騰訊雲上攻防戰事 | 雲上聽風,不戰而屈人之兵

  • 2019 年 10 月 4 日
  • 筆記

對於一場戰爭而言,情報戰早在雙方短兵相接之前就已經打響,誰能掌握更多、更精準的情報,往往就掌控了戰場的主動權,有更大的把握贏得勝利,甚至能取得以弱勝強、以少勝多的戰果。在作家麥家的小說《暗算》中,擁有獨特天賦能夠從紛繁複雜的訊號中辨別出敵方電台、截獲秘密情報的工作者,被稱為「聽風者」。

電影《聽風者》劇照

在騰訊,也有這樣一群「雲上聽風者」。他們通過自主研發的情報監測系統和高效的安全運營體系,為騰訊雲的安全源源不斷地提供全面、專業的漏洞情報,與黑客搶奪關鍵的時間窗口,讓安全運維部門有時間做好充分準備以應對隨時可能到來的攻擊。

聰者聽於無聲,明者見於無形

2017年5月12日,利用永恆之藍漏洞傳播的WannaCry蠕蟲勒索病毒爆發,短短几天之內,全球100多個國家和地區,數十萬台電腦遭到了攻擊,但是騰訊雲上的幾十萬用戶卻鮮有受到感染,疫情在最短時間內得到全面控制。取得這樣的戰果,與騰訊「雲上聽風者」的努力密不可分。

雲鼎實驗室情報團隊便是騰訊「雲上聽風者」之一。

當WannaCry蠕蟲勒索病毒還未出現大規模擴散時,他們便在第一時間監測到了這個病毒的疫情,並針對這一疫情進行快速深入分析,發現該病毒有全網傳播擴散趨勢後,立即啟動情報驅動應急預案,針對騰訊雲上用戶發布疫情告警,並同步開啟聯動封堵防護機制,阻斷來自外部的蠕蟲利用請求,避免了該病毒在騰訊雲上傳播擴散。

這支團隊人數不多,戰鬥力卻極強,他們每天需要處理上千條漏洞情報,每一條都需要準確地辨別出這些情報里是否隱含危險資訊,因為一旦漏掉任何一條,都有可能對騰訊雲和雲上的用戶造成無法挽回的損失。

「大部分情報機器會先過濾一遍」團隊負責人phon解釋說。phon說的機器,是他們開發的一套監測分析系統,目前已經覆蓋了超過300多個情報源,每天會源源不斷地將來自開源社區、官方通告、社交平台等渠道的漏洞資訊加工後輸送到情報中心,經過演算法篩選後,會根據分級按順序留下需要人工分析的目標情報。經過人工分析後,他們會根據漏洞的威脅程度輸出報告,第一時間對騰訊雲業務團隊和騰訊雲用戶進行預警,並且給出合理的解決方案,通知運維團隊和用戶趕在黑客攻擊之前修復漏洞。

火線預警,守護雲上安全

今年5月份的一個清晨,微軟發布了遠程桌面服務(RDS)遠程程式碼執行漏洞CVE-2019-0708。黑客可利用該漏洞遠程獲取電腦的控制許可權,存在著極大的安全隱患。

雲鼎實驗室的情報團隊第一時間就收到了情報監測系統推送的漏洞預警,當時正在吃早飯的團隊成員chad,立刻在工作群里拉響了警報,啟動了應急預案,將情報迅速知會給相關團隊。

「RDP埠是一個常用埠,這個漏洞利用不需要用戶交互,如果有黑客利用RDP漏洞植入惡意程式碼發起攻擊,可能再次引發類似2017年WannaCry勒索蠕蟲事件,危害甚至更大。」chad看到警情的第一時間腦海中就給出了初步的判斷。

想到騰訊雲上數十萬雲主機將有可能遭受威脅,chad顧不得吃早餐,迅速趕回實驗室對漏洞進行分析,編寫預警文案。

10點10分,漏洞預警在騰訊雲官網發布,為了進一步通知所有騰訊雲用戶,chad他們又通過簡訊、郵件、站內信等方式輪番通知,務必要讓騰訊雲用戶提高警惕。

20分鐘之後,騰訊雲安全運營中心對外發布了詳細的漏洞分析報告,並為用戶提供完善的防禦方案和建議。

與此同時,騰訊雲業務團隊正在根據情報緊鑼密鼓地對騰訊雲自身的伺服器和產品進行修復和驗證,不到24小時的時間,已經確保了騰訊雲上所有用戶新創建機器不受漏洞影響。

騰訊雲官網預警

在此期間,漏洞情報團隊始終保持著高度關注,但由於騰訊雲上的用戶量太大,很難保證所有用戶都看到預警並及時修復。phon和chad預估很快互聯網上將出現惡意漏洞利用工具。

幾天之後,不出所料,情報監測系統在GitHub上監測到了一名匿名漏洞研究者的發言,他聲稱將於下周五發布能造成系統崩潰的漏洞利用工具。

GitHub上的留言截圖

監測到這一情報,漏洞情報團隊立即發布風險升級預警,二次提醒用戶開展修復工作,同時聯合雲鏡團隊和電腦管家團隊快速開發一鍵漏洞檢測和一鍵漏洞修復工具,以幫助用戶快速進行查漏補缺。

通過這一連串的應急響應與聯動,大大降低了騰訊雲平台和雲上用戶所面臨的安全風險。

情報戰中的爾虞我詐

像這樣大規模的高危漏洞警情,不是雲鼎實驗室第一次碰上,也不會是最後一次。但正是他們完善的監測、及時的預警才為騰訊雲和雲上用戶防禦黑客的攻擊搶到了寶貴的時間窗口。

在phon看來,雲上安全攻防就是一場沒有硝煙的戰爭,漏洞情報收集彷彿戰爭的前奏,情報越精準、越快速,就越能在攻防中掌握主動權,贏得最終的勝利。而在漏洞情報運營中,騰訊雲最大的優勢就是經驗豐富的安全專家團隊,「漏洞監測系統搭建起來並不難,但是最關鍵的是收集到情報後,要有專業安全團隊去分析和研判,從中提煉出真正有價值的情報。」phon解釋說。

因為漏洞監測系統收錄的情報當中經常會有一些以假亂真的「陷阱情報」,一些看似安全的PoC工具和修復修補程式,可能暗藏危險。這些情報有如敵方特工釋放的干擾訊號,如何在其中鎖定 「敵方電台」,鑒別出真實可靠的情報,還需要人工驗證分析。

某假PoC工具運行後的惡作劇動圖

這是安全社區上常見的惡作劇,當一些缺乏經驗的工程師看到有人發布工具時,往往會不經分析直接使用,就會中招。但是,惡作劇往往是善意的提醒,如果遇上一些別有用心的黑客,沒有分析出資源中暗藏的危險,就很可能遭遇惡意的攻擊。

而對於雲鼎實驗室來說,早就在多年的實踐中積累了豐富的經驗,練就了該如何應對「情報戰」中的爾虞我詐。

「就算我們解決不了,我們背後還有TK、吳石等技術大牛,有騰訊安全七大實驗室雄厚的技術實力的支撐。如果連他們都解決不了,那問題可就大了。」說到這,phon和chad相視一笑。

雲鼎實驗室情報團隊作為騰訊的「雲上聽風者」之一,他們提供的情報,多次幫助騰訊雲安全團隊在重大危機來襲之前就成功化險為夷,未來他們也將持續戰鬥在雲上攻防第一線,為騰訊雲的安全貢獻「聽風者」的能量。

VirMach 便宜 VPS

QNews

QNews