如果把所有的云安全企業(yè)比作班級里的童鞋，那么阿里云算得上是學(xué)習(xí)委員。當(dāng)然，就如同每個(gè)人都遇到過的那個(gè)學(xué)習(xí)委員一樣，Ta 往往不一定是學(xué)習(xí)成績頂好那個(gè)，但是卻得為大家樹立一個(gè)“拼命三郎”般正面的榜樣。

號稱全國超過30%的網(wǎng)站部署在阿里云上，這個(gè)數(shù)據(jù)讓阿里云張目而臥，不敢有半點(diǎn)閃失。

在云棲大會上，來自阿里巴巴的技術(shù)大牛們也分享了他們和黑客做斗爭的經(jīng)驗(yàn)。

【被掛了賭場廣告的體育總局網(wǎng)站】

快槍手黑客——從開始到結(jié)束只需一小時(shí)

一小時(shí)，足夠你做完很多想做的事。但是對一次攻擊來說，能夠在一小時(shí)之內(nèi)取得服務(wù)器權(quán)限，這樣的黑客無疑算是快槍手。但是，阿里云公布了一個(gè)奇異的數(shù)據(jù)：

在阿里云盾攔截的8萬次定向攻擊中，黑客入侵的成功率是12.19%，而在這些成功的進(jìn)攻中，有一半從開始到得手不到一個(gè)小時(shí)。

要知道，從技術(shù)上來講，攻擊一個(gè)網(wǎng)站所需要的尋找漏洞、找到注入點(diǎn)、發(fā)起進(jìn)攻嘗試到最終攻破防守，這一系列進(jìn)攻需要很多次試錯(cuò)。傳統(tǒng)上來說，整個(gè)過程持續(xù)一周到數(shù)周都是正常的。為什么現(xiàn)在的進(jìn)攻會如此迅雷不及掩耳呢？

阿里云安全專家葉敏告訴雷鋒網(wǎng)：

這件事情其實(shí)并不難理解。因?yàn)樘綔y到的攻擊，其中96.25%是靠掃描器發(fā)起的。得益于成熟的滲透工具，現(xiàn)在的黑客只需要點(diǎn)一點(diǎn)鼠標(biāo)，所有的攻擊就全部自動(dòng)化完成了。

在阿里云攻防團(tuán)隊(duì)攻破的一個(gè)黑產(chǎn)組織中，安全研究員看到了黑客掌握著超過300G的賬號和密碼。而且在這個(gè)產(chǎn)業(yè)鏈上，有人專門收集信息，有人申請攻擊代理服務(wù)器，有人專門編寫攻擊工具，最終把受害人賬號里的虛擬資金轉(zhuǎn)走。這件事情，已經(jīng)遠(yuǎn)遠(yuǎn)不是黑客們的小把戲，而是已經(jīng)成為一個(gè)堅(jiān)如磐石的完整產(chǎn)業(yè)鏈。

【黑客入侵用時(shí)統(tǒng)計(jì)，半數(shù)不到一小時(shí)】

既然黑客們使用了“自動(dòng)步槍”，所以為了保護(hù)云上的用戶，安全人員同樣要使用自動(dòng)化武器。例如，在一些高級對抗中，安全研究員會研發(fā)自動(dòng)化追蹤黑客的工具，可以通過類似的反制手法定位到黑客通過什么路徑一步步進(jìn)入到我方營地，而且還會在黑客的操作過程中，自動(dòng)對黑客的行為進(jìn)行取證。

挨揍——成為武術(shù)家的秘籍

從安全上來講，阿里云擁有一個(gè)得天獨(dú)厚的條件，那就是手上擁有極大量的用戶大數(shù)據(jù)。通俗地來講，這條船上保護(hù)的乘客千姿百態(tài)，所以安全人員有幸可以見到千奇百怪的進(jìn)攻。由于平臺之上的網(wǎng)站價(jià)值巨大，阿里云的命就是被各種黑客“刀砍斧剁”。

然而，鑒于大多數(shù)網(wǎng)站的安全意識差得令人發(fā)指，黑客們不僅懶到了天天用工具掃描的地步，甚至有一批黑客專門掃描其他黑客已經(jīng)做好的“后門”，這種行為大概就是我們俗稱的“截胡”吧。

在“黑產(chǎn)界”最為普遍的web應(yīng)用攻擊中，黑客在成功進(jìn)入服務(wù)器之后，都會放置一類名為“webshell”的后門，而在全年80億次web攻擊中，探測“別人家后門”的攻擊竟然達(dá)到了16.88%。這無異于兩個(gè)流氓在別人的家里火并，簡直是讓安全研究員吐槽無力。

【16.88%的Web應(yīng)用攻擊為“Webshell探測”】

許多安全公司都有一種“收集癖”，那就是收集世界上的惡意IP。例如安全特種兵知道創(chuàng)宇，號稱掌握全球數(shù)千萬的惡意IP地址庫，而擁有電腦管家和安全衛(wèi)士的騰訊和360，也都依靠自己強(qiáng)大的終端把控能力，掌握著大量的惡意IP，而阿里巴巴依靠阿里云和黑客們的無數(shù)斗爭，積累了一批寶貴的高精準(zhǔn)度的惡意IP。阿里云盾負(fù)責(zé)人吳翰清（道哥）透露，這個(gè)黑名單大概有百萬數(shù)量級。

通過對這些惡意IP進(jìn)行分析，發(fā)現(xiàn)他們主要來自于東部沿海城市。不過道哥解釋說：

之所以大量惡意攻擊IP來自中國沿海，并不是說這里的黑客多，而是因?yàn)檫@里往往有大的IDC機(jī)房，黑客們通過租用或盜用IDC機(jī)房資源，進(jìn)行24小時(shí)持續(xù)攻擊。

正是因?yàn)槿绱耍刻毂缓诳汀巴钡丁背蔀榱税⒗镌贫艿氖姑?。不過，阿里的童鞋表示，就算沒有來自阿里云的客戶，自家的淘寶系產(chǎn)品和其他業(yè)務(wù)也都是需要極高的防護(hù)等級的。因?yàn)榛⒁曧耥裣胍诘籼詫毜暮诳痛笥腥嗽凇τ诎⒗镌贫軄碚f，捕獲諸多的攻擊，有一個(gè)天大的好處，那就是每周都可以捕獲2-3個(gè)“0 Day”漏洞，并且可以在廠商推出補(bǔ)丁之前先行做好防護(hù)。也算是對阿里云“挨刀”的獎(jiǎng)賞吧。

加密——最后一根稻草

為了打退黑客一波又一波的進(jìn)攻浪潮，阿里云顯然已經(jīng)玩了命。然而，做好安全防護(hù)就可以防止企業(yè)核心資料被竊嗎？答案是：“門也沒有?！?/p>

得到一個(gè)企業(yè)的核心數(shù)據(jù)，有八萬六千法門。使用黑客手段入侵，是最為“直線思維”的一種。

阿里巴巴專家蘇建東告訴雷鋒網(wǎng)，

想要達(dá)到（竊取資料）這個(gè)目的，并非一定要通過黑客入侵。還可以通過內(nèi)部工作人員或者外包人員的違規(guī)操作得到，甚至可以在網(wǎng)絡(luò)傳輸?shù)闹虚g節(jié)點(diǎn)進(jìn)行竊聽。

例如，黑客通過社會工程學(xué)手段破譯員工的工作密碼，或者干脆買通企業(yè)員工，甚至采用暴力破解的手段“猜”出員工的密碼。就可以通過完全“合法”的途徑進(jìn)入公司內(nèi)部。

事實(shí)上，由于員工采用弱密碼而造成的企業(yè)數(shù)據(jù)泄漏，占到這種情況的一半還多。這個(gè)比例是令人發(fā)指的。企業(yè)辛辛苦苦構(gòu)建了無數(shù)條安全防線，只是因?yàn)橐粋€(gè)員工的密碼是“123456”，所有的努力都功虧一簣，付之東流。

總之，再少的企業(yè)數(shù)據(jù)也是紛繁復(fù)雜的，可以接觸到核心數(shù)據(jù)的途徑很多，每一個(gè)途徑都是一條炸彈引信。保存一個(gè)帶有眾多引信的炸彈，自然難度非凡。于是一個(gè)簡單的辦法就是：把核心數(shù)據(jù)加密，然后小心保管這個(gè)密碼。

最近經(jīng)常傳出新聞，例如某易被拖庫等等。蘇建東說，

很多網(wǎng)站的用戶數(shù)據(jù)可以輕易被黑客盜取，不僅僅因?yàn)榘踩雷o(hù)存在紕漏，也因?yàn)樗麄兊挠脩粜畔⒉捎昧嗣魑拇鎯Ψ绞?。而如果把重要信息加密，就算被拖庫，也沒有辦法破解真實(shí)的用戶數(shù)據(jù)。

國家保密局等機(jī)構(gòu)在數(shù)據(jù)保密方面有相當(dāng)規(guī)范的標(biāo)準(zhǔn)，通過采用這些標(biāo)準(zhǔn)，可以把對數(shù)據(jù)的保護(hù)簡化為對密鑰的保護(hù)，這就極大程度降低了數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。同樣在數(shù)據(jù)傳輸?shù)倪^程中，盡可能使用Https加密協(xié)議，也可以防止數(shù)據(jù)在傳輸過程中被竊聽。阿里云相信，這種方式可以使得數(shù)據(jù)的安全性空前提高。

兩年前，有關(guān)云服務(wù)的討論是“可行或不可行”，但隨著政府機(jī)構(gòu)和老牌國企都已經(jīng)在向云上遷移。討論的重點(diǎn)已經(jīng)轉(zhuǎn)到“如何更好地在云上玩?！绷?。既然要玩耍，就要注意安全。和黑客“拼命”，云服務(wù)廠商仍然任重道遠(yuǎn)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。