如果把所有的云安全企業(yè)比作班級里的童鞋，那么阿里云算得上是學(xué)習(xí)委員。當(dāng)然，就如同每個人都遇到過的那個學(xué)習(xí)委員一樣，Ta 往往不一定是學(xué)習(xí)成績頂好那個，但是卻得為大家樹立一個“拼命三郎”般正面的榜樣。

號稱全國超過30%的網(wǎng)站部署在阿里云上，這個數(shù)據(jù)讓阿里云張目而臥，不敢有半點閃失。

在云棲大會上，來自阿里巴巴的技術(shù)大牛們也分享了他們和黑客做斗爭的經(jīng)驗。

【被掛了賭場廣告的體育總局網(wǎng)站】

快槍手黑客——從開始到結(jié)束只需一小時

一小時，足夠你做完很多想做的事。但是對一次攻擊來說，能夠在一小時之內(nèi)取得服務(wù)器權(quán)限，這樣的黑客無疑算是快槍手。但是，阿里云公布了一個奇異的數(shù)據(jù)：

在阿里云盾攔截的8萬次定向攻擊中，黑客入侵的成功率是12.19%，而在這些成功的進攻中，有一半從開始到得手不到一個小時。

要知道，從技術(shù)上來講，攻擊一個網(wǎng)站所需要的尋找漏洞、找到注入點、發(fā)起進攻嘗試到最終攻破防守，這一系列進攻需要很多次試錯。傳統(tǒng)上來說，整個過程持續(xù)一周到數(shù)周都是正常的。為什么現(xiàn)在的進攻會如此迅雷不及掩耳呢？

阿里云安全專家葉敏告訴雷鋒網(wǎng)：

這件事情其實并不難理解。因為探測到的攻擊，其中96.25%是靠掃描器發(fā)起的。得益于成熟的滲透工具，現(xiàn)在的黑客只需要點一點鼠標(biāo)，所有的攻擊就全部自動化完成了。

在阿里云攻防團隊攻破的一個黑產(chǎn)組織中，安全研究員看到了黑客掌握著超過300G的賬號和密碼。而且在這個產(chǎn)業(yè)鏈上，有人專門收集信息，有人申請攻擊代理服務(wù)器，有人專門編寫攻擊工具，最終把受害人賬號里的虛擬資金轉(zhuǎn)走。這件事情，已經(jīng)遠遠不是黑客們的小把戲，而是已經(jīng)成為一個堅如磐石的完整產(chǎn)業(yè)鏈。

【黑客入侵用時統(tǒng)計，半數(shù)不到一小時】

既然黑客們使用了“自動步槍”，所以為了保護云上的用戶，安全人員同樣要使用自動化武器。例如，在一些高級對抗中，安全研究員會研發(fā)自動化追蹤黑客的工具，可以通過類似的反制手法定位到黑客通過什么路徑一步步進入到我方營地，而且還會在黑客的操作過程中，自動對黑客的行為進行取證。

挨揍——成為武術(shù)家的秘籍

從安全上來講，阿里云擁有一個得天獨厚的條件，那就是手上擁有極大量的用戶大數(shù)據(jù)。通俗地來講，這條船上保護的乘客千姿百態(tài)，所以安全人員有幸可以見到千奇百怪的進攻。由于平臺之上的網(wǎng)站價值巨大，阿里云的命就是被各種黑客“刀砍斧剁”。

然而，鑒于大多數(shù)網(wǎng)站的安全意識差得令人發(fā)指，黑客們不僅懶到了天天用工具掃描的地步，甚至有一批黑客專門掃描其他黑客已經(jīng)做好的“后門”，這種行為大概就是我們俗稱的“截胡”吧。

在“黑產(chǎn)界”最為普遍的web應(yīng)用攻擊中，黑客在成功進入服務(wù)器之后，都會放置一類名為“webshell”的后門，而在全年80億次web攻擊中，探測“別人家后門”的攻擊竟然達到了16.88%。這無異于兩個流氓在別人的家里火并，簡直是讓安全研究員吐槽無力。

【16.88%的Web應(yīng)用攻擊為“Webshell探測”】

許多安全公司都有一種“收集癖”，那就是收集世界上的惡意IP。例如安全特種兵知道創(chuàng)宇，號稱掌握全球數(shù)千萬的惡意IP地址庫，而擁有電腦管家和安全衛(wèi)士的騰訊和360，也都依靠自己強大的終端把控能力，掌握著大量的惡意IP，而阿里巴巴依靠阿里云和黑客們的無數(shù)斗爭，積累了一批寶貴的高精準(zhǔn)度的惡意IP。阿里云盾負責(zé)人吳翰清（道哥）透露，這個黑名單大概有百萬數(shù)量級。

通過對這些惡意IP進行分析，發(fā)現(xiàn)他們主要來自于東部沿海城市。不過道哥解釋說：

之所以大量惡意攻擊IP來自中國沿海，并不是說這里的黑客多，而是因為這里往往有大的IDC機房，黑客們通過租用或盜用IDC機房資源，進行24小時持續(xù)攻擊。

正是因為如此，每天被黑客“捅刀”成為了阿里云盾的使命。不過，阿里的童鞋表示，就算沒有來自阿里云的客戶，自家的淘寶系產(chǎn)品和其他業(yè)務(wù)也都是需要極高的防護等級的。因為虎視眈眈想要黑掉淘寶的黑客大有人在。對于阿里云盾來說，捕獲諸多的攻擊，有一個天大的好處，那就是每周都可以捕獲2-3個“0 Day”漏洞，并且可以在廠商推出補丁之前先行做好防護。也算是對阿里云“挨刀”的獎賞吧。

加密——最后一根稻草

為了打退黑客一波又一波的進攻浪潮，阿里云顯然已經(jīng)玩了命。然而，做好安全防護就可以防止企業(yè)核心資料被竊嗎？答案是：“門也沒有。”

得到一個企業(yè)的核心數(shù)據(jù)，有八萬六千法門。使用黑客手段入侵，是最為“直線思維”的一種。

阿里巴巴專家蘇建東告訴雷鋒網(wǎng)，

想要達到（竊取資料）這個目的，并非一定要通過黑客入侵。還可以通過內(nèi)部工作人員或者外包人員的違規(guī)操作得到，甚至可以在網(wǎng)絡(luò)傳輸?shù)闹虚g節(jié)點進行竊聽。

例如，黑客通過社會工程學(xué)手段破譯員工的工作密碼，或者干脆買通企業(yè)員工，甚至采用暴力破解的手段“猜”出員工的密碼。就可以通過完全“合法”的途徑進入公司內(nèi)部。

事實上，由于員工采用弱密碼而造成的企業(yè)數(shù)據(jù)泄漏，占到這種情況的一半還多。這個比例是令人發(fā)指的。企業(yè)辛辛苦苦構(gòu)建了無數(shù)條安全防線，只是因為一個員工的密碼是“123456”，所有的努力都功虧一簣，付之東流。

總之，再少的企業(yè)數(shù)據(jù)也是紛繁復(fù)雜的，可以接觸到核心數(shù)據(jù)的途徑很多，每一個途徑都是一條炸彈引信。保存一個帶有眾多引信的炸彈，自然難度非凡。于是一個簡單的辦法就是：把核心數(shù)據(jù)加密，然后小心保管這個密碼。

最近經(jīng)常傳出新聞，例如某易被拖庫等等。蘇建東說，

很多網(wǎng)站的用戶數(shù)據(jù)可以輕易被黑客盜取，不僅僅因為安全防護存在紕漏，也因為他們的用戶信息采用了明文存儲方式。而如果把重要信息加密，就算被拖庫，也沒有辦法破解真實的用戶數(shù)據(jù)。

國家保密局等機構(gòu)在數(shù)據(jù)保密方面有相當(dāng)規(guī)范的標(biāo)準(zhǔn)，通過采用這些標(biāo)準(zhǔn)，可以把對數(shù)據(jù)的保護簡化為對密鑰的保護，這就極大程度降低了數(shù)據(jù)泄漏的風(fēng)險。同樣在數(shù)據(jù)傳輸?shù)倪^程中，盡可能使用Https加密協(xié)議，也可以防止數(shù)據(jù)在傳輸過程中被竊聽。阿里云相信，這種方式可以使得數(shù)據(jù)的安全性空前提高。

兩年前，有關(guān)云服務(wù)的討論是“可行或不可行”，但隨著政府機構(gòu)和老牌國企都已經(jīng)在向云上遷移。討論的重點已經(jīng)轉(zhuǎn)到“如何更好地在云上玩?！绷?。既然要玩耍，就要注意安全。和黑客“拼命”，云服務(wù)廠商仍然任重道遠。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。