騰訊雲上攻防戰事丨漏洞收斂，使敵不知其所攻

• 2019 年 10 月 4 日
• 筆記

善攻者，敵不知其所守；善守者，敵不知其所攻——《孫子兵法》

網絡安全圈流傳着這樣一句話：世界上只有兩種企業，一種是知道已經被黑客入侵的企業，另一種則是被入侵卻渾然不知的企業。

儘管這樣的說法可能言過其實，但不可否認的是，潛藏在暗中的黑客無時不刻都在伺機發動攻擊，竊取企業數據資產、破壞生產系統；而看不見的交易，在暗網上每分每秒都在進行。

• 2014年2月，在世界上最早的比特幣交易平台——日本的Mt. Gox網站，85萬個比特幣被盜，價值約4.5億美元，交易所因此破產清算。
• 2014年夏天，美國摩根大通銀行7600 萬家庭用戶和 700 萬小型企業的信息被泄露，涉及人數超過美國人口的四分之一。
• 2019年5月，黑客入侵併控制了美國馬里蘭州巴爾的摩市大約10,000台政府電腦，並索要13個比特幣（價值10萬美元）。

這些被曝光出來的網絡安全事件，僅僅是網絡安全攻擊的冰山一角。在我們看不見的戰場，安全攻防團隊與黑客的戰爭從未停歇。

枕戈待旦，時刻緊繃戰備神經

作為國內最大的互聯網公司之一，騰訊服務了超過十億的個人用戶，龐大的用戶數據猶如一筆巨大的寶藏，讓各路不法黑客團伙垂涎欲滴、躍躍欲試。

而隨着騰訊雲的快速發展，越來越多的用戶入駐騰訊雲，不少黑客將攻擊的目標轉移到了騰訊雲上。

「騰訊雲每天都在遭遇大量攻擊，只不過絕大部分都被我們和公司各安全團隊共同制定的策略和防禦系統攔截了。」騰訊雲鼎實驗室雲安全攻防團隊的負責人youzu這樣描述騰訊的安全態勢，但即使這樣，他們也不敢掉以輕心。

需要提防的，是那些有能力突破自動防禦系統的攻擊。為了應對黑客隨時可能發起的進攻，雲鼎實驗室的攻防團隊枕戈待旦，時刻留意着系統的警報，一旦警報拉響，就將進入緊急戰備狀態，與黑客展開正面對抗。

僅2019年上半年，雲鼎實驗室與突破騰訊雲第一層防護的黑客就短兵相接了數次。

簡單來講，騰訊的防禦體系分為三層，第一層是產品自身安全與防護，第二層是業務服務器安全加固防禦與入侵檢測，第三層則是騰訊內網隔離、訪問控制與風險感知。而每一層都有極其嚴密的防禦措施和複雜的安全規則。

「如果黑客突破了我們的第一層防禦，進入到產品服務器，他可能會留下後門方便以後進出，也可能利用我們的服務器從事非法挖礦等活動」youzu說，「但是如果不及時發現處理，他可能會找機會繼續往裡突破，那就很危險了。」

真正的威脅還不是這些正面戰場上的對抗，而是那些不知道潛伏在何處的危險。為了避免有黑客通過漏洞偷偷潛伏，攻防團隊的成員enlighten的主要工作之一就是和小夥伴一起對騰訊雲上的200多款產品進行掃描，及時發現並封堵漏洞，將威脅消滅在萌芽狀態。

除了要對已經上線的產品進行漏洞收斂，把好新產品上線的最後一道關，也是他們工作的重要任務。安全不過關產品不上線，這是雲鼎實驗室定下的軍規。哪怕耽誤了產品上線的重要時間節點也在所不惜。

「為這個事兒其實和很多產品開發團隊鬧過不愉快」enlighten苦笑着說，「但是沒辦法，為了整個騰訊雲的安全，這個惡人我們必須要當。」

意想不到的「突襲」

即使雲鼎實驗室平時對騰訊雲上的所有產品和即將上線的新產品進行嚴格把控、收斂漏洞，將被攻擊的風險降到最低，但隨着黑客攻擊手法和方式的不斷變化和更新，也很難保證騰訊雲不會遭到攻擊。

「在我們看來，任何系統沒有100%的安全，只有還沒發現的漏洞。」對雲安全攻防組的安全觀，youzu這樣評價。

2019年上半年的一天，enlighten剛剛結束給一個開發團隊的培訓，突然收到了防禦系統的警報，有黑客已經侵入到了騰訊雲的支撐環境。他顧不上震驚，迅速響應，聯同騰訊安全平台部洋蔥團隊對攻擊進行阻攔，與黑客展開了對抗。

enlighten回憶說：「當時其實既驚訝又興奮，因為這麼多年來，基本沒有哪一次攻擊能夠突破第二層防禦到達支撐環境。覺得這一次遇上對手了。」

如果一個黑客能悄無聲息地突破產品自身安全防護和業務服務器安全加固防禦到了支撐環境，足以說明他的實力強勁，並且已經可以造成一些實質性的危害了。

接到警報後，enlighten和小夥伴一起迅速控制住攻擊的勢頭，並對攻擊進行溯源，找到入侵的源頭，對漏洞進行封堵。原來該攻擊是利用了騰訊雲上某一款產品可以上傳腳本的漏洞（該漏洞已被及時修復），入侵後一步步突破，最終到達了支撐環境。

當enlighten終於忙完，長舒一口氣的時候，卻發現youzu和另外兩名同事看着自己露出了賊兮兮的微笑，才意識到事情不對勁。

原來，這是一次雲鼎實驗室聯合騰訊內部玄武實驗室、朱雀實驗室、企業IT 、TSRC等眾多安全團隊一起組織的一次對抗演習，目的就是為了模擬真實情況下的攻防對抗，來檢驗騰訊雲的安全防護水平。

善守者，敵不知其所攻

在對抗中被檢查出漏洞意味着不安全嗎？其實不是。

「這次我們集結了公司內部這麼多安全大牛在一起，在大家對騰訊的安全體系都非常了解的情況下，僅僅是為了找到一個可以入侵的產品漏洞就花了整整兩周」youzu解釋說，「後面為了繞過防禦體系，悄無聲息突破第二層防禦，又想了無數的辦法，如果一個外部黑客對騰訊的安全防禦體系完全不了解，他在第一次嘗試的時候就會被發現。」

內部的安全攻防對抗演練，不在乎輸贏，目的在於找出平時用常規手段沒有發現的漏洞並及時收斂，讓真正的黑客在攻擊時無計可施，進一步保證騰訊雲和雲上用戶的安全。

正是這樣不定期的展開實戰對抗，加強了騰訊內部各安全團隊的默契、積累了深厚的實戰經驗。

除了對抗演習之外，包含湛瀘實驗室、騰訊安全平台部等團隊，也在騰訊雲漏洞挖掘、攻擊防護、入侵檢測等方面組成了騰訊雲安全的堅實之盾。」正是有了這一群來自騰訊內部頂尖的友軍的鼎力支持，才讓我們在與黑客的攻防對抗中始終得心應手。」youzu如是說。

在去年，堪稱國內難度最高的貴州雲安全實戰攻防賽上，騰訊安全團隊憑藉靶標攻擊挑戰總成績第一、騰訊雲100%完美防禦奪下「攻」與「防」雙料冠軍，捍衛了騰訊雲業界領先的安全實力。

而在今年剛剛過去不久的一場為期21天的網絡安全紅藍對抗上，承擔某平台「守方」角色的騰訊安全團隊最終「以一敵百」——抵禦住100支國內頂尖隊伍的全天候、多方位攻擊，共阻斷TCP攻擊近20億次，阻斷Web攻擊近300萬次，封禁IP6.8萬，最終取得了0事件通報、0失分的優異成績。

孫子兵法有雲「善攻者，敵不知其所守；善守者，敵不知其所攻。」讓黑客無計可施、不知從何入手，這不僅僅是雲鼎實驗室的追求，更是騰訊安全的願望。未來，騰訊安全將面向產業互聯網持續輸出自己的安全能力，為產業互聯網的發展保駕護航。