騰訊安全近期將復盤2022年典型的攻擊事件，幫助企業深入了解攻擊手法和應對措施，完善自身安全防御體系。

本篇是第三期，用一個實際案例講述了企業在面臨攻擊時，如何才能及時準確找到攻擊源頭，知曉“我被誰用什么漏洞攻擊了”，及時封堵漏洞，避免重大安全事故的發生。

“沒有，但是他們發來了一個采購訂單。”周工。

這是一個發生在今年4月初的安全應急響應故事。

時間一分一秒過去，入侵源遲遲沒有封堵住，攻擊者已經在進行內網橫移嘗試。安全負責人劉總工意識到了問題的嚴重性，如果不能及時溯源找到攻擊入口并及時收斂漏洞，最終的結果無外乎三種：被“脫褲”，被加密勒索，或者更可怕——潛伏起來什么也不做，等待重要的業務節點再發出致命一擊。

劉總工立即組織了安全運營團隊進行緊急排查，但仍沒有找到攻擊源頭，攻擊還在繼續，并且影響范圍是未知的“黑盒”，眼前一抹黑的情況更加劇了事態嚴重性。4小時后，主機安全服務的廠商（客戶使用的某老牌主機安全產品）負責應急響應的2位工程師也到了現場，他們和駐場的專家一起，加入了排查的隊伍。

在一個空曠的被辟為“臨時作戰室”的會議室里，2位工程師打開電腦登陸了主機安全運營后臺，根據攻擊者留下的蛛絲馬跡，順藤摸瓜排查可疑的機器。他們在寫腳本，十幾個客戶IT和業務部門的人時不時地踱到他們身后看看。

“所有機器一臺臺上去看，從哪臺打過來的，然后順著這個IP走到另外一臺機器，然后繼續看、繼續分析，看他從哪進來的，留下什么日志、做了些什么行為。但是有時候那些機器上面并沒有那么完善的日志、記錄，只能憑少數一些異常登錄或者行為來定位它是怎么進來的，整個過程就會很復雜。”一位經驗豐富的安全專家分析道。

（常見APT入侵路徑，由于入侵者會刪除日志，隱藏攻擊路徑，造成安全溯源往往會費時費力)

他詢問了幾個基礎問題，心中有了大概，立馬電話搖人，找到兩位熟諳此類問題解決之道的專家周工和吳工進群。時間緊急，也沒有寒暄，直接發了一個線上會議鏈接。20分鐘后，他們已經了解了客戶目前的IT環境和受攻擊情況。

吳工和周工沒有開口講述之前，小編的腦海里出現的畫面是一隊人火急火燎趕高鐵、飛機奔赴客戶現場，一頭扎進機房，甚至晚上在機房外面扎個行軍床。今年疫情反復，到處都是異地來訪隔離5+3天，他們能順利趕到一線嗎？

“客戶是在哪個城市？是在北京嗎？”小編。

“也許？不知道?！敝芄?。

“你們都沒有去客戶現場嗎？”小編。

“不需要啊，我們是云原生的漏洞分析引擎，只需要客戶把基礎信息提供給我們，我們就能分析出來?！敝芄ぁ?/p>

預想中的這一切兵荒馬亂都沒有發生，從接到需求到找到攻擊源，周工他們總共花費了不到1小時。這得益于一個叫WeDetect的自動化漏洞分析引擎，它一方面掌握了云上幾乎所有公開已知的漏洞，客戶如果存在這些已知漏洞，能很快被找出來；而對于那些未披露的0day漏洞，WeDetect則從其攻擊行為上能判斷出異常，并發出預警。

“一個算力遠勝于人腦、7*24小時不眠不休的機器，查找起漏洞自然快很多?！眳枪ふf。

數據排查完畢后，吳工把排查結果以及WeDetect如何發現這個攻擊源的數據反饋給了客戶，客戶眼前一亮，當即下了一個對于SaaS服務來說數額很可觀的訂單。而對于該企業來說，這也許是他們采購流程里最快的項目之一，但肯定也是說服力最毋庸置疑的項目之一。

另外一次是某個關基企業被勒索，他們被叫到現場時，很多老牌安全廠商的專家團隊都已經在待命了，場面堪稱中國網絡安全的“夢之隊”。夢之隊花費了數個小時終于還原了攻擊路徑，但對于已經加密的數據是無計可施的，所幸他們從一臺機器上找到一個多月前的備份數據進行了手動恢復。

從Solarwinds事件以來，這兩年密集地涌現了Log4j、Springboots、node-ipc包供應鏈投毒等各種現象級的安全事件，在官方發布漏洞公告到國內外安全廠商推出響應措施之前，中間有一段“真空時間”是黑產作案的黃金時期，但卻是企業的噩夢期，很多客戶不知道機器為什么被攻陷、攻擊者打到了哪里，騰訊安全的專家服務團隊一次又一次次接到客戶的應急訴求。

在這樣的事情重復發生多次，以及2020年以來疫情防控導致出差的不便利之后，周工、吳工團隊開始琢磨：如何才能擺脫被動應急的局面，提升威脅的主動發現能力？

要解決這個問題，騰訊安全有幾個天然的便利：依托騰訊云和豐富的云原生產品，聯合云上各安全產品日志、主機異常行為數據、攻擊流量數據，騰訊能更全面地掌握云上的最新攻擊態勢；其次，騰訊擁有豐富的實戰攻防經驗，無論是內部例行的攻防演練，還是各類重保項目中歷練出來的藍軍攻擊手法，能夠實現知己知彼。“自己就是攻擊隊，我平時攻擊會怎么打，就把這些經驗轉換成對應的模型落地到引擎里面去。”

前后歷時半年，WeDetect 逐漸成形。騰訊 WeDetect 云上威脅狩獵引擎，是騰訊安全基于云原生的自動化漏洞攻擊事件檢測、關聯、響應引擎。結合入侵事件中產生的多維度數據，實時自動化對攻擊事件的關聯、分析、定性。目前 WeDetect 已捕獲到造成云上機器失陷的數百個已公開漏洞，以及數十個未公開漏洞的利用。wedetect能力已經賦能到云鏡攻擊檢測模塊，在實錘漏洞入侵的同時，也展示給客戶嘗試入侵的攻擊，彌補了東西向流量入侵檢測的能力。

“這個感知是很強烈的，就好像經歷過高考的每個人都知道670分是什么價值，夠上個985還是211?？蛻舳鄶祵τ诼┒磁挪橛星猩斫涷灒诮洑v了那么長時間手工時代，他們看到我們不用去現場也能很快地通過自動化地分析出問題所在，對他們的觸動是很大的。這也直接促成了我們一些商機轉化?！眳枪ふf道。

就在我們發稿時，WeDetect這個不眠不休的千里眼和順風耳，也正在持續偵查著云上的漏洞利用情況“風聲”。