一个关于X证券20000台服务器的血泪故事

立志成为网安大牛

已于 2024-01-06 17:08:10 修改

阅读量63

点赞数

文章标签：服务器运维

于 2023-08-29 10:30:00 首次发布

本文链接：https://blog.csdn.net/wangluoanquan111/article/details/132549913

版权

编者按： 本文的原型是真实案例，文中的人名和企业名称均做了加密处理。

“如果时光能倒流，我一定早点出手，绝不会让团队的这几个人天天跟着我连轴转，不是打补丁、就处理各种告警，结果还啥都没搞好。”X证券的安全负责人李同调侃着说到。

X证券公司，作为国内金融行业的头部企业之一，业务遍布全国各地，服务器数量高达20000+台。因为行业特殊，所以他们对服务器安全的要求极高，绝不能出现任何一点纰漏。因此，李同不得不带着人数并不多的安全团队夜以继日地严防死守，生怕被老板拉去祭天。但即使是24小时盯着，还是有被黑的情况，好在没发生什么重大安全事故，不过这足够使整个团队的人筋疲力尽了。

为了更好地保证服务器安全，同时减轻安全团队的工作量，李同向企业申请一笔资金用于主机安全的建设。申请通过后，他将服务器最常见的安全场景列了一份清单，包括勒索、挖矿、内存马、0day等10项，然后根据这些场景匹配合适的主机安全产品，对比多家厂商之后，李同最终选择了青藤云安全的万相·主机自适应安全平台。

事实证明，他的选择是对的。 部署青藤万相之后，不论是检查系统原有漏洞、还是防御外来入侵，效率都得到了巨大提升，安全团队真正做到了效率、效果两手抓
，因此才出现了文章开头的那段话。

考虑到X证券的主机安全问题具有普适性，本文特意罗列了上述 有关主机安全的10个典型场景
，并阐述了青藤万相相应的解决方案，希望可以帮助各个企业组织更好地做好主机安全建设。

场景一：勒索病毒日益猖獗，如何保证主机免受勒索病毒的困扰？

青藤解决方案：
青藤防勒索方案通过深入的分析勒索病毒威胁的规律，旨在强调注重严密性、可落地性，遵循“网络控制、风险梳理、入侵检测、威胁溯源”这四条原则，先隔离被攻击主机的网络，分析勒索病毒的横向渗透路径。确定勒索攻击手法和利用的漏洞之后，开启主机上安装的青藤万相Agent，通过微蜜罐的端口访问请求，确定问题机器的范围，并对风险进行加固。与此同时，梳理出病毒的特点，加入规则库，通过特征值匹配的方式检测哪台机器还存在这类风险。最后撰写溯源报告，完整地呈现勒索攻击的战术、技术和路径。

1669013476_637b1fe426d95ab42121e.png!small

场景二：挖矿会大量损耗计算机资源，如何快速检测并清理挖矿进程？

青藤解决方案： 青藤万相的入侵检测功能，通过集成包括小红伞、ClamAV
等国内外多个主流的病毒查杀引擎，并利用青藤自研发的大数据分析、机器学习和模式行为识别等多种检测模型，为用户提供全面和实时的挖矿病毒检测和防护能力。

此外，青藤还能够提供自动化响应级别的沙箱，把任何样本丢到沙箱内部会自动输出一个处置规则，只需将这个处置规则导入系统就可以清理干净挖矿病毒。因此，被挖矿后想做应急响应，只需一个样本就能够自动生成处置规则，全自动化清理处置掉。

场景三：作为最热门的攻击手段之一，内存马攻击如何有效防御？

青藤解决方案：
作为网络攻击界的“当红炸子鸡”，内存马攻击在这几年的攻防演练中已然成为攻击者最常用的手段之一。它一般通过向内存中注入攻击程序，隐藏在进程的内存中执行，本地没有文件产生，隐秘性强，难以发现。因此青藤万相采用了主流的Java
Agent插桩技术，利用Instrumentation
API从内存中dump出class，然后将class反编译为Java文件，进而检测Java源码文件，持续动态监控注入内存中的攻击行为，一旦发现Webshell或恶意代码，立即上报告警。

场景四：对已发生的攻击，如何实现清理入侵残留，如Webshell、木马等？

青藤解决方案：
通过青藤万相检查历史入侵检测告警，结合其他功能及样本分析研判还原攻击流程及影响范围，扫描以往文件，清理入侵残留。然后检查入侵检测白名单，排查是否存在风险白名单。最后，重构白名单，降低漏报风险，根据告警分析的结果清理攻击者留下的Webshell、木马后门等入侵残留，防止被攻击者二次利用及持久控制。

场景五：如何解决主机资产不清和家底不明的难点，避免设备混乱的情况？

青藤解决方案： 资产清点是青藤万相的基础功能之一，可自动化清点进程、端口、账号、中间件、数据库、大数据组件、Web 应用、Web 框架、Web
站点等10余类安全资产，覆盖通用资产。它对用户来说，具备以下三大核心价值：

（1）全自动化的资产梳理。 可从正在运行的机器上反向生成CMDB，实时同步最新资产，减轻安全人员复杂的管理操作。

（2）让保护对象清晰可见。 通过超细粒度识别，大到操作系统，中到应用框架，小到代码组件都能精准发现。

（3）安全不再落后于运维。 部署青藤万相之后，安全部门手里的资产信息是整个公司最全和最准确的。

场景六：对安全资产本身存在的脆弱性，如何实现有效管理？

青藤解决方案：
青藤万相的风险发现功能模块在资产细粒度清点的基础上，可通过强大的漏洞库匹配以及持续、全面、透彻的风险监测和分析能力发现潜在风险及安全薄弱点，包括安全补丁检查、漏洞检测、弱密码发现、应用风险发现、系统风险发现、账号风险发现等9个维度，并给出专业具体的修复建议。

场景七：新高危漏洞出现时，如何快速进行应急检测和处理？

青藤解决方案：
针对利用0Day漏洞进行的攻击，通过万相的风险发现功能可以快速进行响应，绝大部分漏洞都可通过资产识别直接定位，对于无法识别的漏洞可以通过编写检测脚本将其配置到检测系统中即可。

当一个漏洞被精准定位后，万相风险发现能够关联分析这个漏洞相关的补丁，不仅提供详细补丁情况，还能够检测补丁修复后是否会影响其它业务。青藤通过识别应用，加载SO和进程本身确认是否被其它业务组件调用，来判断补丁修复是否会影响其它业务。因此，在高危漏洞爆发后，万相能快速帮助客户进行补丁识别和关联，并确认打补丁后是否存在风险。

场景八：如何快速、深度地清理弱密码，并从已经泄露的密码中反向定位影响范围？

青藤解决方 案：
青藤万相基于Agent的方式进行本地的弱密码检测，无需进行远程登录尝试，通过对各种应用进行剖析，直接从文件中去解析哈希，再对哈希做检测，不仅速度快也无死角。而当某台机器真正被攻击，但是安全人员无法确认密码是否已泄露的时候。通过青藤万相，只需将这个密码配到系统里，通过检测哪些机器有同样密码就可以判断哪些机器是有风险的。青藤提供了一系列定位的工具，安全和运维人员可以清晰知道哪些机器密码是需要修改的。

场景九：如何应对等保合规检查，落实企业基线要求？

青藤解决方案： 通过青藤万相合规基线功能，能够在半小时之内把数万台机器的基线分析清楚，对于不符合要求的检测项，提供代码级的修复建议。

**（1）结合资产清点，自动识别服务器需检查的基线 **

在资产细粒度清点的基础上，根据所选服务器的操作系统、软件应用等信息，自动筛选出该服务器上需要检查的系统、应用基线。同时支持一键批量创建基线任务，操作简单易用。

**（2）一键任务化检测，基线检查结果可视化呈现 **

合规基线功能设计了灵活可配置的任务式的扫描机制，用户可快捷创建基线扫描任务。根据检测需要，自行选择需要扫描的主机和基线。检查结果以“检查项视图”和“主机视图”两种方式可视化呈现，针对每一条不合规的Checklist提供精确到命令行的修复建议。

（3）不断丰富完善的Checklist知识库

支持1500+的Checklist知识库，安全研究人员持续关注国内外基线标准，不断丰富基线配置检查系统Checklist知识库。同时可根据不同行业相关基线规范，对知识库实现定制管理，匹配各行业安全配置需求。

**（4）支持定时检查，支持自定义基线，满足个性化定制 **

自动适配操作系统环境、只会显示当前环境存在的基线，基线支持等保二级和三级、CIS level 1和level 2
基线，支持操作系统、数据库、中间件分布式扫描，5秒钟左右就能完成检测。

场景十：针对东西向流量，如何识别内网横向渗透和内部蠕虫传播？

青藤解决方案：
万相可以根据用户的实际需求，在原有功能的基础上进行扩展，比如青藤蜜罐，它是复用了Agent的能力来形成的微蜜罐。在每个Agent上设置一些端口，这些端口正常情况下不会被自己员工访问。在主机内只需覆盖15%的微蜜罐范围，几乎就能100%发现内网横向渗透所有攻击。因为黑客每做一次内网探测就有15%的概率被发现，彻底解决了传统蜜罐覆盖问题。发现横向移动行为之后，万相还可以通过微隔离功能模块先隔离失陷主机，将风险范围最小化，然后利用微蜜罐定位内网的蠕虫并将其清除干净。

十大主机安全场景的描述以及解决方案的总结，希望可以帮助企业组织以更宽阔的思路、更多元化的视角来审视主机安全建设工作，深入了解主机潜在的各种威胁，提前做好防御准备。

并将其清除干净。

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段