”……发送邮件……

摘下眼镜揉揉干涩的双眼,长舒一口气,iWatch显示已是晚上十点多,想起跟朋友下班“吃鸡”的约定,心中默念了一句“少壮不努力,老大干IT”。

Anyway,今天终将过去,明天千万别出幺蛾子,搞一张ISC2017的VIP票可不容易……

——IT经理的一次“夜生活”

为一张ISC门票而“被套路”

“纳尼,360还生产防火墙?不会是用在个人电脑上的免费软件吧?”这是在两个月前,第一次与“360企业安全”产品经理交流时的反应。

对方的一番解释后我才有所了解,我们所熟悉的360并不仅仅提供个人业务,“360企业安全”就是专门为政企用户提供服务的,而他们称之为“智慧防火墙”的产品就是360企业安全的众多产品之一。

360新一代智慧防火墙

作为网络安全的老司机,“下一代防火墙”、“NGFW”、各种“智能”和百般的“智慧”早已不是什么新鲜玩意,而摆在眼前的这个黑盒子,尽管颜值靓丽,但作为云服务商,我们可不会轻易选择一个“新手”。

“智慧防火墙?能有多智慧啊?”,我咄咄逼人的抛出了心中的疑惑。

“如果把防火墙比作一个看门的哨兵,那么我们为这个哨兵配备了强有力的工具和帮手,让他具有更多的智慧,来更准、更快的识别威胁、执行控制,这就是我们对智慧防火墙的理解”,产品经理小于答到。

“兄弟,擅长洗脑的我见得比你多,咱能说点贴地皮的吗?”,看到这些“高大上”的套路,让我我几乎失去了耐心。

“您可以测试啊,自己体验一下他到底有多聪明,如果您能把测试的情况、体验、意见如实的记录并反馈给我们,我们会赠送您一张ISC 2017的VIP门票”,小于说。

嗯?ISC?一票难求的ISC?明知是套路,可这套下的还真准,怎么办?接招?还是接招?还是接招呢?……,我心中暗想。

“你们也知道,我们这里对业务连续性要求很高,所以我不可能把你们的设备放在现网里测试,不过,如果你们愿意,就把设备留下来吧,抽空我们可以研究研究,如果有可能,也许能找个测试环境跑两天”,我边故意面露难色的说到,边心中窃喜,我也用“欲擒故纵”的套路回敬你。

就这样,为了一张ISC大会的门票,我让这个叫做智慧的“傻盒子”留了下来……

一次意外,揭开“智慧”的面纱

时间过得很快,两周后的一天晚上,收到监控系统的告警短信:

“区域3防火墙A CPU利用率高于90%”;

“区域3 网络丢包率30%”……

还没等我查看信息的详细内容,电话就来了。“老大,区域3的主核心防火墙宕机了,自动切换到了备机上,可是备机也发生相同的状况,两个设备正在不停切换”,电话另一端的小刘显然已手足无措。

“开Case了没有!找原厂啊!让他们马上提供备机”,我说到。

“开了,可是我们不是钻石服务,5*8以外的时间人家不受理,备机到位时间也没办法确定”,小刘说。

“你们先看看能不能定位问题,我马上赶到现场,有什么情况随时联系”,顾不得睡眼惺忪,挂掉电话马上出门,这披星戴月的日子,什么时候是个头啊,心中再次默念,“少壮不努力,老大干IT”!

奸商!买单之前拍胸脯保证、测试夭折拍大腿悔过、出了问题拍屁股溜之大吉,业务都断了又搬出个“钻石服务”。坐在车上,一边气愤、一边漫无目的的翻着手机通讯录,好像是在找救星。

“360防火墙小于 -- 185****5030”,防火墙,又是防火墙,哪壶不开提哪壶,为啥排在第一个的就是防火墙!

嗯?转念一想,实验室里不还有一台360的防火墙了嘛?能先顶过今晚吗?……管不了太多了,业务都断了,人生能有几回搏!稍加思索,我按下了拨号键。

“喂,小于啊,这么晚打扰,是有件急事!我们最近研究了一下你们的设备,觉得各项功能还比较全面,现在有个千载难逢的机会,正好我们今晚有个新业务临时上线,我考虑再三觉得应该给你们一个机会,想把你的那台设备放到我们一个比较核心的位置去进一步测试,你们那台2U的盒子,能顶得住1个G的流量吗?”,尽管已经火烧眉毛,但还是得“端着点”。

“没问题,今晚上线吗?我马上协调交付专家到现场支持,另外既然是核心业务,我们再带一台同型号的设备过去,建议做HA(高可用性、指双机热备)部署,这样风险更小!”。

“好,那我在公司等你们,到了就确定实施方案,今晚干活,辛苦啦!”。

两个小时后,系统赶在业务高峰期前有惊无险的恢复了,现场所有人脸上浮现出如释重负的轻松,蒙蒙亮的天空提醒我们,又是一夜的战斗。

说起来还有些不好意思,尽管一直“故作镇定”,但设备上架前才在现场第一次开箱,似乎已经揭穿了我对小于的“刻意隐瞒”,好在他似乎并未察觉。

从割接的过程来看,这个防火墙似乎还行,配置逻辑清晰、界面比较友好,整个切换过程还是挺顺利的,监控了一段时间,资源消耗也很低,说明性能也绰绰有余。

不过,有根弦始终紧绷“备机、备机,一定要尽快到位……!”。

一次中招风波,初识“智慧”

切换后的第三天上午,故障防火墙的备机和故障简报几乎同时到了,客服经理打电话来解释,上次的问题是由于系统存在的一个缺陷导致内存资源没有及时释放造成的,已经通过升级系统解决了。

“我再说一遍,你们的防火墙放在我们的核心生产区,业务再出问题我的饭碗都要丢了,你们也别想再从我这里拿走一张订单,想想怎么给个交代吧!”,我在电话里一通“劈头盖脸”,其实也很无奈,这个时候谁要是“很傻很天真”,谁就输了。

当晚,我们计划再次割接,把智慧防火墙下线,换回故障设备的备机。团队显然还没从接二连三的故障中缓过来,所以午饭后我便开始带着几个人做割接计划。

为了确认配置,登录运行近40小时的“智慧防火墙”,Home页顶端的一串红字突然映入眼帘,“失陷主机 3台”,仿佛一只大手突然重重的拍打在我的肩上。

360新一代智慧防火墙“失陷主机告警”

“失陷,听起来挺吓人的,这是啥意思?”,这是我的第一反应。

“就是告警呗,发现有些主机有攻击流量,搞不好又是误报,现在的安全厂商越来越会讲恐怖故事……”,小刘不屑一顾的说。

点击“失陷主机”图标,进入了“处置中心”,发现了三个“受害IP”,并且记录了“首次发现时间”和“最近发现时间”就在今天。

360新一代智慧防火墙“处置中心”

打开下拉菜单,发现这个所谓的受害IP连接了一个看起来像是动态域名的地址,后面的描述信息中赫然写道“Gh0st RAT 远控木马活动事件”。

360威胁分析平台“威胁情报详情”

“你们设备里的‘失陷主机’是什么意思?”,安全老司机的直觉告诉我,还是确定一下为好。

“失陷主机检测是我们的一个重要特性,为了防止某些高隐蔽性的威胁绕过防火墙的特征检测,所以我们借助云端下发的威胁情报对本地的网络行为进行检测和分析,通过网络行为里的异常作为线索,发现那些隐匿于网内的中招主机”,小于在电话另一端竟然有些兴奋。

“刚才我发给你的截图说明了什么?会不会是误报啊?”,我迫不及待的问道。

“我们从这个PC的网络行为里检测到它正在试图与一个知名木马的C&C服务器连接,这是典型的中招后的反连行为,我已经请后台的专家确定过,这条情报的确定性很高,所以误报的可能性几乎没有”,小于显得比前几次见面自信了许多。

经过几方专家“会诊”查明,这是租户新部署的一台云主机,通过终端检测工具,我们很快确定主机后台确实运行着一个可疑进程,并且被伪装成了一个知名应用的进程名,尽管还没提取特征进一步确认,但这显然已经可以基本确定,确实中招了。

幸亏发现及时、斩断了黑手,如果真的发生数据泄露或是恶意攻击,恐怕免不了又是一番“扯皮”,我心里暗想。

经过这次风波,让我对防火墙这种听起来“傻大黑粗”的传统产品有了一些新的认识,看来所有领域都在创新,“失陷主机”这个功能,就像在一道“铁门”上加装了“摄像头”,认识的坏人可以直接拦截,逃过的坏人还可以持续监测、及时发现。

看来这个360的盒子还是有点“智慧”的,既然它运行状态正常,并且备机已经到位,我索性决定,让它多跑一段时间,看看还能帮我们发现点什么。于是我交代小刘当晚的割接暂时取消,把备机的配置准备好,以备随时切换……

突发漏洞,让我再次感知“智慧”

就这样,智慧防火墙在现网已经运行快两个月时间了,我似乎已经习惯了每天用它来确定一下攻击的情况和失陷主机,过程中又发现了几次中招和被攻击的事件,性能表现也让我逐渐放心。

360新一代智慧防火墙“威胁事件统计”

6月末的一天,早晨刚上班,便收到了一条预警通告,“Oracle WebLogic Server反序列化漏洞”,这又是一个高危漏洞,可以来攻击最新版的WebLogic、WebSphere等这些大名鼎鼎的Java应用,实现远程代码执行。据我了解在云平台上用到这两种中间件的租户不在少数,如果处置不即使,极有可能造成严重的危害,我顿时警觉了起来。

但是作为云服务商,我们不可能帮租户做主,在他们的主机上直接打补丁,所以,最有效的响应措施就是在网络边界准确的识别漏洞利用攻击,实时阻断,这相当于给内网加上了一层“屏障”,起到“虚拟补丁”的效果。

“今天曝出来的那个漏洞,你们什么时候出特征?”,在这个“干着急没办法”的时刻,我希望传递这样的压力,来获得尽快的响应,管他是否有用呢。

“我们今天凌晨已经更新了威胁特征和情报,并且已经通过云端紧急下发给了防火墙,您的设备如果启用了“应急响应”功能,那么这个处置策略应该已经自动加载了”,小于说。

360新一代智慧防火墙“应急响应推送”

什么?这么快就处置了?而且还这么省事?这可是第一回听说啊,火速登录智慧防火墙,果不其然,在告警统计里已经发现了大量命中威胁情报的攻击事件,都被执行了阻断并记录了下来。

后来得知,“应急响应”功能是这个产品的又一项所谓的“智慧”特性,遇到突发性的安全事件,威胁情报或特征可以主动下推到防火墙上,如果处置策略由于配置原因未能生效,系统还会自动给出原因,无论是更新失败、还是配置不当,都会给出明确的指引。用他们的话说,这相当于“用准自动化的方式,确保用户及时、准确服药”。

“智慧”再一次给我以触动。无疑,这种“免疫新威胁”的做法,提升了防御实时性,能让我们在应急响应中的执行力更强。

后记

作为一名安全老司机,我必须承认,对“360新一代智慧防火墙”的测试让我眼前一亮。起初测试是假,打算“混”一张ISC的门票是真,但几次风波让我有机会对它的几项特性建立了认知,也深切感受到了传统安全产品通过创新所带来的价值。

没错,“抛开业务谈价值,都是耍流氓”,作为云平台的服务商,安全的价值不言而喻,借助这样一款产品,未来我们无需再等着租户报障、系统告警,然后再手忙脚乱的紧急响应……,现在我们获得了更主动、可运营的安全能力,“下一代安全”已谈论多年,从这款产品上我们开始看到了一些曙光……

通过这篇“试用手记”,我如愿换得了一张ISC2017的门票,当小于把邀请函和门票交到我手上的时候,我们终于可以开始像朋友一样聊天。

“你们挺走运的,那天晚上着急的时候在车上翻电话,第一个看到的就是你的名字,要不是这样,你的盒子恐怕现在还躺在实验室里呢!”,我一边说一边拿出手机给小于看。

“老大,你看看通讯录里他的名字,第一个字是‘3’,当然能排在第一了”,嘴快的小刘说。

“您说得对,我们360的口号就是‘安全第一’!”,小于自豪的说……

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180103A0MTHT00?refer=cp_1026

扫码关注云+社区