手握百萬惡意IP,阿裡雲要跟黑客拼瞭6鏡頭行車記錄器

導語:兩年前,有關雲服務的討論是“可行或不可行”,但隨著政府機構和老牌國企都已經在向雲上遷移。討論的重點已經轉到“如何更好地在雲上玩耍”瞭。既然要玩耍,就要註意安全。


如果把所有的雲安全企業比作班級裡的童鞋,那麼阿裡雲算得上是學習委員。當然,就如同每個人都遇到過的那個學習委員一樣,Ta 往往不一定是學習成績頂好那個,但是卻得為大傢樹立一個“拼命三郎”般正面的榜樣。

號稱全國超過30%的網站部署在阿裡雲上,這個數據讓阿裡雲張目而臥,不敢有半點閃失。

在雲棲大會上,來自阿裡巴巴的技術大牛們也分享瞭他們和黑客做鬥爭的經驗。

【被掛瞭賭場廣告的體育總局網站】

快槍手黑客——從開始到結束隻需一小時
一小時,足夠你做完很多想做的事。但是對一次攻擊來說,能夠在一小時之內取得服務器權限,這樣的黑客無疑算是快槍手。但是,阿裡雲公佈瞭一個奇異的數據:

在阿裡雲盾攔截的8萬次定向攻擊中,黑客入侵的成功率是12.19%,而在這些成功的進攻中,有一半從開始到得手不到一個小時。

要知道,從技術上來講,攻擊一個網站所需要的尋找漏洞、找到註入點、發起進攻嘗試到最終攻破防守,這一系列進攻需要很多次試錯。傳統上來說,整個過程持續一周到數周都是正常的。為什麼現在的進攻會如此迅雷不及掩耳呢?

阿裡雲安全專傢葉敏告訴雷鋒網:

這件事情其實並不難理解。因為探測到的攻擊,其中96.25%是靠掃描器發起的。得益於成熟的滲透工具,現在的黑客隻需要點一點鼠標,所有的攻擊就全部自動化完成瞭。

在阿裡雲攻防團隊攻破的一個黑產組織中,安全研究員看到瞭黑客掌握著超過300G的賬號和密碼。而且在這個產業鏈上,有人專門收集信息,有人申請攻擊代理服務器,有人專門編寫攻擊工具,最終把受害人賬號裡的虛擬資金轉走。這件事情,已經遠遠不是黑客們的小把戲,而是已經成為一個堅如磐石的完整產業鏈。

【黑客入侵小貨車行車記錄器推薦用時統計,半數不到一小時】

既然黑客們使用瞭“自動步槍”,所以為瞭保護雲上的用戶,安全人員同樣要使用自動化武器。例如,在一些高級對抗中,安全研究員會研發自動化追蹤黑客的工具,可以通過類似的反制手法定位到黑客通過什麼路徑一步步進入到我方營地,而且還會在黑客的操作過程中,自動對黑客的行為進行取證。

挨揍——成為武術傢的秘籍
從安全上來講,阿裡雲擁有一個得天獨厚的條件,那就是手上擁有極大量的用戶大數據。通俗地來講,這條船上保護的乘客千姿百態,所以安全人員有幸可以見到千奇百怪的進攻。由於平臺之上的網站價值巨大,阿裡雲的命就是被各種黑客“刀砍斧剁”。

然而,鑒於大多數網站的安全意識差得令人發指,黑客們不僅懶到瞭天天用工具掃描的地步,甚至有一批黑客專門掃描其他黑客已經做好的“後門”,這種行為大概就是我們俗稱的“截胡”吧。

在“黑產界”最為普遍的web應用攻擊中,黑客在成功進入服務器之後,都會放置一類名為“webshell”的後門,而在全年80億次web攻擊中,探測“遊覽車行車紀錄器別人傢後門”的攻擊竟然達到瞭16.88%。這無異於兩個流氓在別人的傢裡火並,簡直是讓安全研究員吐槽無力。

【16.88%的Web應用攻擊為“Webshell探測”】

許多安全公司都有一種“收集癖”,那就是收集世界上的惡意IP。例如安全特種兵遊覽車行車紀錄器安裝知道創宇,號稱掌握全球數千萬的惡意IP地址庫,而擁有電腦管傢和安全衛士的騰訊和360,也都依靠自己強大的終端把控能力,掌握著大量的惡意IP,而阿裡巴巴依靠阿裡雲和黑客們的無數鬥爭,積累瞭一批寶貴的高精準度的惡意IP。阿裡雲盾負責人吳翰清(道哥)透露,這個黑名單大概有百萬數量級。

通過對這些惡意IP進行分析,發現他們主要來自於東部沿海城市。不過道哥解釋說:

之所以大量惡意攻擊IP來自中國沿海,並不是說這裡的黑客多,而是因為這裡往往有大的IDC機房,黑客們通過租用或盜用IDC機房資源,進行24小時持續攻擊。

正是因為如此,每天被黑客“捅刀”成為瞭阿裡雲盾的使命。不過,阿裡的童鞋表示,就算沒有來自阿裡雲的客戶,自傢的淘寶系產品和其他業務也都是需要極高的防護等級的。因為虎視眈眈想要黑掉淘寶的黑客大有人在。對於阿裡雲盾來說,捕獲諸多的攻擊,有一個天大的好處,那就是每周都可以捕獲2-3個“0 Day”漏洞,並且可以在廠商推出補丁之前先行做好防護。也算是對阿裡雲“挨刀”的獎賞吧。

加密——最後一根稻草為瞭打退黑客一波又一波的進攻浪潮,阿裡雲顯然已經玩瞭命。然而,做好安全防護就可以防止企業核心資料被竊嗎?答案是:“門也沒有。”

得到一個企業的核心數據,有八萬六千法門。使用黑客手段入侵,是最為“直線思維”的一種。

阿裡巴巴專傢蘇建東告訴雷鋒網(公眾號:雷鋒網),

想要達到(竊取資料)這個目的,並非一定要通過黑客入侵。還可以通過內部工作人員或者外包人員的違規操作得到,甚至可以在網絡傳輸的中間節點進行竊聽。

例如,黑客通過社會工程學手段破譯員工的工作密碼,或者幹脆買通企業員工,甚至采用暴力破解的手段“猜”出員工的密碼。就可以通過完全“合法”的途徑進入公司內部。

事實上,由於員工采用弱密碼而造成的企業數據泄漏,占到這種情況的一半還多。這個比例是令人發指的。企業辛辛苦苦構建瞭無數條安全防線,隻是因為一個員工的密碼是“123456”,所有的努力都功虧一簣,付之東流。

總之,再少的企業數據也是紛繁復雜的,可以接觸到核心數據的途徑很多,每一個途徑都是一條炸彈引信。保存一個帶有眾多引信的炸彈,自然難度非凡。於是一個簡單的辦法就是:把核心數據加密,然後小心保多鏡頭行車紀錄器影片管這個密碼。

最近經常傳出新聞,例如某易被拖庫等等。蘇建東說,

很多網站的用戶數據可以輕易被黑客盜取,不僅僅因為安全防護存在紕漏,也因為他們的用戶信息采用瞭明文存儲方式。而如果把重要信息加密,就算被拖庫,也沒有辦法破解真實的用戶數據。

國傢保密局等機構在數據保密方面有相當規范的標準,通過采用這些標準,可以把對數據的保護簡化為對密鑰的保護,這就極大程度降低瞭數據泄漏的風險。同樣在數據傳輸的過程中,盡可能使用Https加密協議,也可以防止數據在傳輸過程中被竊聽。阿裡雲相信,這種方式可以使得數據的安全性空前提高。

兩年前,有關雲服務的討論是“可行或不可行”,但隨著政府機構和老牌國企都已經在向雲上遷移。討論的重點已經轉到“如何更好地在雲上玩耍”瞭。既然要玩耍,就要註意安全。和黑客“拼命”,雲服務廠商仍然任重道遠。

雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。


文章標籤
創作者介紹
創作者 uui806m6q6 的頭像
uui806m6q6

箭箭的推薦天地

uui806m6q6 發表在 痞客邦 留言(0) 人氣()