黑產對抗之惡意發布

黑產對抗是一個很大的話題，其中涉獵很廣，玩法也很複雜，筆者自認為無法全窺其貌，本文就媒體行業針對體育賽事期間的利用正規媒體渠道發送賭博等非法內容的情況進行一些討論。

針對上述情況，其實主要防護的事發布相關的系統，我們對發布系統的定義是：所有可以對前端頁面展示內容產生影響的系統。其中包括核心編碼器、發布伺服器，存儲，源站，發布內容所使用的PC等。

對發布系統的保護也是媒體安全工作最核心的工作之一，但是針對重要保障期還是有一些特殊的工作要做，所以本文從兩個層面分析重要保障期對發布系統的防護策略：

1、常規手段，是否是重要保障期都需要做的工作

2、針對性手段，建議只在重要保障期進行的操作

常規手段

對核心系統的安全防護絕對不能只靠重要保障期前的應急策略，一定需要有一定時間的積累才可以做到在重要保障期前的「氣定神閑」！所以針對重要系統的防護可以參考筆者之前寫的《網路安全日常工作梳理》一文，此文中基本所有工作都會涉及到核心系統。但針對發布系統的安全保障還是有一些重點的，這裡稍稍展開一下：

一、漏掃&滲透

這是幾乎所有企業的安全部門最核心的一項工作，但對於發布系統這類的核心系統，需要注意掃描的速度和滲透的深度。

1.1 漏洞掃描：對於線上發布系統的漏洞掃描需要格外小心，提前應該了解發布系統的負載和特殊規則，如果可能盡量先在測試環境中進行測試性掃描。筆者就遇到過有些編碼器接收部分掃描報文會崩潰的情況。

1.2 滲透測試：這方面需要注意的主要是深度和全面性的問題，一般來說想拿到核心系統的黑客都會不擇手段（誘惑夠大），所以對這類系統的滲透需要對滲透人員的能力有一定的要求。筆者團隊曾經在某次對抗中被對手找到了四條不同路徑進入，最後一條連我們自己都不知道，最終還是通過抓包發現的。所以滲透工作要對系統邏輯十分清楚才能滿足全面性要求。

二、溯源

2.1 日誌收集：日誌收集說起來很簡單，但對於比較龐大，且前期沒有全面部署過日誌收集的系統就是一個需要考慮的問題。一方面，如果不能進行全網收集就要梳理清楚需要到底哪些系統需要收集日誌；另一方面，如果真的有入侵行為，入侵者一定會先幹掉日誌收集的進程，所以這類進程的隱藏和告警都是要有的。

2.2 流量監聽：如果伺服器上信息收集的足夠一般來說不太需要監聽發布系統的流量，但針對前文提到的黑客找到了安全部門所不掌握的隱秘通道的情況，流量回溯就是很有必要的了。另外，如果發布流量都是密文傳輸的就涉及到解密問題，目前筆者所在企業還沒有這類問題。

三、惡意代碼

3.1 Windows：企業防病毒的解決方案比較成熟，這裡在管理層面盡量別出現意外就行。

3.2 Linux：對Linux惡意代碼還沒有一個比較完善的方案，目前對使用一些商業產品，我們正在用機器學習的方法進行惡意代碼的訓練，現在效果還有限。關於機器學習在安全領域的應用推薦大家關注兜哥的公眾號（兜哥帶你學安全），筆者也在學習和膜拜中。

針對性手段

這類手段指日常工作中不會輕易使用的比較重或者比較敏感的，針對重要保障期短期充分必要的手段。

1、發布PC強認證：一般來說，鑒於辦公靈活性的角度考慮，辦公PC的管理不會像前端伺服器那樣嚴格，但在重要保障期期間需要將安全手段提升一個檔次，否則辦公電腦將是被入侵的重災區，這方面解決方案比較成熟，在此就不再贅述了，在後續的文章中再對辦公安全進行專項討論。

2、業務自查：為了保證核心業務的萬無一失，重要保障期前應進行全面的業務合規性梳理，但從實踐角度來說時間往往是不夠的。為了保證時效性我們的經驗是安全部門提出檢查項，由各業務部門進行集中自查，並提交檢查結果。檢查內容主要涉及基線檢查和伺服器異常狀態檢查等。

3、應急預案：有針對性的應急預案設計和演練都是非常必要的。

4、內容發布渠道確認：對於發布渠道較多的企業來講，確認內容發布渠道是非常重要的一項工作，這決定了安全保障工作的範圍。

5、針對性的安全宣講：由於黑產對企業的滲透已經不僅僅是技術攻防層面，通過滲透企業內部人員，或者乾脆去目標企業入職的情況都是發生過的。所以在重要保障期前對公司全員進行有針對性的安全意識宣講是很有必要的。這裡需要注意的是方式方法，簡單粗暴的進行大規模的培訓和考核很難達到期望，筆者會有專門的文章介紹安全運營相關的工作，篇幅所限，就不展開了。

寫在最後

與黑產的對抗是各類互聯網應用所必須面對的課題，總體來說惡意發布畢竟要取得內部發布許可權，比對抗其他方面的黑產要容易許多。上周與阿里的兄弟交流的時候提到過一句話還是很值得思考的：不要和黑產進行零和博弈。如此高屋建瓴的總結概括了很多做人的道理。就用它作為本文的結尾吧：

不要進行零和博弈

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！