从来没有什么岁月静好 | 他们是服务器背后的隐形守护者

XCon组委会活动专区 2019-07-05 18:07:38

253595

导语：从来没有什么岁月静好，只是有人在负重前行。

随着移动互联网的兴起，以及高速网络的发展，人们越来越习惯接受“互联网改变生活”这种说法了。我们可以通过手机呼叫网约车，可以通过电脑访问房屋中介的网站，甚至可以通过智能手表确认自己刚刚这周的运动总量是否超过了上周。在这背后，是由众多的应用与其对应的一列列的服务器支撑的。

这些就是在清爽醒目的应用背后的“擎天柱”，是不是有些酷呢。

作为支撑各种应用的服务器，每天处理的信息都是按百万计算的，甚至是按亿算。由于是每天处理这么多的信息，难免会遇到一些不按规矩请求的。如果仅仅是普通的错误请求，服务器都会正常的返回错误信息，这也还好说；如果这错误请求中隐藏了一个无人知晓的漏洞，而服务器在处理这个请求中将一些重要信息给了心怀不轨的请求方，那可就糟糕了。

这个无人知晓的漏洞就是0-day漏洞，通常指代的是还没有补丁的漏洞，而使用这种漏洞进行攻击的就是0-day攻击，也有人说这是零时差攻击。正因为在攻击进行的时候没有对应的补救办法，才使得0-day攻击对网络安全有着巨大的威胁，受害者在遇到后只能“站着挨打”。

当然，有攻，就有防。在安全研究领域，有那么一批人，他们每天就是在研究各种软硬件之中还尚未被发现的0-day漏洞，他们希望自己可以比那些黑客更快一些，提前找到漏洞的点，并让这个漏洞在被黑客发现之前就被修复。但是，找漏洞是个需要“取巧”的事情，是有一些方式和方法的，方法得当，漏洞就手到擒来了。

在现在的网络上，黑客一直是“攻击者”的身份，他们打的是“侵略战”和“游击战”，用“人海战术”挑战防御体系；而作为网络服务的提供方，服务器所有者则面对的是“防御战”，人力物力都相对有限，处于相对被动的位置。由于黑客处于主动的有利地位，他们可以“出其不意，攻其不备”，常常令人措手不及。其他行业有句话叫“你防我一世，我趁你一时”，老话讲的“明枪易躲，暗箭难防”，就是这个意思。

从战术上，难免处于被动状态。想要改变这种状况，关键就是要“化被动为主动”，主动投放人力物力监控0-day漏洞，让黑客也暴露在光天化日之下，扭转被动局势，保护服务器安全。

从来没有什么岁月静好，只是有人在负重前行。作为国内领先的云服务器提供商，阿里云现在拥有的服务器数量也是非常的庞大，却很少能听到他们会因为各种0-day漏洞造成云上资产的损失，这就是因为在阿里云，有着很多“负重前行”的安全研究人员，为这么多的服务器保驾护航。本届XCon上，来自阿里云的安全研究人员郑瀚和徐悦将在XCon分享阿里云在公有云0-day监控过程中的经验，希望可以通过这次分享，减少未知的0-day对公网业务的损害。

议题：公有云WEB应用0-day监控实践

Hunting zero-days for millions of websites on Alibaba Cloud

议题简介：

WEB应用漏洞一直是公有云安全的首要威胁。每年有大量的WEB框架、服务或中间件被爆出漏洞，包括我们熟知的Java反序列化、Struts/Drupal/WordPress等知名框架和CMS的命令执行漏洞。2019年二月和四月，Jenkins和WebLogic两个知名WEB中间件再次爆出高危RCE 0-day，其利用方法迅速被僵尸网络集成，为暴露在公网的相关服务带来严重损害。在这两次事件中，阿里云分别早于僵尸网络20天和10天捕获0-day的利用方式并对其拦截，有效保护云上客户资产。

本议题讲述了我们利用数据分析的方法自动化挖掘0-day攻击向量的过程。首先从公有云的宏观威胁态势角度阐述WEB 0-day监控的重要性，之后我们将结合方法论与算法详细阐述0-day监控方案和加密攻击向量的识别方案，最终通过两次高危0-day监控的真实案例验证效果。

演讲者：