腾讯云上攻防战事丨漏洞收敛,使敌不知其所攻

善攻者,敌不知其所守;善守者,敌不知其所攻——《孙子兵法》

网络安全圈流传着这样一句话:世界上只有两种企业,一种是知道已经被黑客入侵的企业,另一种则是被入侵却浑然不知的企业。

尽管这样的说法可能言过其实,但不可否认的是,潜藏在暗中的黑客无时不刻都在伺机发动攻击,窃取企业数据资产、破坏生产系统;而看不见的交易,在暗网上每分每秒都在进行。

  • 2014年2月,在世界上最早的比特币交易平台——日本的Mt. Gox网站,85万个比特币被盗,价值约4.5亿美元,交易所因此破产清算。
  • 2014年夏天,美国摩根大通银行7600 万家庭用户和 700 万小型企业的信息被泄露,涉及人数超过美国人口的四分之一。
  • 2019年5月,黑客入侵并控制了美国马里兰州巴尔的摩市大约10,000台政府电脑,并索要13个比特币(价值10万美元)。

这些被曝光出来的网络安全事件,仅仅是网络安全攻击的冰山一角。在我们看不见的战场,安全攻防团队与黑客的战争从未停歇。

枕戈待旦,时刻紧绷战备神经

作为国内最大的互联网公司之一,腾讯服务了超过十亿的个人用户,庞大的用户数据犹如一笔巨大的宝藏,让各路不法黑客团伙垂涎欲滴、跃跃欲试。

而随着腾讯云的快速发展,越来越多的用户入驻腾讯云,不少黑客将攻击的目标转移到了腾讯云上。

“腾讯云每天都在遭遇大量攻击,只不过绝大部分都被我们和公司各安全团队共同制定的策略和防御系统拦截了。”腾讯云鼎实验室云安全攻防团队的负责人youzu这样描述腾讯的安全态势,但即使这样,他们也不敢掉以轻心。

腾讯御见安全中心实时监控到的安全威胁

需要提防的,是那些有能力突破自动防御系统的攻击。为了应对黑客随时可能发起的进攻,云鼎实验室的攻防团队枕戈待旦,时刻留意着系统的警报,一旦警报拉响,就将进入紧急战备状态,与黑客展开正面对抗。

仅2019年上半年,云鼎实验室与突破腾讯云第一层防护的黑客就短兵相接了数次。

简单来讲,腾讯的防御体系分为三层,第一层是产品自身安全与防护,第二层是业务服务器安全加固防御与入侵检测,第三层则是腾讯内网隔离、访问控制与风险感知。而每一层都有极其严密的防御措施和复杂的安全规则。

腾讯防御体系示意图

“如果黑客突破了我们的第一层防御,进入到产品服务器,他可能会留下后门方便以后进出,也可能利用我们的服务器从事非法挖矿等活动”youzu说,“但是如果不及时发现处理,他可能会找机会继续往里突破,那就很危险了。”

真正的威胁还不是这些正面战场上的对抗,而是那些不知道潜伏在何处的危险。为了避免有黑客通过漏洞偷偷潜伏,攻防团队的成员enlighten的主要工作之一就是和小伙伴一起对腾讯云上的200多款产品进行扫描,及时发现并封堵漏洞,将威胁消灭在萌芽状态。

除了要对已经上线的产品进行漏洞收敛,把好新产品上线的最后一道关,也是他们工作的重要任务。安全不过关产品不上线,这是云鼎实验室定下的军规。哪怕耽误了产品上线的重要时间节点也在所不惜。

“为这个事儿其实和很多产品开发团队闹过不愉快”enlighten苦笑着说,“但是没办法,为了整个腾讯云的安全,这个恶人我们必须要当。”

意想不到的“突袭”

即使云鼎实验室平时对腾讯云上的所有产品和即将上线的新产品进行严格把控、收敛漏洞,将被攻击的风险降到最低,但随着黑客攻击手法和方式的不断变化和更新,也很难保证腾讯云不会遭到攻击。

“在我们看来,任何系统没有100%的安全,只有还没发现的漏洞。”对云安全攻防组的安全观,youzu这样评价。

2019年上半年的一天,enlighten刚刚结束给一个开发团队的培训,突然收到了防御系统的警报,有黑客已经侵入到了腾讯云的支撑环境。他顾不上震惊,迅速响应,联同腾讯安全平台部洋葱团队对攻击进行阻拦,与黑客展开了对抗。

enlighten回忆说:“当时其实既惊讶又兴奋,因为这么多年来,基本没有哪一次攻击能够突破第二层防御到达支撑环境。觉得这一次遇上对手了。”

如果一个黑客能悄无声息地突破产品自身安全防护和业务服务器安全加固防御到了支撑环境,足以说明他的实力强劲,并且已经可以造成一些实质性的危害了。

接到警报后,enlighten和小伙伴一起迅速控制住攻击的势头,并对攻击进行溯源,找到入侵的源头,对漏洞进行封堵。原来该攻击是利用了腾讯云上某一款产品可以上传脚本的漏洞(该漏洞已被及时修复),入侵后一步步突破,最终到达了支撑环境。

当enlighten终于忙完,长舒一口气的时候,却发现youzu和另外两名同事看着自己露出了贼兮兮的微笑,才意识到事情不对劲。

原来,这是一次云鼎实验室联合腾讯内部玄武实验室、朱雀实验室、企业IT 、TSRC等众多安全团队一起组织的一次对抗演习,目的就是为了模拟真实情况下的攻防对抗,来检验腾讯云的安全防护水平。

善守者,敌不知其所攻

在对抗中被检查出漏洞意味着不安全吗?其实不是。

“这次我们集结了公司内部这么多安全大牛在一起,在大家对腾讯的安全体系都非常了解的情况下,仅仅是为了找到一个可以入侵的产品漏洞就花了整整两周”youzu解释说,“后面为了绕过防御体系,悄无声息突破第二层防御,又想了无数的办法,如果一个外部黑客对腾讯的安全防御体系完全不了解,他在第一次尝试的时候就会被发现。”

内部的安全攻防对抗演练,不在乎输赢,目的在于找出平时用常规手段没有发现的漏洞并及时收敛,让真正的黑客在攻击时无计可施,进一步保证腾讯云和云上用户的安全。

正是这样不定期的展开实战对抗,加强了腾讯内部各安全团队的默契、积累了深厚的实战经验。

除了对抗演习之外,包含湛泸实验室、腾讯安全平台部等团队,也在腾讯云漏洞挖掘、攻击防护、入侵检测等方面组成了腾讯云安全的坚实之盾。”正是有了这一群来自腾讯内部顶尖的友军的鼎力支持,才让我们在与黑客的攻防对抗中始终得心应手。”youzu如是说。

在去年,堪称国内难度最高的贵州云安全实战攻防赛上,腾讯安全团队凭借靶标攻击挑战总成绩第一、腾讯云100%完美防御夺下“攻”与“防”双料冠军,捍卫了腾讯云业界领先的安全实力。

而在今年刚刚过去不久的一场为期21天的网络安全红蓝对抗上,承担某平台“守方”角色的腾讯安全团队最终“以一敌百”——抵御住100支国内顶尖队伍的全天候、多方位攻击,共阻断TCP攻击近20亿次,阻断Web攻击近300万次,封禁IP6.8万,最终取得了0事件通报、0失分的优异成绩。

孙子兵法有云“善攻者,敌不知其所守;善守者,敌不知其所攻。”让黑客无计可施、不知从何入手,这不仅仅是云鼎实验室的追求,更是腾讯安全的愿望。未来,腾讯安全将面向产业互联网持续输出自己的安全能力,为产业互联网的发展保驾护航。