2019年01月29日 星期二
有他们在,黑客无望春节档

新春走基层

本报记者 张佳星

    1月25日,宋津旭早上赶到办公室,第一件事是查看严重告警事件。临近春节,天津滨海新区公安局科技信息化支队里的节日气氛有些另类——不希望告警到来,又怕告警没来。“有严重告警说明有恶意攻击,起码是有恶意的,但没有,又怕有疏漏。”作为队伍里的技术骨干,宋津旭对告警事件的处理在年节里更加谨慎。

    过去年关难过,犯罪分子经常利用人们节日的麻痹大意“出手”,如今黑产渐成规模,犯罪事件也向网络转移。就在不久前几十万铁路售票网络的用户信息在网上公开售卖,虽然民警最终锁定犯罪嫌疑人,也给公众带来不安。

    科信民警要对付的是更狡猾、更高知的罪犯。“平均3分钟就有一种新病毒出现,一旦漏网,后果不可想象。”天津滨海新区公安局科技信息化支队科长杨连群说,公安部门要建立对未知威胁撒下“天罗地网”的纵深防御体系,不仅要在事前拦得住、防得快,如果被渗透进来,还要免扩散、早铲除。

    天下没有不透风的“防火墙”。在勒索病毒(“wannacry,想哭”)肆虐之时,滨海新区公安局科信部门就与勒索病毒打过漂亮的一次战役。“我们10点20分发现出现勒索网页的第一台中毒计算机,马上断网断电。它一旦‘发病’,就说明病毒已经潜伏一段时间了,且有所‘感染’。因此,更重要的是和它抢时间,发现从哪里来,还去了哪里。”杨连群说,由于滨海新区公安局2015年就引入大数据、虚拟化平台、安全管理平台、终端杀毒软件、边界接入等平台,能够监测实时数据,他们很快分析了所有的安全日志,“盘查”了所有进出数据,依托纵深防御体系,最终用了不到5小时在462台终端及服务器中迅速定位到其他15台“未发病”但已经被感染的机器,阻断传播途径做到及时查杀。

    “如果系统被勒索病毒劫持,将威胁26套业务线系统的安全运行,例如行政审批公章管理、出入境护照办理、户政部门户籍管理等业务可能会暂停办理,将给人民群众带来极大不便。”杨连群说,“不过我们还有后招——云备份系统,即便被病毒损伤,我们也可以瞬间删掉虚拟主机,秒回前一天的备份状态。”

    此役虽然告捷,但杨连群和他的网络安全运维团队还是希望“坏人一个也不能放过”。“勒索病毒爆发前其实有很多征兆,比如流量异常。为了让防御关口前移,我们加强了态势感知能力。”杨连群说。

    最令网安圈忐忑的,是“坏人”现在越来越容易扮成“平民”。“他们将木马载入正常网页里,一旦需要就让其扮演僵尸网站,不久前我们的系统在排查时就发现某企业官网被植入木马,我们便及时通知该企业整改。”杨连群说,春节临近很多企业的网络运维人员也将离岗,这个时候更应加强网络管理。

    除了公安内网、局内互联网,滨海新区公安局建立的纵深防御体系还监管着视频专网。杨连群及其安全团队是最早意识到视频专网需要纳入防御体系内的那部分人。“视频被侵入、劫持,经常发生在好莱坞电影中,之前视频专网由于是孤立网络,被认为是安全的,然而物理隔离并不意味着绝对安全。”杨连群说。

    事实也证明这一判断正确,后期视频专网内3个分局、51台终端及服务器后来也被勒索病毒感染,安全团队仅仅用3小时就迅速将系统恢复正常。

    “这个代码意味着攻击者针对IIS6漏洞发起攻击,然而被攻击网站使用的框架是IIS7.5,已进行过安全升级,所以是探测攻击,攻击无效。”在宋津旭眼里,外人看来不明就里的二十多个字母数字组合的串码,能解说出无尽内容。对于科信民警来说,“慧眼如炬”有了新的时代意义,靠代码辨识背后是“嗅探”“佯攻”还是“高流量攻击”。有他们在,“黑客帝国”想必将远离“春节档”和其他所有档期了。

京ICP备06005116