新形势下数据中心的安全运维
摘要:数据中心作为承载关键信息系统数据采集、汇聚、传输、存储、处理、开发及应用的关键基础设施,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益。近年来,针对党政机关、重要行业、科研机构关键信息基础设施的恶意的攻击已向各个方面延伸,攻击者屡次瞄准攻击目标进行渗透和拓展攻击,在重大活动和敏感时期尤为活跃,甚至不费吹灰之力就拿到关键基础设施的控制权。与此同时,预算的限制及人员安全意识的不足又给企事业单位安全运维工作带来更大的压力。本文介绍了当前新形势下数据中心安全运维的要求,列举了数据中心安全面临的问题与挑战,并对常见的攻击手段和趋势进行了分析,最后提出相应建议,希望能够对当前数据中心的安全运维工作有所帮助。
关键词:数据中心;安全运维;基础设施;网络安全;数据安全
一、引言
2023年3月5日,第十四届全国人民代表大会第一次会议在北京人民大会堂隆重召开,发布《2023年政府工作报告》(以下简称《报告》)。《报告》提出“促进数字经济和实体经济深度融合”“大力发展数字经济”“加强网络、数据安全和个人信息保护”。数据安全和个人信息保护连续三年被写入政府工作报告。国家标准《关键信息基础设施安全保护要求》GB/T39204-2022也于2023年5月1日正式实施,对关键信息基础设施的安全保护工作提出了要求。
数据中心作为承载关键信息系统数据采集、汇聚、传输、存储、处理、开发及应用的关键基础设施,一旦遭到破坏、丧失功能或者数据泄露,就可能严重危害国家安全、国计民生和公共利益。因此,保护构成我们关键基础设施的系统和资产对我们的国家安全、行业安全、公共安全都至关重要。
二、新形势下数据中心安全运维的要求
随着技术的更新及设备的迭代,在日益复杂的国际关系与斗争的背景下,数据中心作为我们国家关键信息基础设施,已经成为攻击者攻击的目标。近年来,随着各行业数字化转型及大量智慧平台的建设上线,政府机构、能源、交通、金融、科研机构的关键业务系统、内部网络、门户网站,甚至LED显示屏都检测到了来自境内外的大量攻击。威胁不仅仅存在于网络攻击、漏洞利用、数据窃取、数据中心的监控摄像头、物联网设备,甚至连维持数据中心正常运转的电力和能源都有可能遭受攻击造成失效。当前远程运维、协同运维的模式使大量的资产(摄像头、路由器、数据库等)与服务暴露在互联网上,同时,又有大量用户使用的数据库版本长期未更新,这些资产及服务的大量暴露及其脆弱性又给我们的安全运维工作提出了新的要求。
三、数据中心安全面临的问题与挑战
在传统的数据中心运维工作中,运维人员工作的重点在于保障基础设施如供配电、空调新风、消防等系统的正常运行,保障设备及软件的维护与修复,进行数据的容灾与备份。但在当前,数据中心除了常规的运行维护工作之外,还需要防范恶意的漏洞利用、对基础设施的破坏、对网络的攻击及数据的窃取。
1.软硬件漏洞
我们正在使用的网络设备、终端操作系统、办公软件、服务器软件、开源组件、浏览器等都可能存在不被披露的高威胁漏洞,其中不乏我们熟悉并经常使用的免费远程控制软件及协同办公软件。如今漏洞的数量增长迅速,漏洞利用愈加隐蔽,此类寄生在目标设备中的高危漏洞不易被运维人员发现,极易被攻击者获取关键信息系统的控制权实施长期的信息窃取,在漏洞被披露前给了不法分子充足的时间,因此危害更加严重,影响更加持久。
2.关键基础设施的失效
影响数据中心正常运行关键因素有数据中心所在的建筑、供配电和冷却系统、消防、安防、电信运营商、访问及进入控制、IT设备等,这些因素相互制约并且互相联系,是基础设施正常运行的必要条件,管理链条长,脆弱点多,除了自然灾害、设备故障、人为失误等已知的导致关键基础设施失效的原因之外,我们应该要重视有针对性的破坏造成的数据中心失效的恶意行为,并想方设法提高关键基础设施的可用性和快速恢复能力。
3.网络安全
近年来针对关键信息基础设施的网络攻击数量不断攀升,主要攻击类型包括各种黑市工具、代理工具、配置不当/错误、SQL注入、信息泄露、弱口令、目录遍历、命令执行和其他攻击利用,攻击主要以获取服务器权限、获取敏感数据为目的。攻击者的攻击技术与网络武器的不断更新,再加上有针对性的伪装与隐藏,使得网络安全威胁愈加多变,一般的网络安全运维工作力不从心。
4.数据安全
政府、事业单位、国有企业数据中心运行的业务及存储的数据包含国家及地区的能源、交通、水利、金融、公共服务、电子政务等重要行业及领域,对国计民生举足轻重,易成为攻击的目标。与此同时,个人信息数据泄露、商业机密数据泄露、数据破坏在近年来层出不穷,我国境内的数据在海外被非法交易的数据量惊人。除了攻击行为,信息系统防护措施不到位、权限管理混乱、数据越权访问或数据安全策略设置不当等,都会对数据安全造成威胁,尤其是如今攻击者变得越来越老练,熟悉国有政企部门的管理痛点,也越来越了解此类数据的市场价值,使得运维工作愈加复杂多变。
5.新技术的应用
当前运维机器人已经开始应用于数据中心的常规运维巡检工作中,并且开始替代人工承担更多的工作,但使用新技术的同时我们必须梳理其可能存在的风险并进行逐一确认,如机器人控制系统是否存在可能导致实施非法控制的漏洞、传感器是否存在被干扰的风险、API接口是否可能实现对机器人的劫持或敏感数据窃取、通信信号传输是否安全不被篡改、摄像头是否可能被劫持导致信息泄露等等。
6.人力资源
面对当前不断增加的网络威胁,要求我们的运维人员需要提高预判并有能力应对广泛的、大规模的、有针对性的网络威胁的能力,但是在当前的数据中心运维团队中,由于缺乏重视、预算限制等原因导致的网络安全、数据安全、管理安全人员配备不足、人员及技能不足、安全管理缺乏前瞻性及管理体系,跨团队沟通困难等问题,又使数据中心尤其是国有企事业单位的数据中心肩负着更大的安全压力。
四、常见的攻击手段分析
1.鱼叉攻击
钓鱼攻击是目前APT组织使用最多的攻击手段,与之相比,鱼叉攻击则专门瞄准政企、科研、军工等单位,攻击实施计划根据目标单位量身定制,有极强的针对性。攻击实施方式为先收集目标单位信息,包括目标人员行为习惯、弱点、喜好,目标单位近期工作重点等;其次有针对性的制作诱饵邮件,邮件伪装成党政机关、企事业单位当前工作要点,上级部门工作要求或攻击目标的业务工作为主题,甚至选择恰当的时间进行邮件投递,引诱目标点击钓鱼网站,实现窃取目标用户账号密码或操作系统控制权。
钓鱼网站可由让被攻击目标访问的静态钓鱼网站和记录登录信息的PHP文件组成,伪造的域名中包含真实域名中的部分字段使其更具有迷惑性,钓鱼网站常见的展现形式有直接伪造目标系统的登录页面;也有在网页设置计时器,等待几秒后跳转至伪造登录页面;还有利用目标用户感兴趣的诱饵文件,点击后弹出登录框,让目标用户误以为登录后才能阅读或下载,钓鱼网站将收集到的目标账号和密码发送至预先设定的境外网站托管平台。
攻击者不直接与钓鱼网站进行通信,为目标架设的钓鱼网站利用完毕后即废弃,C&C服务器一般位于全球多个国家和地区,用于隐藏其真实IP地址。使用该攻击方式可以窃取网络设备、运维系统或其他关键信息系统基础设施登录权限。
2.漏洞利用
2022年,常用的致远协同管理系统、锐捷网络设备、用友NC等设备都有漏洞被披露并存在失陷记录。漏洞利用的攻击方式为攻击者使用自己掌握但未被厂商修复的系统漏洞(0day漏洞)或漏洞补丁已发布,但维护人员尚未修复的补丁(nday漏洞)进入目标单位的内网,利用正常程序如winword.exe等加载恶意的动态链接库 (DLL),降低被检测出的概率,实现攻击持久化,再使用Inveigh等工具,以被攻陷的机器为跳板,访问其他主机,最后使用远程控制木马实现对目标主机的控制。
3.多武器组合攻击
2022年6月,西北工业大学遭到境外网络攻击,攻击活动源自美国国家安全局“特定入侵行动办公室”(TAO)。 TAO在对西北工业大学的攻击中,使用了41种网络攻击武器,并根据目标的环境对武器进行灵活配置,根据需求组合使用,同时还会配备对武器进行隐藏和痕迹清理的辅助工具。调查也发现,在近年里,美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备(网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等),窃取了超过140GB的高价值数据[1]。
五、当前攻击行为的趋势与变化
1.新的攻击技术层出不穷
随着防护的升级,新的攻击技术也不断与时俱进,推陈出新。例如使用微软powerpoint文件的鼠标移动来触发恶意代码,诱饵为一个PPT文件,首页上有两张图片,当鼠标停于图片上时,将启动恶意Powershell脚本触发器,执行攻击程序。这种攻击方式在宏、URL Scheml等被限制后,通过鼠标移动来触发,使用SyncAppvPublishingServer.vbs调用Powershell来实现载荷执行。另外,使用ARA、ISO等压缩文件来规避WEB标记使恶意宏攻击继续可用的方式也有所增加。
2.漏洞利用屡试不爽
除了0day漏洞,不少nday漏洞在其公布了一年后仍然具有强大的生命力。向日葵等远程控制软件当前应用十分广泛,运维人员经常使用它管理服务器主机。在2022年2月已公布的向日葵RCE/LPE漏洞,可使攻击者执行远程代码,可能导致主机控制权被获取。此漏洞如今通过版本更新已被修复,但在生产环境中仍然有不少主机正在使用尚未修复的版本,该漏洞被发现及利用的成本很低,已成为攻击者实施攻击的突破口。
3.攻击手法愈加多样化
为了规避防御实现免杀,攻击手段也根据目标的特点呈现多样化。例如攻击者会使用合法的安装程序进行修改,使其执行恶意代码,完成后恢复原程序代码,应用场景为首先选定目标IP,选择特定目标用户(如喜好观看网页视频)以便减少暴露风险,其次在视频网站注入恶意脚本,提示视频无法观看,需要加载播放器,播放器程序进行了恶意修改,目标操作后,恶意载荷将通过合法的安装程序或chrome拓展等方式安装;又如利用EXCEL的默认密码VELVETSWEATSHOP对文件进行加密,使杀毒软件检测不出,诱导目标解压还原后执行宏代码,从宏代码中下载vbc.exe文件(remcos木马),释放恶意dll文件,随后vbc.exe完成自身复制并重命名,原vbc.exe自行删除实现持久化。
4.更注重隐藏攻击行为与痕迹
攻击者已开始不断开发使用新技术来追求对整个攻击过程的隐藏,如利用合法的漏洞补丁进行恶意修改、使用多种用户层技术隐藏自身存在的后门工具、隐藏其通信信息及网络流量等,连钓鱼网站架设的基础设施都经过细致的打磨,缩小能访问的IP范围。
六、对策及建议
当前针对关键基础设施的攻击具有高级性、持续性和针对性的特点,高级性体现在当前网络武器及攻击技术的不断更新迭代,以及0day漏洞的不可防御;持续性体现在攻击者对于高价值目标的攻击,往往经过长期的精心准备,并注意隐藏痕迹,逐步潜伏和渗透;针对性体现在对于选定的目标,会根据目标所属环境和特点、运维人员弱点,实施精心设计的复杂攻击,同时注意对使用文件的深度隐藏及规避运维人员的手动检查。因此,数据中心的安全运维应从以下三个方面入手。
1.加强安全运维力量建设
目前数据中心安全运维的痛点在于没有专职人员以及现有人员技能不足,无法抵御及发现攻击行为。在当前的复杂形势下,又对安全运维人员的安全素养、战略及前瞻思维和技术能力提出了更高的要求。安全运维领域涉及的技能涵盖安全态势分析、流量监测、代码分析、安全审计、风险评估、渗透测试、应急响应、追踪溯源等方面,因此可以考虑扩大及优化安全运维力量结构,对于有经验的安全运维及管理人员,可以与合作单位共建共享;同时与高校、企业合作,建立后备运维团队及专家支持团队。
2.及时发现威胁
在针对西北工业大学的网络攻击中,技术团队累计发现攻击者在西北工业大学内部渗透的攻击链路多达1100余条、操作的指令序列90余个,从被入侵的网络设备中定位了多份遭窃取的网络设备配置文件、遭嗅探的网络通信数据及口令等[1]。这说明攻击行为已经隐藏并潜伏了相当长的时间,安全运维人员如何能够及时发现威胁并处置是问题的关键。
攻击者选定目标后开展攻击的步骤一般为侦查、初步访问、免杀达到持久化、实施控制、横向移动、最高权限获取、窃取目标达成。在侦查阶段已经开始尝试入侵,通过收集到的目标安全状况、薄弱环节等部署策略及武器;初步访问阶段的目标就在于结合目标弱点,使用攻击武器打开突破口,实现对跳板设备的控制。因此,运维人员防御的重点在于防止攻击者的初步访问,阻止其实施下一步攻击。
3.建立并执行安全运维制度体系
建立安全运维常态化机制,需要转变当前运维人员应对安全事件时的“救火员”的角色,不能够满足于目前的对于安全事件的快速响应、信息泄露后的事后补救或追踪溯源,应该在安全事件发生之前,在损失尚未形成之时就阻断威胁。
有效地安全运维应该针对防护的目标,建立运维制度与体系,做到定期进行资产排查、漏洞评估,开展主动地精准监测,对于暴露的IT设备和端口及应用进行梳理分析,实时监测异常流量和未知程序,配置系统禁止未授权程序运行,实现主动及时发现和处置安全事件。
七、结语
数据中心的运维工作非常碎片化,属于“看不见”的工作,而数据中心安全运维工作的要求更高,需要运维人员在威胁及损失发生之前就提前介入处置。安全运维必须要在各个地方进行防御,但是攻击者只需要成功一次,甚至只需要拖延运维人员发现及响应的时间,即可达成信息窃取的目标。因此,在当前复杂多变的新形势下,我们必须要看到风险的存在,认识到数据中心安全运维工作的重要性,配齐人员,建立机制,开展主动监测与防御。
参考文献
[1]西北工业大学遭美国NSA网络攻击事件调查报告(之一)https://www.cverc.org.cn/head/zhaiyao/news20220905-NPU.htm
[2]西北工业大学遭美国NSA网络攻击事件调查报告(之二)https://www.cverc.org.cn/head/zhaiyao/news20220927-NPU2.htm
[3] GB/T39204-2022信息安全技术:关键信息基础设施安全保护要求
作者简介:
陈虹坚,现任广西壮族自治区体育彩票管理中心技术部部长,工学学士,管理学硕士,计算机技术与软件专业技术资格高级,从事数据中心运维、系统集成、技术实施、项目管理等工作。