餐饮巨头被攻击的“致命”48小时

编者按

数字化浪潮蓬勃兴起,企业面临的安全挑战亦日益严峻。

腾讯安全近期将复盘2022年典型的攻击事件,帮助企业深入了解攻击手法和应对措施,完善自身安全防御体系。

本篇是第八期,讲述了某餐饮巨头遭遇黑客多轮次攻击、全国点餐系统崩溃后,与腾讯安全并肩作战,在“致命”的48小时间成功击退黑客的故事。

餐饮巨头被攻击的“致命”48小时_第1张图片

“你们看到告警信息了吗?一个云上客户被黑客打了!攻击流量超过了10个G!”

11月30日晚上9:44,腾讯大厦22楼的办公室传来一声大喊。

在线运营事件预警系统第一时间把事件推送到企业微信,值班的专家Zly急忙摇人,此时UDP攻击的流量已经达到13229Mbps,触发了业务封堵策略。

系统通过被攻击的三个IP迅速定位了租户信息,是国内某餐饮巨头——X公司,而被攻击便是X公司的点餐系统!

餐饮巨头被攻击的“致命”48小时_第2张图片

一场蓄谋已久的偷袭

“点餐系统崩溃的话,X公司作为知名度极高的餐饮巨头,可能很快就会上热搜,所以在攻击发生一小时内是最为关键的。”值班专家Leo急切地说。

Leo的担心不无道理,从9:44被攻击开始,X公司全国多个餐饮门店便陆续有客人反馈无法进行线上点餐。不过,在X公司的用户大面积投诉之前,腾讯安全就通过预警系统的安全事件信息迅速通知了X公司具体的黑客攻击情况及点餐系统无法使用的原因,并为客户做紧急解封处理。

与此同时,几个腾讯安全专家也正通过腾讯会议商讨完整的防护方案。

UDP攻击是近年来黑客常用的攻击方式,属于DDoS攻击的一种,也被称为UDP洪水攻击。顾名思义,攻击者会利用大量伪造源IP地址的UDP小包,像供水一样冲击服务器,造成目标主机无法为用户提供服务,甚至导致系统崩溃,给企业造成无法挽回的经济损失。

餐饮巨头被攻击的“致命”48小时_第3张图片

而且从攻击手法和趋势分析,这很可能是一场蓄谋已久的偷袭。

第一,黑客的攻击时间选择在晚上九点多,是下班高峰期,此时间段发起攻击,攻击目标和云厂商可能无法快速响应。

第二,X公司虽然是餐饮巨头,但线上销售的比例远远低于线下,所以点餐系统的安全防护是按照最小化原则进行配置的,只接入了基础的WAF防护。黑客可能经过了长时间的试探和摸排,才精准找到这一弱点。

第三,X公司点餐系统的其他几个IP部署在另外一家云厂商上,也同时遭受到了UDP攻击,显然黑客目的明确——搞垮X公司的点餐系统。

黑客来势汹汹,防御必须争分夺秒。在短短十几分钟的会议上,几位腾讯安全专家根据攻击数据分析报告,制定出了完整的防护方案,第一步先接入腾讯DDoS高防包。X公司的安全运维团队也严阵以待、快速响应,在晚上22:05就完成了腾讯DDoS高防包的接入,业务访问的QPS逐渐恢复正常。

腾讯DDoS高防包是一款基于腾讯二十多年抗DDoS的成功实践开发的产品,具备业内领先的T级超大防护带宽、支持弹性扩容,并且具备领先的流量清洗能力,成功率超过99.995%。接入腾讯DDoS高防包后,X公司的点餐系统就像筑起了一座大坝,有效拦住了攻击的流量洪水,同时又能够保证正常用户的访问流量。

从攻击发生到接入防御,在双方的高效配合之下,只花了近20分钟。

预判了黑客的预判

第一波攻击成功拦截后,Dary和Leo并没有放松警惕,“目前的攻击流量可能只是个爬坡流量,是黑客大举进攻前的‘开胃菜’,他们肯定还有后手,应该还会发起更大流量的UDP攻击,或者其他类型的攻击……”Dary判断。

对于蓄谋已久的偷袭,防护策略需要更加完备。Dary猜测黑客后续可能采用CC攻击和BOT流量攻击,于是成功拦截第一波攻击后,在防护方案中补充了WAF的CC策略及WAF-BOT的防护,为X公司建立起了四到七层的立体化DDoS防护方案。由于不清楚黑客的实力以及真实意图,为了帮助客户节省成本,优先配置了轻量版的方案。

防护配置完成后,已是凌晨1点多了。“没啥问题了,大家可以安心休息了。”Dary对X公司的安全运维人员说,“DDoS高防包的接入就是一个转折点,UDP攻击已经防住了,黑客无论发起多少波、多大量的UDP攻击,我们的DDoS高防包都能抵御。后续的防护就是根据攻击的形态和特征做了一个防护策略适配性的改变。”

第二天(12月1日)早上7点,正如Dary的预判,监测平台显示,黑客对其中一个IP展开了超大量级的流量攻击,攻击峰值超过了300Gbps。显然,黑客的攻击目的性更强,开始集中火力攻击一个目标。

餐饮巨头被攻击的“致命”48小时_第4张图片
(腾讯云DDoS流量清洗效果对比图)

不仅如此,黑客还发起了CC攻击和BOT流量攻击。根据腾讯云WAF的分析数据,两天内访问日志2.65亿条,攻击日志就达2300多万条,有超过177万个IP对网站进行了访问,其中的72万个IP对网站发起了攻击。

腾讯云WAF具备云原生弹性伸缩的特性,面对激增的攻击流量可以实现秒级扩容,X公司的轻量版方案也快速升级了配置,成功防住了黑客发起的第二轮攻击。

精准的防御离不开精准的预判,“这种复杂攻击可能对于X公司来说是第一次遇见,但是我们已经经历过很多次了,我们帮助很多家零售企业成功对抗了黑灰产的攻击,积累了丰富的经验,所以我们能够预判到黑客下一步的动作。”Dary说。

跑赢了隐形的对手

12月2日,黑客的攻击流量逐渐退去。

从11月30日-12月2日的三天间,腾讯安全帮助X公司成功拦截了黑客的六次攻击,阻挡住了30%的恶意BOT流量,总清洗攻击流量高达6.34TB,成功守护了X公司的用餐体验和品牌形象。

“其实当时我还做了一个应对网络层攻击的防护方案,以为黑客会有更新一轮的攻击,没想到他就直接放弃了,感觉这个黑客也不太专业。不过黑客攻击也是需要成本的,可能发现多次攻击无效,考虑到成本就放弃了。”Dary说。

因为X公司点餐系统的其他几个IP部署在另外一家云厂商上,所以,对于腾讯安全团队来说,还有一个隐形的对手。

在此次攻击事件中,腾讯安全团队的响应速度和防护效果都跑赢了隐形对手。“响应快”、“防护快”是X公司对此次应急事件的评价:响应机制快,从黑客发起攻击到通知到客户,前后不超过五分钟;团队专业性高,从攻击到制定防护方案,只花了十几分钟;腾讯云WAF配置简单、接入快、性能高。

此事件后,X公司也意识到了线上系统安全防护的重要性。实际上,X公司的问题是零售行业的通病,由于线上销售的比例远远低于线下,所以系统的安全防护往往采取最小化原则,尤其是在数字化转型的初期。

但是,网络安全本身存在着明显的木桶效应,一个企业的整体安全水平往往由安全级别最低的部分所决定,任何一方面存在短板,就可能被入侵。

因此,真正的网络安全是需要全方位的防护。

UDP攻击、CC攻击、BOT流量攻击等日益猖獗,如需帮助或咨询,欢迎扫码联系腾讯安全专家:

餐饮巨头被攻击的“致命”48小时_第5张图片

你可能感兴趣的:(网络安全)