棱镜门从未消失，服务器后门威胁仍在肆虐

尽管棱镜门事件已经过去了近8年，但数据守卫的战争从未停止，服务器数据窃取及其罪魁祸首“后门程序”仍在肆虐。

关于棱镜门

棱镜计划（PRISM）是由美国国家安全局自2007年起开始实施的绝密电子监听计划，2013年6月，这一计划被前中情局（CIA）职员爱德华·斯诺登曝光，涉及多个国家、多个领域的机密数据窃听。

在棱镜门事件中，跟大众息息相关的是，斯诺登向美国《华盛顿邮报》披露的服务器数据窃听事件，根据斯诺登提交的资料，2007年-2013年6年间，美国国家安全局和联邦调查局通过进入多家网络巨头的服务器，监控公民的秘密资料，影响人数过亿。

尽管涉事方都矢口否认，但棱镜门事件在全球范围引起巨大影响，对服务器数据安全的保护也从企业和个人层面，提升到国家级战略高度。

没有绝对的安全，棱镜门一直在身边

曾经一度有人认为，只要对服务器进行物理隔离，就能避免数据泄露。其实不然，随着黑客攻击手段的进步，物理隔离环境已不再安全。电磁、声音、热感、光学和震动等多种边信道攻击方法，以及供应链攻击等，都有可能导致隔离环境的数据泄漏。

黑客一般利用漏洞上传后门程序，或者在补丁及其他安装程序中夹带后门，在成功入侵服务器后，二进制类后门（MSF、CobaltStrike、Mimikatz、Metasploit等）会执行并收集数据，再通过外带传输、隐秘隧道等方式外传数据。

近期备受攻击者追捧的内存马webshell，执行方式更为隐蔽，其攻击原理是在内存中写入恶意后门和木马程序并执行。因为其利用中间件的进程执行某些恶意代码，不会有文件落地，属于无文件攻击的一种，反病毒引擎很难发现，给企业安全检测带来更大挑战。

杜绝棱镜门“四部曲”

后门虽然隐蔽性强、难以发现，但是做好防上传、防执行、早发现、防外连4项工作，就能有效防御后门利用，杜绝棱镜门发生。

防上传：切断后门上传途径

后门上传的大部分途径是Web流量，但攻击者一般会利用加密Webshell等方式做流量混淆，因此一般的WAF类设备很容易被绕过。目前比较有效的方式是基于RASP技术保护Web中间件，RASP插件一般作用于ASP、PHP、Java等脚本语言解释器内部，通过HOOK函数的方式，跟踪Web请求上下文，识别可疑行为，进行针对性的响应处置，能有效阻止利用漏洞上传或创建后门程序。

防执行：免疫二进制后门

启用白名单防护策略，自动学习已启动应用清单，并综合威胁情报、病毒告警等信息，快速识别出可信应用白名单，非白名单应用，如后门程序、勒索病毒、挖矿病毒以及其他未知应用程序等将无法运行，最终实现对二进制后门免疫。

早发现：及时体检

也许很多企业的业务系统存在后门程序已久，只是还未发现，此时给系统做一个全面的检查就显得尤为重要。国内有不少厂商可以提供这方面的服务或产品，如奇安信基于“特征+行为”的双重检测引擎，可以做到精准发现后门程序，还原后门攻击途径，实现早发现、早治疗的目的。

防外连：将危害降到最低

在后门防治中，切断外连途径是关键，一方面防止数据外泄，另一方面阻止失陷服务器横向扩散，污染更多服务器资产。除了后门外，部分原本可信的白名单应用也可能存在非法外连、传输数据的行为，因此要格外注意这些非法外连，将危害降到最低。

数据安全无小事，无论是国家政策层面，还是实际业务层面，我们都应该在服务器端做好数据安全工作，其中关键工作之一是要做好后门防治工作，杜绝服务器棱镜门再次发生。