18点:某地发生紧急事件,主人公奉命出动
次日6点:主人公搭乘最早一班飞机紧急赶赴现场
10点:抵达现场,火速启动处置工作
11点:紧急工作小组启动,威胁排除紧张进行中
14点:威胁修复,但疑案浮出水面,是《无间道》还是《通天神偷》?
18点:在网络安全人员的努力下,真相水落石出,问题成功解决
这不是好莱坞电影的剧本,而是网络安全防护工作的真实场景。故事的主角不是超级英雄,而是以趋势科技赵天永为代表的网络安全从业人员。故事的反派也不是恐怖分子,而是黑客。
危机爆发 网络安全危机处理上演“速度与激情”
2014年11月17日临近下班时间,某省卫计委办公厅的举报电话忽然铃声大作,举报群众略带愤怒的举报卫计委有内鬼——购买了卫计委网站验证为真的假医师资格证。卫计委办公厅火速将举报信息责成信息中心处理,由于事件直接关系到人民群众的切身利益,并严重影响了卫计委的形象,如果不进行从快从严的处理,将很容易引发公众信任危机甚至舆论风暴。
在了解事件的严重性之后,该省卫计委信息中心迅速地找到了具备丰富网络安全事件处理经验的网络安全服务提供商——趋势科技来紧急协助。在对事件进行了初步了解之后,趋势科技判断该起事件是典型的网页篡改事件,并派出了技术工程师赵天永现场支持应急处置。多年的网络安全处理经验告诉他,这是一起不容小觑的网络安全事件,晚一秒处理都可能造成不可预期的影响。然而,当晚已没有任何航班可以赶到当地。于是,他在成都搭乘第二天7:40这趟最早的航班,急速赶到事件现场。
要化解网页篡改危机,首先要做的便是修复网页,将事件的影响降到最低,这对于已经成功处理众多网络安全事件的赵天永来说不在话下。但这个工作最需要的便是持之以恒的耐心与敏锐的观察力,从海量的系统日志、网页文件、代码中找到威胁的蛛丝马迹,任何一点疏忽都可能导致网络安全人员无法及时发现问题所在,浪费分秒必争的危机处置时间。
抵达现场之后,还没来得及吃午餐的赵天永便匆匆会同信息中心主任和网络运维人员确认问题、理清事件处置思路,指导各方人员分工协作,并投入了问题的排查之中,这一排查就是数个小时。幸运的是,他的努力得到了回报,眼尖的他在浩繁的网页文件与代码中发现了问题的所在:该省卫计委网站目录下被非法创建了一个二级页面文件。
这个二级页面文件乍一看很正常,但实际上犯罪分子把原先的信息查询注释了,然后加了个 iframe 链接 asp 页面,这个查询模块链接到的数据库不是网站本身的数据库,而是假冒的医师资格证件信息数据库。当群众访问并提交信息查询请求时,就会查询到错误的信息。
弄清问题出在什么地方之后,事情的解决就简单多了。他根据网页修复标准流程,指导网站维护人员及时删除了生成的文件及网页,在第二天中午前将网站恢复正常。此时,距离赵天永接到任务有效应急处置的时间不到2个小时。
“内鬼”还是黑客?真相扑朔迷离
虽然成功的排除了问题,但是赵天永并不满足于此。他知道,解决问题固然重要,但困难的是深挖安全事件隐藏的缘由,找出背后的“始作俑者”,这样才能真正实现由“亡羊补牢”式的网络安全防护向“未雨绸缪”的转变,从根本上化解信息中心面临的网络安全危机。
而这一事件给人的第一印象便是信息中心出了“内鬼”:如果不是“内鬼”出马,谁能够在神不知鬼不觉的情况下获得网站后台的管理密码、篡改网页?谁会想到利用医师注册信息骗钱?如果这一判断是事实,该省卫计委将不得不在内部进行清查“内鬼”行动,而该行动将对组织的稳定性造成很大的破坏。
但是赵天永详细分析网站服务器的事件日志、香港的数据库服务器域名注册及解析信息等,发现了疑点,熟悉黑客产业运作规律的他发现,该事件简单的表象背后隐藏着复杂的利益链:篡改网站的黑客、兜售假证的骗子、远在香港的数据库都显示决非一起简单的“内鬼”事件,而是一起有组织、有预谋的网络犯罪事件。这也符合趋势科技对于地下黑客市场的研究结论:黑客已经形成了组织严密的地下产业链,并设置了较为严格的准入门槛,一般的“内鬼”是无法调动如此庞大资源的。
对于网络安全事件的敏锐与责任感让他进一步的投入到真相的追查过程中。在详密的分析之后,他认定判断犯罪是否是“内鬼”的关键在于攻击的方式:如果是“内鬼”,那么其无需费力可以直接获取网站后台的登录密码进行修改;如果是黑客,那么其最有可能通过网络攻击方式获取网站管理的权限。
事实也证明了他的猜想,系统日志发现了暴力破解的迹象,这证明犯罪分子正是通过网络攻击而获得了系统权限,进而安排了这一周密的网络诈骗计划。当初步汇报这一结果时,信息中心领导时确认了之前这个时间点网站被攻击,但处置之后没有彻底排查埋下的黑客后续攻击的隐患。
尾声 网络时代的安全防护“英雄”
在赵天永的建议下,该省卫计委全面加强了网络安全防护工作,不仅完善了网站安全策略,使用堡垒机、主机安全加固和审计、网页防篡改等安全系统对网站进行全面的防护。还加强了管理维护的账号安全管控,厘清管理职责,这样可以最大程度上降低网络安全风险。
正如剑术的最高境界是无剑、医术的最高境界无医,安全防护工作的最高境界是在威胁来临之前就将其消弭于无形。对于更多像赵天永这样的网络安全防护“英雄”来说,默默的在公众视线之外保护网络安全,也许是他们价值的最好体现。(作者:趋势科技 但湘峰)