未知威脅永遠存在，網(wǎng)絡要么已經(jīng)被攻陷，要么正在被攻陷的路上。所有安全從業(yè)人員都希望自己能開啟上帝視角，能看清黑客攻擊，能應對0Day漏洞，能阻止APT攻擊…….但事與愿違，更多時候我們對黑客攻擊一無所知。

更可怕的是，我們既不知道黑客是怎么進來的，也不知道黑客拿走了什么，更不知道黑客留下了什么。面對黑客攻擊時，企業(yè)受到了多大損失，這是所有企業(yè)CEO最關注的問題。比如，數(shù)據(jù)庫是否被竊取、敏感數(shù)據(jù)是否泄露、業(yè)務代碼是否泄露等問題。

企業(yè)受到了多大損失？

99%企業(yè)都無法確定黑客到底“拿走”了什么，這比入侵本身更可怕。試想一下，如果小偷進家里了，但是你卻不知道自己丟失了什么，這意味著“警察叔叔”也愛莫能助。作為一個CEO、CIO或CTO，他們也許不直接負責IT安全，甚至只有少部分人對此能有較為深刻的理解。但如果“天花板”墜地時，他們一定是首要責任人。例如之前索尼影視、韓國金融公司KB Financial、AOL美國在線等一大批不同行業(yè)機構(gòu)高管都因為黑客攻擊帶來的巨大損失而不得不引咎辭職。

在面臨不同等級的入侵事件時，企業(yè)的應對策略是完全不同的。因此，如何評估黑客入侵對企業(yè)造成的損失事關重大。通過準確的入侵損失評估，既能夠有效降低應對攻擊成本，也有利于企業(yè)品牌制定合理的公關應對策略。但這也并非易事，如果僅僅依靠IPS、IDS等傳統(tǒng)檢測手段，很容易被黑客繞過，會出現(xiàn)大量誤報、漏報。

此外，因為流量加密等手段廣泛應用，想要通過網(wǎng)絡端的流量分析來確認黑客異常行為已經(jīng)不可能，只能將目光聚焦到主機內(nèi)部。雖然黑客攻擊手段多種多樣，但其攻擊行為通常都會在服務器上產(chǎn)生對應的操作痕跡。因此，黑客的攻擊行為通常都是有跡可循，只需記錄這些異常操作行為，并通過大數(shù)據(jù)分析，就可確定其攻擊行為和帶來的危害。例如，站群服務器，黑客在竊取敏感數(shù)據(jù)時，將會執(zhí)行特定的數(shù)據(jù)庫操作，通過分析該行為就能判斷黑客拿走了哪些數(shù)據(jù)。

黑客是怎么進來的？

企業(yè)負責人最關注的是黑客拿走了什么，而安全人員往往最關注的是黑客是怎么進來的。不知攻，焉知防？安全人員需要結(jié)合資產(chǎn)狀況、入侵的攻擊路徑等信息來確定受攻擊影響的資產(chǎn)狀況。根據(jù)黑客殘留痕跡的位置，并向上或向下回溯其它服務器，確定被黑客攻擊的“缺口”。

例如，通過分析系統(tǒng)的登陸日志來查找異常登陸情況，以及檢查網(wǎng)絡訪問日志查找失陷主機。基于多日志的綜合分析，分析黑客入侵期間的所有操作，就可以還原完整攻擊過程，確定入侵攻擊的入口。

黑客還留下了什么？

黑客就像幽靈一樣，在入侵服務器后，往往會留下多個后門，為下次入侵提供便利性。舉個簡單例子，黑客在攻入某臺服務器后，將分階段埋入多個入侵點，并在某次攻擊時啟用其中一個后門，典型“狡兔三窟”。例如，寫入計劃任務以重新啟動后門。植入一些程序代碼以備后續(xù)再次入侵站點。

因此，入侵事件之后，安全人員需要通過排查關鍵位置，來確定殘留問題，比如是否存在殘留計劃任務，是否存在一些尚未啟動的后門程序，是否在業(yè)務服務中植入一些特定代碼等。

三大問題，一個對策

黑客是怎么進來的，又拿走了什么，以及留下了什么？如何解決這三大難題是擺在所有企業(yè)安全人員面前的一大難題。系統(tǒng)本身并不能詳細記錄進程啟動、主機操作等日志，而基于Agent重新采集主機數(shù)據(jù)，將為安全事件分析提供豐富的數(shù)據(jù)支撐。

三大問題，一個對策。青藤星池·大數(shù)據(jù)分析平臺，使用大數(shù)據(jù)技術(shù)存儲主機日志，從安全角度引導客戶對日志進行查詢與分析，發(fā)現(xiàn)黑客入侵的蛛絲馬跡，還原攻擊現(xiàn)場。產(chǎn)品基于ES系統(tǒng)，可在5s內(nèi)獲得查詢結(jié)果，同時對TB級數(shù)據(jù)進行統(tǒng)計分析，并保證數(shù)據(jù)至少保留180天，并可導入其他系統(tǒng)使用。

青藤能夠提供獨有的關鍵事件數(shù)據(jù)，包括操作審計日志、進程啟動日志、網(wǎng)絡連接日志、DNS解析日志等。每一個進程啟動過程都會被記錄下來，并且可以與網(wǎng)絡連接日志、DNS解析日志進行關聯(lián)。這將助力安全人員快速精準定位問題，徹底解決通過傳統(tǒng)日志進行溯源時只能定位到哪臺機器被黑，但是無法定位到具體進程的問題。

此外，青藤大數(shù)據(jù)分析平臺，提供自研QSL語法，采用”字段名+連接符+查詢關鍵字“的檢索方式，具有極強的擴展性與靈活性，可跨日志查詢數(shù)據(jù)，亞洲服務器租用，發(fā)現(xiàn)數(shù)據(jù)特點與安全線索。允許用戶使用SQL式的語法查詢，如下圖所示：

select * from net_connect where dst_port=3306 or src_port=3306

實踐過程：一個APT后門排查過程