虽然棱镜门事件已经过去了近8年,但数据守卫战从未停止过,服务器数据窃取及其罪魁祸首“后门程序”仍在肆虐。关于棱镜之门棱镜计划(PRISM)是美国国家安全局自2007年开始实施的一项绝密电子监视计划。窃听各个国家和领域的机密数据。在棱镜门事件中,与公众关系最密切的是斯诺登向美国披露的服务器数据黑客事件。根据斯诺登提交的资料,从2007年到2013年的六年间,美国国家安全局和联邦调查局通过进入多家互联网巨头的服务器,监控公民的机密信息,影响了超过1亿人。尽管当事人断然否认,但棱镜门事件在全球范围内造成了巨大的影响,保护服务器数据安全也从企业和个人层面上升到了国家战略层面。隔离环境≠绝对安全棱镜门在身边很多IT管理员曾经认为,只要是物理隔离的环境,即使服务器感染了后门程序,数据也发不出去,就不会有威胁。然而,随着黑客手段的进步,物理隔离的环境不再安全:2021年10月,据知名安全媒体《安全牛》报道,本-古里安大学网络安全研究中心以色列内盖夫的一个新数据泄露机制被称为LANTENNA攻击,它使用以太网电缆作为“传输天线”从物理隔离的系统中窃取敏感数据。研究中心负责人MordechaiGuri博士进一步解释说,LANTENNA是一种新型电磁攻击,其工作原理是通过物理隔离计算机中的后门程序收集敏感数据,然后将其编码为以太网电缆发送的无线电波到附近的软件。定义无线电(SDR)接收器以无线方式拦截信号、解码数据,并将其发送给相邻房间的攻击者。除了电磁攻击之外,声、热、光、振动等各种侧信道攻击方式,以及提供给供应链的设备维护通道,都可能导致隔离环境中的数据泄露,因此隔离环境无再长一点绝对安全。数据泄露攻击链黑客一般利用漏洞上传后门程序。此外,在补丁或其他安装程序中加入后门也成为后门传播的常见方式。入侵服务器成功后,二进制后门(MSF、CobaltStrike、Mimikatz、Metasploit等)会执行并收集数据,然后通过外传、隐藏隧道等方式传输数据,隐蔽性更强。它的攻击原理是在内存中写入恶意后门和木马并执行,因为它是利用中间件进程来执行某些恶意代码,不会掉落任何文件。这是一种无文件攻击。反病毒引擎非常难发现,给检测带来很大难度。后门虽然隐蔽性高,不易发现,但做好反上传、反执行、早期检测、反外联四项工作,可以有效防止后门被利用,防止棱镜门的发生:①反上传:切断后门上传通道后门上传通道大部分是web流量,但攻击者一般使用加密的webshel??l来混淆流量,所以一般的waf设备更容易绕过。目前比较有效的保护方式是基于RASP技术的WEB中间件保护,RASP插件一般工作在ASP、PHP、Java等脚本语言解释器内部。通过HOOK功能,可以通过跟踪Web请求的上下文来识别可疑行为,并有针对性地进行响应,可以有效防止利用漏洞上传或创建后门程序。②反执行:免疫二进制后门基于奇安信交途云锁服务器安全管理系统(简称:云锁)的【应用白名单功能】,可以自动学习激活的应用列表,并集成威胁情报、病毒告警等信息,可快速识别可信应用白名单。启用白名单保护策略后,后门、勒索病毒、挖矿病毒等非白名单应用将无法运行,从而实现对二进制后门的免疫。③早发现:及时体检很多业务系统长期存在后门程序。如果不能阻止入侵,应及早发现和处理。千信交途服务器安全管理系统基于特征和行为双重检测引擎,可准确检测后门程序,还原后门攻击路径。④防外接:将危害降到最低在后门防控中,切断外接通道是关键。一方面防止数据泄露,另一方面防止被攻陷的服务器横向扩散,污染更多的服务器资产。除了后门,一些原本可以信任的小白应用也可能存在非法对外连接和数据传输行为。基于奇安信交途云锁服务器安全管理系统,自动识别进程对外连接详情,包括目标ip、ip归属、域名、端口,并可一键切断,有效防范非法外部连接,最大限度地减少丢失服务器的危害。数据安全无小事,《中华人民共和国数据安全法》也将于2021年9月1日正式实施。无论是国家政策层面还是实际业务层面,都应该做好服务器端的数据安全工作.其中一项重点工作是做好后门防控工作,防止服务器棱镜门再次发生。作者:李东,奇安信云与服务器安全BG交途事业部副总经理,服务器安全资深专家
