时光深处,岁月静好。这是许多人的理想,也是做安全的人的渴望。但安全人都知道,这注定只能是个美梦。因为,每天、每时、每刻,都要与各种攻击者对战,要取得自己的安稳是很难的。但这一切努力,却可以保得用户安全——宁愿用我三生烟火,换你一世迷离。

兵戈相对

入夜后的百度,显得静谧安详。此时已是晚上9时,人们已经陆续下班。但在云安全部的工位上,云分析团队的忙碌才刚刚开始,如果不是在事后,他们肯定不知道接下来还有超过12个小时的苦战。

21:09,云分析检测到攻击者用自动化扫描工具对百度的客户——某金融网站进行扫描与渗透,但日志分析表明攻击者并未发现可以利用的漏洞。金融网站对安全高度敏感,为防万一,本着负责到底的心,云分析团队决定推迟下班,对攻击进行持续跟进。
21:30,攻击者转而把注意力放到注册用户页面上,不断尝试,试图发现登录页面是否有漏洞。
23:15,攻击者在努力了近2个小时后,利用SQLMAP工具发现了网站的登录页面的用户名参数存在的SQL注入漏洞,但当即被云分析的WEBIDS模块感知到,并触发了报警。虽然攻击者还试图修改参数和编码方式等,企图逃避检测,但还是被云分析的防御策略发现。
23.30,攻击者试图获取网站的用户账号和密码,但依然被云分析发现并触发了报警。刻不容缓,云分析团队联系云安全其他团队,与网站运维团队一起,紧急将该域名切换到云安全的WAF保护下,并对攻击者进行了封禁。攻击者尝试更改IP等方式逃避封禁,但是攻击者的攻击特征已经被云分析掌握,因此依然被封禁。
00:00,联系上客户网站的研发团队,沟通修复方案。
02:00,客户网站完成漏洞修复,并要求在云分析WEBIDS中开启邮件报警服务,以及时发现和获得攻击者攻击的报警信息。
09:20,在经过了一夜的攻防后,攻击者依然没有放弃,仍然对客户网站进行攻击尝试。但由于云安全的waf的保护以及漏洞已经修复,站点无损。而这一切都在云分析的检测和保护中。
用户账号、密码泄露,对任何一个网站都是一个难以承受的的打击,更不用说账号和密码直接关系到每个用户资金和支付安全的金融网站,一旦泄露,对金融网站的打击是毁灭性的。
但每个故事之所以被书写,总因为有引入入胜的转折,攻击者超过12小时的攻击,最后还是被云分析一一化解了,这场对战,因云分析及时发现和阻止攻击者的进攻而取得胜利,保护了客户网站。

洞若观火

事后,之所以能把这次持续了十几个小时的攻击描绘出来,除了有必要的人工干预外,大部分都要归功于云安全部的云分析团队打造的被称为WEBIDS的技术,未到猴年而已经打造了一双火眼金睛——通过分析网络流量,及时发现已经发生、正在发生以及将要发生的已知以及未知的攻击,保护企业互联网业务安全。
构建WEBIDS的技术之一,是基于恶意行为的沙盒检测:从流量中提取上传的php、jsp等脚本文件,放入webshell(网页后门)沙盒。利用沙盒可以很精准地判断文件是否是真实的webshell。沙盒是通过动态执行目标脚本来分辨webshell,即便经过复杂变形仍然可以正确检测,误报漏报率极低。(试用:xi.baidu.com)
百度此项技术实践,目前领先业界,比肩美国的FireEye。

用户为先

平日里专注于技术,让技术成为一种信仰;关键时刻,可以不休不眠十几个小时,只为了求得用户的安稳。正是这种对用户的负责,驱动着在百度的安全人,不断提升自我的技术实力,不断积累实战经验,不断为用户的利益付出——为了能获得用户的“一世迷离”,宁愿舍弃“三生烟火”,无论是现在还是将来。