事情发生在一个夜晚，即将入眠的我突然接到了公司一线销售人员的求助电话，电话中说到这家网络新闻媒体的数据遭到了丢失、篡改，运维人员却无法找到此次攻击的根源所在。

“有点意思……”挂断电话的我，从床上慢慢坐了起来，思忖着。

“未知”的“未知”

既然被攻击的原因与所有已知的漏洞与威胁都不匹配，我经过分析之后，觉得客户应该是被一种新的攻击手段入侵了，用网络安全界的行话，这叫做“未知威胁”。未知威胁又分为两种，一种是能预测到可能会发生的，可以一定程度上进行防范的，称为“已知的未知威胁”，而另一种则是无法预测，因此让人觉得无从防范的，则称为“未知的未知威胁”。

客户作为一家网络新闻媒体，铁肩担道义，妙笔著文章，为社会传递了大量的正能量，有着极大的社会影响。但是，仍有不法分子为了牟取自身利益，利用“未知的未知威胁”对这家客户进行网络攻击，居心不可谓不叵测。愤慨之余，我深感责无旁贷，一定要帮助客户扫除威胁，还客户一片网络净土。

“摸着石头过河”

越来越多的未知攻击是如今安全攻防的一个最大的特点，客户所面临的攻击工具可能是之前从来没有使用过的，甚至是身边的监控视野从来没有看到过的。如何有效地应对未知威胁的确是一个令人头大的问题，传统入侵检测方法基于的是特征码或规则，要求软件必须提前“知道”入侵的“定义”，才可以识别对应的入侵。但是，面对全新品种的恶意软件，其特定入侵指标（IOC）自然就不为人知，传统入侵检测方法又如何能检测出未知攻击呢？

既然传统的方式行不通，我决定改变思路。虽然所谓“未知的未知攻击”在之前并没有出现过，但是既然攻击了客户的系统，就总会留下一些异常的痕迹，正如业内一位德高望重的前辈告诉我的那样，异常不一定是威胁，但一般来说威胁一定有异常。需要将“未知的未知威胁”转为“已知的未知威胁”来控制问题，如果能够从业务的运转中，抽取生成内在的监控指标，并对指标进行持续地观测和分析，那么无论遇到什么攻击，都会引起指标变化而被察觉。

与客户沟通了我的这些想法之后，我们在客户的服务器集群上部署了青藤万相·主机自适应安全平台，根据客户的业务运行状况设立数万个监测指标，对文件进程、主机访问、业务关系等建立多维度、多层次的纵深检测体系，可以无间断对入侵行为进行监控，实现实时的入侵检测和快速响应，一旦发现异常情况，就会进行毫秒级报警。

凭借着青藤万相·主机自适应安全平台强大的持续监控能力，终于找到了客户系统被攻击的根本原因，原来是攻击者制作了一个新的更轻量级、功能更全的Webshell。找到原因，剩下的工作就简单多了。于是，我们顺利地协助客户守护了他们的数据安全。

这次的工作经历给我的网络安全职业生涯上了重要的一课，要守护网络安全，不仅要在技术上强过攻击者，更要在意识上领先于攻击者，对“未知的未知”给予足够的重视，未雨绸缪，只有这样，才能做到固若金汤，不给黑客任何可乘之机。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。