一点资讯是国内知名的内容聚合平台,拥有超过5亿用户,月活跃用户数高达2亿,其中仅沸点视频(一点资讯旗下短视频品牌)就拥有数千万粉丝,原创视频总播放量超过500亿次,单条阅读量最高达13亿次。
一点资讯的成功离不开原创、优质的内容,更离不开分布在三大公有云与三个自建数据中心包括服务器、云主机与容器主机的16000余台主机,这些主机支撑了包括沸点视频在内的各业务系统7x24小时稳定运行。
没有主机安全就没有业务安全,今年3月,一点资讯开始组建新的网络安全团队,7月新团队刚组建完成就接到通知,将参加市局在8月组织的网络安全攻防演练。这意味着,新团队必须要在1个月内构建一个拥有较高水准的网络安全防护体系。
幸福一点 “烦恼”的陈乔
陈乔是微步的一名网络安全工程师,历经各种“疑难杂症”项目,但一点资讯的方案显然将再次刷新了陈乔的履历。根据一点资讯的现实需求,陈乔的方案应具备下面两种能力:
·在攻防演练方面,攻防对抗已经异常激烈,0day/Nday、内存马、网络钓鱼……成为最“流行”的攻击方式,这意味着传统“被动防御”方式近乎失效。这套方案必须能有效应对新型威胁,在各个攻击敞口上做到实时发现、检测与响应;
·这套新网络安全防护体系必须快速上线,争取10天内部署完毕。
经与一点资讯安全团队深入沟通后,陈乔规划出满足一点资讯需求的网络安全防护体系:基于微步主机威胁发现与响应平台OneEDR、威胁感知平台TDP、办公网安全服务OneDNS、HFish蜜罐产品构建一套覆盖“云端+网络流量+主机”的一体化网络安全纵深防御体系。
一点资讯 “云网端”三位一体纵深防御架构,针对办公网、私有云数据中心及公有云不同特点而采用具有不同安全能力的微步产品形成组合解决方案
构成这套网络安全纵深防御体系的不同产品具备不同纬度的安全能力,且能联动响应,并提供覆盖事前预防、事中响应处置、事后溯源全流程的安全闭环能力。
有效覆盖不同攻击方式。网络钓鱼与0day漏洞利用是最常用,成功率也最高的攻击方式。网络钓鱼主要发生在办公网场景,OneDNS以SaaS化方式提供互联网安全接入服务,可以有效防范网络钓鱼、挖矿、勒索及APT攻击;对于0day,TDP与OneEDR另辟蹊径,利用情报、流量、文件与攻击行为特征检测相结合,可有效检出利用0day发起的攻击。
联动实现一站式响应。在这一纵深防御体系中,TDP可与OneDNS、HFish蜜罐与OneEDR联动响应,尤其是TDP与OneEDR的联动,实现了流量行为、主机行为检测的整合,利用OneEDR中的事件聚合与威胁图等专利技术,不仅能更加精准地发现攻击行为,还能还原整个攻击链路,让定位处置更加简单便捷。
Webshell是企业最为“头疼”的攻击方式之一,通过TDP检出的流量行为与OneEDR的主机行为相互印证,告警更精准,并还原整个攻击链路
安全闭环能力。TDP与OneEDR都具备安全闭环能力,作为主机的最后一道屏障,OneEDR集成了尤为强大的功能。不仅能在事前快速发现开放端口、弱密码及不当配置等容易被黑客利用的风险点;在事中,内部集成12款自研引擎从不同纬度检测,再结合事件聚合综合评判来精准告警;并将日志、告警信息与威胁图技术相结合,完整展现全部攻击链路,自动溯源,帮助安全团队快速定位风险点,避免被重复攻击。
轻量快速部署能力。这一体系中的产品均具备快速部署能力,比如办公网安全防护,只需将本地DNS指向OneDNS即可;TDP针对网络流量进行检测,通过旁路部署在网络出口,无需更改网络架构;HFish对资源要求极低,可按需部署在数据中心任意位置,以进一步提升威胁感知能力;OneEDR用于安装在主机上的Agent也非常轻量,可以批量部署。
但不管Agent有多轻量,上万台部署规模,都是不小的挑战。时间紧,部署规模大,还必须优先保证一点资讯业务平稳运行,而这是陈乔在准备实施阶段面对的最大“烦恼”。
进击的陈乔,一点没“烦恼”
一点资讯的业务特点决定了业务对主机性能的需求极难预测:也许下一个视频或文章就会成为“爆款”,爆款所需的性能可能是平常业务的数十倍。除此之外,还有核心数据库系统、离线分析业务、推荐系统……林林总总近百个系统,均由各类型的服务器、虚机、云主机及容器主机支撑,总计超过16000余台,主机类型多样、架构复杂,也进一步增加了Agent部署难度。
在一点资讯CEO亲自“挂帅”下,新安全团队加班加点摸排互联网资产,并将16000余台主机按重要程度、应用特点以及被攻击风险等因素分为了四个不同优先级,得益于OneEDR Agent模块化设计理念,在OneEDR管理控制台中可根据不同优先级主机选择启用/关闭一个或多个功能模块。
陈乔决定率先对优先级最高的数百台主机“动手”。这些主机特点非常鲜明:承载核心业务/数据库应用,大多属于高并发应用,对响应时间极其敏感。根据这些特点,陈乔选择关闭了Agent上的资产清点、系统完整性校验以及文件检测等功能模块,并修改MD5校验方式,这样可进一步降低资源占用,但利用攻击行为特征等检测方式,主机安全等级依然保持在较高水平。
在OneEDR管理控制台中可按业务场景为Agent设置灵活的检测策略,通过关闭部分资源占用较多的功能来避免对业务造成影响
安装Agent后经24小时的持续监控,主机应用运行正常,除预先关闭的功能模块之外,其他功能模块正常运行,Agent资源占用极低,都维持在1%以下。最硬的“骨头”啃掉了,陈乔深深地舒了一口气。随后,1000台主机批量部署、2000台、3000台……整个部署过程有如神助,在8天内就完成了16000余台主机部署,比规定的时间还提前了两天。
只要幸福,不要烦恼
除了针对数据、规则运营的优化之外,一点资讯还利用OneEDR的资产清点来对自身互联网资产进行梳理,以便在遭遇攻击时能快速定位并责任落实到人,同时利用风险发现功能来找出潜在可能被网络攻击者利用的弱密码、开放端口及不当配置等风险点。在这一过程中,仅弱密码这一项,OneEDR就在SSH与数据库等服务上发现了4000多组弱密码,且OneEDR还能持续监测弱密码整改情况。经整改后,有效降低了被攻击者利用的几率。
除此之外,在持续一周的攻防演练准备阶段,还发生了一段小插曲:在日常监测中,OneEDR突然发出失陷主机告警,微步安服人员在确认告警后,立即使用OneEDR溯源功能来定位具体的目录文件。随后,OneEDR陆续发现了30多台失陷主机,其中某台失陷主机在2019年就已被植入伪装成正常应用的木马后门程序,三年间还经过多次更新,试图伪装成不同应用继续潜伏,但最终未能逃过OneEDR的“火眼金睛”。
在攻防演练准备阶段,OneEDR在某台业务主机上检测到木马后面程序,并定位到具体目录、文件
经过演练前准备阶段的攻击面梳理和收敛。在攻防演练期间,在面对各种网络攻击时,这套“云网端“三位一体纵深防御体系与微步提供的情报相结合,经受了各种网络攻击手段的考验,均能快速发现威胁并及时阻断。在历时半月的攻防演练期间,一点资讯真正做到了0失分,让靶标稳如泰山,且业务平稳有序运行。