盡管棱鏡門事件已經(jīng)過去了近8年，但數(shù)據(jù)守衛(wèi)的戰(zhàn)爭(zhēng)從未停止，服務(wù)器數(shù)據(jù)竊取及其罪魁禍?zhǔn)住昂箝T程序”仍在肆虐。

　　關(guān)于棱鏡門

　　棱鏡計(jì)劃（PRISM）是由美國(guó)國(guó)家安全局自2007年起開始實(shí)施的絕密電子監(jiān)聽計(jì)劃，2013年6月，這一計(jì)劃被前中情局（CIA）職員愛德華·斯諾登曝光，涉及多個(gè)國(guó)家、多個(gè)領(lǐng)域的機(jī)密數(shù)據(jù)竊聽。

　　在棱鏡門事件中，跟大眾息息相關(guān)的是，斯諾登向美國(guó)《華盛頓郵報(bào)》披露的服務(wù)器數(shù)據(jù)竊聽事件，根據(jù)斯諾登提交的資料，2007年-2013年6年間，美國(guó)國(guó)家安全局和聯(lián)邦調(diào)查局通過進(jìn)入多家網(wǎng)絡(luò)巨頭的服務(wù)器，監(jiān)控公民的秘密資料，影響人數(shù)過億。

　　盡管涉事方都矢口否認(rèn)，但棱鏡門事件在全球范圍引起巨大影響，對(duì)服務(wù)器數(shù)據(jù)安全的保護(hù)也從企業(yè)和個(gè)人層面，提升到國(guó)家級(jí)戰(zhàn)略高度。

　　沒有絕對(duì)的安全，棱鏡門一直在身邊

　　曾經(jīng)一度有人認(rèn)為，只要對(duì)服務(wù)器進(jìn)行物理隔離，就能避免數(shù)據(jù)泄露。其實(shí)不然，隨著黑客攻擊手段的進(jìn)步，物理隔離環(huán)境已不再安全。電磁、聲音、熱感、光學(xué)和震動(dòng)等多種邊信道攻擊方法，以及供應(yīng)鏈攻擊等，都有可能導(dǎo)致隔離環(huán)境的數(shù)據(jù)泄漏。

　　黑客一般利用漏洞上傳后門程序，或者在補(bǔ)丁及其他安裝程序中夾帶后門，在成功入侵服務(wù)器后，二進(jìn)制類后門（MSF、CobaltStrike、Mimikatz、Metasploit等）會(huì)執(zhí)行并收集數(shù)據(jù)，再通過外帶傳輸、隱秘隧道等方式外傳數(shù)據(jù)。

　　近期備受攻擊者追捧的內(nèi)存馬webshell，執(zhí)行方式更為隱蔽，其攻擊原理是在內(nèi)存中寫入惡意后門和木馬程序并執(zhí)行。因?yàn)槠淅弥虚g件的進(jìn)程執(zhí)行某些惡意代碼，不會(huì)有文件落地，屬于無文件攻擊的一種，反病毒引擎很難發(fā)現(xiàn)，給企業(yè)安全檢測(cè)帶來更大挑戰(zhàn)。

　　杜絕棱鏡門“四部曲”

　　后門雖然隱蔽性強(qiáng)、難以發(fā)現(xiàn)，但是做好防上傳、防執(zhí)行、早發(fā)現(xiàn)、防外連4項(xiàng)工作，就能有效防御后門利用，杜絕棱鏡門發(fā)生。

　　①防上傳：切斷后門上傳途徑

　　后門上傳的大部分途徑是Web流量，但攻擊者一般會(huì)利用加密Webshell等方式做流量混淆，因此一般的WAF類設(shè)備很容易被繞過。目前比較有效的方式是基于RASP技術(shù)保護(hù)Web中間件，RASP插件一般作用于ASP、PHP、Java等腳本語言解釋器內(nèi)部，通過HOOK函數(shù)的方式，跟蹤Web請(qǐng)求上下文，識(shí)別可疑行為，進(jìn)行針對(duì)性的響應(yīng)處置，能有效阻止利用漏洞上傳或創(chuàng)建后門程序。

　　②防執(zhí)行：免疫二進(jìn)制后門

　　啟用白名單防護(hù)策略，自動(dòng)學(xué)習(xí)已啟動(dòng)應(yīng)用清單，并綜合威脅情報(bào)、病毒告警等信息，快速識(shí)別出可信應(yīng)用白名單，非白名單應(yīng)用，如后門程序、勒索病毒、挖礦病毒以及其他未知應(yīng)用程序等將無法運(yùn)行，最終實(shí)現(xiàn)對(duì)二進(jìn)制后門免疫。

③早發(fā)現(xiàn)：及時(shí)體檢

　　也許很多企業(yè)的業(yè)務(wù)系統(tǒng)存在后門程序已久，只是還未發(fā)現(xiàn)，此時(shí)給系統(tǒng)做一個(gè)全面的檢查就顯得尤為重要。國(guó)內(nèi)有不少?gòu)S商可以提供這方面的服務(wù)或產(chǎn)品，如奇安信基于“特征+行為”的雙重檢測(cè)引擎，可以做到精準(zhǔn)發(fā)現(xiàn)后門程序，還原后門攻擊途徑，實(shí)現(xiàn)早發(fā)現(xiàn)、早治療的目的。

④防外連：將危害降到最低

　　在后門防治中，切斷外連途徑是關(guān)鍵，一方面防止數(shù)據(jù)外泄，另一方面阻止失陷服務(wù)器橫向擴(kuò)散，污染更多服務(wù)器資產(chǎn)。除了后門外，部分原本可信的白名單應(yīng)用也可能存在非法外連、傳輸數(shù)據(jù)的行為，因此要格外注意這些非法外連，將危害降到最低。

　　數(shù)據(jù)安全無小事，無論是國(guó)家政策層面，還是實(shí)際業(yè)務(wù)層面，我們都應(yīng)該在服務(wù)器端做好數(shù)據(jù)安全工作，其中關(guān)鍵工作之一是要做好后門防治工作，杜絕服務(wù)器棱鏡門再次發(fā)生。