“43次攻击全部失败?”
E.m盯着电脑屏幕上的黑白代码,眉头紧皱,陷入了沉思。按照计划,这次应该是十拿九稳的定局。
团队在半个月内挖掘出的漏洞,原本是E.m最大的信心来源。
根据掌握的情报,他画了一张攻击蓝图,而攻击的起点正是对方的漏洞。
如今,几乎所有的漏洞都不能利用,让这一场“秘密行动”陷入了僵局。
时间回到九月份的一个下午,坐在工位上的的E.m突然接到一个秘密任务:
干掉腾讯云!
行动代号:干掉腾讯云
下达这道命令的是Fooying。Fooying是腾讯安全云鼎实验室的成员,负责守卫腾讯云的安全。从加入腾讯的那一天起,他和他的团队就枕戈待旦,时时刻刻提防着黑客对腾讯云的攻击。一旦警报拉响,立即进入紧急战备状态,与黑客展开正面对抗。
“腾讯云上面存放着大量的重要数据,一旦失守,后果不堪设想。”
Fooying深知自己团队背负的使命,不敢掉以轻心。
随着腾讯云的快速发展,越来越多的企业入驻腾讯云,不少黑客也将攻击的目标转移到了云上。国内外因为被黑客攻击导致的删库、数据泄露、病毒勒索的公司比比皆是。腾讯云安全的重要性可想而知。
多少个夜里,接到威胁情报的他从被窝中爬起,处理一个又一个的应急事件。
但是,这些还远远不够。
“任何系统都没有100%的安全,只有还没发现的漏洞。真正的威胁不是这些正面战场上的对抗,而是潜伏在黑暗中的危险。我们需要主动出击,采用非常规的手段,自己发现腾讯云的漏洞。”
这个非常规的手段,正是“干掉腾讯云”秘密行动。
网络安全中,这样的攻防演习称为“红蓝对抗”。类比于军事演习,蓝军一方负责攻击,红军一方负责防守。
而Fooying正是本次红蓝对抗的发起人,开头接到秘密任务的E.m是本次蓝军的领军人。
当时,知道这个秘密行动的成员不超过50人。
放开打!
“终于来了。”
接到秘密任务时,E.m高兴得直搓手。因为对于安全研究员而言,合法攻击腾讯云是一次难得的机会。
而真正让E.m兴奋的是,区别于往年,今年这项秘密任务只有一个条件:不限战场和手段,放开打!
这意味着攻击方可以不受束缚、不讲“武德”。既可以从外网强攻,也可以从内网巧夺;可以线上伪造钓鱼邮件,也可以线下攻破硬件设备。
此时,他的对手正在办公室的另一端对着屏幕发愁。
Rud是本次红蓝对抗的红军负责人,将迎战蓝军猛烈的攻击,守卫腾讯云。
在腾讯,每天都有众多安全人员在巡视、建设腾讯云的安全防线。尽管如此,攻防两端终究是一场不均衡的较量。攻击方遵循木桶原理,找到最短的木板攻破即算成功;防守方则需要补齐所有短板,不断筑高木板。
“今年的规则完全可以理解”,当知道今年的红蓝对抗不限战场和手段时,Rud早有预料。“腾讯云上已经有数百万的用户,供应链、客户、员工等等导致的攻击面逐步扩大,我们的演习也必须与时俱进,更接近实战才有意义。”
Rud回想起近期参与的一次安全保卫战中,腾讯云就帮助一家大型电力企业扛住了19.5万攻击,还完成了10次溯源反制,帮助守护了国计民生安全。
“我们每天都在面临这样的攻击考验,只不过这次的对手更加强大,攻击手法也将更加毒辣。”Rud神色严肃,不敢掉以轻心。
撕开第一道口子
接到秘密任务的第二天,E.m就和蓝军一头扎进了备战工作中。
“腾讯云庞大的数据资产和复杂的业务架构,一时竟无从下手。”蓝军花了大量的时间调研资产、梳理业务逻辑、分析风险点,总算摸排得七七八八。
E.m画了一张攻击蓝图,涵盖了云上远程攻击、办公安全、子公司供应链攻击和内部员工破坏四大路径。
确定攻击路线后,E.m开始排兵布阵。情报“侦察员”、病毒“狙击手”、漏洞“挖掘机”等角色各司其职。
另一边,红军在Rud的带领下梳理数据资产、验证安全策略和安全加固。
集结了腾讯安全云鼎实验室、玄武实验室、朱雀实验室、安全平台部、企业IT部、腾讯蓝军、企业IT蓝军和云安全专项团队等众多安全专家的明星阵容分成两派,一边是为黑客精神而战,一边是为腾讯云荣誉而战。
双方严阵以待,等待“裁判员”挥动令旗。
11月4日,攻防演习正式开打。
蓝军的四支攻击小分队按照计划分头行动,一齐向腾讯云发动了猛烈攻势。很快,蓝军遇到了麻烦。
由于红军调低了阈值,蓝军只要一对其内网发起扫描,就会触发系统告警。这意味着蓝军的攻击路线还在前期侦查阶段就被阻断了。
筹备期间,蓝军就挖掘出了腾讯云的漏洞,蓝军对本次演习信心大增。但到攻击阶段E.m才发现,红军的监测能力比想象中更为强大,所有漏洞几乎全部无法利用,这让这场攻防陷入了僵局。
直到演习第四天,蓝军才靠着一个重大0day漏洞,在红军的防线上撕开了一道口子。
“这只是攻击的第一步,相当于我们把一楼大门打开了,但是这栋楼很复杂,还需要逐层逐个房间排查。”
E.m还是低估了腾讯云的防护能力,有几次攻击甚至被对方逮到,并溯源反攻到蓝军主阵地的服务器。
演习前半程,蓝军久攻不下,红军占据上风。
“我们利用蓝军的一个木马对主机进行溯源,成功登陆了他们的服务器,发现里面还躺着好几份从我们这里窃取的文件。我们没删除,也没跟他们说,就兜一圈。”说到得意处,红军负责人Rud笑道。
尽管如此,红军仍然不敢放松警惕。“蓝军虽然没能成功利用漏洞,但能发现这些漏洞就已经非常厉害了。”
红军唯一能做的,就是以不变应万变,等待对手露出破绽。
直觉告诉他,事情绝对没有这么简单。
剑走偏锋,潜入打印机
果然,正面强攻不下,蓝军开始不讲“武德”,秀起了操作。
他们先是用钓鱼邮件骗过了红军的自动防护机制,不过这一招并没有奏效。
E.m翻出一开始就构思好的剧本,将目光转向了IoT设备。“企业中通常隐藏着大量不受管控的IoT设备,腾讯虽然一直很重视办公楼的近源攻击和办公网安全,但是众多分公司说不定存在‘漏网之鱼’?”
果然,他找到了分公司的一台年久未更新的打印机,直接通过物理环境攻破,成功控制了这台打印机的操作系统。
按照剧本,如果能够以打印机作为攻击跳板访问公司内部系统,将有机会入侵腾讯云。只不过,这一次同样倒在了第二步。
此外,蓝军还通过克隆员工工卡,从机器上提取员工访问票据等手段,获得了一些内部权限,成功通过内部网关。
这一系列攻破都让红军措手不及,他们成功防住了不少顶级漏洞攻击,却在不起眼的角落被蓝军杀一回马枪。
让Rud印象最深刻的,是蓝军利用腾讯内部论坛漏洞实施的水坑攻击。蓝军仅仅用了一个热门帖子吸引大家点击,竟然诱导了很多人中招。
“演习中用到的社工攻击等手段,技术上并不复杂,难的是有创造力和跳跃思维,并且敢想敢干。这正是平时常规手段不能发现的地方。”Rud心服口服地回忆道。
自我战斗,磨练更安全的云
11月27日,经过一个月的激烈对抗,攻防演习落下帷幕。
“打爽了!”
黑客老炮儿E.m回想起这段酣畅淋漓攻击腾讯云的往事,直呼过瘾。
整整一个月,蓝军测试出了多个漏洞和薄弱环节,而红军则侦查到了蓝军几十次的进攻动作。
每一步进攻和防守的日志都被详细记录,发现的漏洞第一时间修补,发现的薄弱环节立即升级。这正是演习沉淀下来的真正财富。
“这是一场没有输赢的战斗”,本次红蓝对抗的负责人Fooying总结道,“每次战斗都让我们更强大,演习的意义就在于排查腾讯云的安全问题。”
红蓝对抗短暂“交锋”的背后,是一场漫长而没有硝烟的安全守卫战。数千名安全工程师用智慧与汗水为腾讯云筑起了高墙和堡垒,支撑起云上的用户安全。
产业互联网时代,大量的用户场景驾于云上。一旦云上安全有丝毫闪失,将给产业带来巨大损失。腾讯云的红蓝对抗已经逐步常态化,既是保护自己的方式,也是守护云上合作伙伴的重要途径。
腾讯云,正在用一场场自我的战斗,磨练出更安全的云。